:quality(80)/p7i.vogel.de/wcms/85/6e/856ec07d2b632f284ef5e3afd293fccf/0110681569.jpeg "Inyo Mobility entwickelt maßgeschneiderte Leichtbaufahrzeuge, die automatisiert betrieben werden können. Die Firma und zwei weitere Unternehmen stellen dem Projekt „Intelligente Wertschöpfungsnetzwerke für Leichtbaufahrzeuge geringer Stückzahl“ (IntWertL) einen Use Case zur Verfügung. (Bild: INYO Mobility GmbH)")
:quality(80)/p7i.vogel.de/wcms/44/31/44310fc316050a80d4222d9fba7405f8/0110674180.jpeg "Die Rechenpower des neuen Supercomputers entspricht 10 000 Laptops. (Bild: Amadeus Bramsiepe - KIT)")
:quality(80)/p7i.vogel.de/wcms/7f/14/7f14a1e14f2468258da06433f4010e63/0110648980.jpeg "Das ISO GPS-Normensystem ist eine weltweit einheitliche geometrische Sprache zur eindeutigen Beschreibung von Produktmerkmalen, die bei richtiger Anwendung Zeit und Kosten über den kompletten Produktlebenszyklus spart. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fd/59/fd59a7da54271d2cb94f9d46f5a46d76/0110663463.jpeg "Neues für den Elektro- und Schaltanlagenbau zeigen wir hier. (Bild: Eplan)")
:quality(80)/p7i.vogel.de/wcms/fe/1d/fe1db0a03903a18a86624550a94ae3ef/0110611047.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fd/3d/fd3df2ea93b76ac7ea2a165afa68622e/0110645808.jpeg "Die neuen Induktivsensoren von Contrinex sind kompatibel zum Industriestandard Smart-Sensor-Profil: IO-Link SSP 3.3, digitale Messsensoren (DMS) mit Deaktivierungsfunktion. (Bild: Contrinex, Shutterstock/Gorodenkoff)")
:quality(80)/p7i.vogel.de/wcms/ae/bb/aebba91eafdd3aaa2222d80de8fc0345/0110541184.jpeg "Auf der Hannover Messe vom 17. bis 21. April 2023 zeigen wieder zahlreiche Anbieter Komponenten und Lösungen für die funktionale Sicherheit – zum Schutz von Mensch und Maschine. (Bild: Nataliya Hora - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/3a/963a7024c549699842cd180210504550/87566017.jpeg "Der konstruktionspraxis-Podcast, das Fachmagazin zum Hören, informiert schnell und unterhaltsam über spannende Technikthemen. (Bild: ©korkeng / stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/b2/74b2340d70b3cb6f82d1c7e86f7308a8/0110481958.jpeg "Damit Maschinen und Anlagen im Falle von Gefahr bringenden Bewegungen und Prozessen sofort gestoppt werden können, müssen diese mit einem auffällig gekennzeichneten Not-Halt-Befehlsgerät ausgestattet sein. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/4e/1d/4e1dca0369a7f1d658799679aba8d695/0110613956.jpeg "Mit durchschnittlich 42 Mails pro Tag ist die geschäftliche Mail-Kommunikation laut einer Umfrage von Bitkom auf Höchststand. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2b/e8/2be8fc6164e2c44879d38e129a4ea583/0110532444.jpeg "... und wieder heißt es: Eine Stunde weniger schlafen von Samstag auf Sonntag. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/82/78/82788fac444a16b78ddad04290de3f20/0110511199.jpeg "Zwischen leichten und schweren Aufgaben an anstrengenden Arbeitstagen abzuwechseln, sorgt für überproportionale Erschöpfung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/6a/a8/6aa8efb269b74312e879bc7685cc301e/0110071708.jpeg "Frank Rademacher, Gruppenleiter Montage Industriemaschinen, Vemag Maschinenbau: „Für uns ist die Einführung der Vier-Tage-Woche eine „Win-Win-Situation“. Die Mitarbeiter*innen sind zufriedener und die Produktivität steigt.“ (Bild: Vemag)")
:quality(80)/p7i.vogel.de/wcms/06/b1/06b13c926a59abf5e1edd094eed2e1c0/0110181909.jpeg "Für lungenkranke Kurgäste: Der erste Skilift wurde von einem Landwirt im Schwarzwald entwickelt und mit Wasserkraft angetrieben. (Bild: gefunden auf: www.schwarzwald-tourismus.info/Gemeinde Eisenbach)")
:quality(80)/p7i.vogel.de/wcms/75/88/7588aadfba18f3fed8e65cbd71b9e9d7/0109629956.jpeg "Zum 100. Todestag von Conrad Wilhelm Röntgen werfen wir einen Blick auf seine Entdeckung: die Röntgenstrahlen. (Bild: ThorstenSchmitt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/36/f0/36f0570a35221cd1dfcb3306c924fd84/0109514144.jpeg "Klapp- oder auch Falträder sind kompakte Formwandler, die heute schnell und unkompliziert zum handlichen Begleiter werden. Das war aber nicht immer so. (Bild: frei lizenisiert)")
:quality(80)/p7i.vogel.de/wcms/13/22/1322818c85ad09a728ede7f6558fe413/0108797487.jpeg "So manch Weihnachtsbaum-Aufsteller hat schon geflucht, weil der Baum einfach nicht gerade im Ständer stehen wollte. Abhilfe schafft die Rundum-Einseil-Technik oder Einseil-Spanntechnik, dank der die Hände frei bleiben. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/79/49/79497ceadff5f84febf78e3cb265b4f6/0110484292.jpeg "Automatisierung einmal anders: Karakuri/LCA (= Low Cost Automation) verzichtet in der Regel auf Strom und zählt zu den besonders eindrucksvollen KVP-Beispielen. (Bild: item Industrietechnik GmbH)")
:quality(80)/p7i.vogel.de/wcms/40/59/4059a0049f6edbf97b13526f52572a9b/0109730863.jpeg "Der AMR mit einem Aufbau aus Profilen von item Industrietechnik findet von selbst zum Ziel. So entfallen zeitraubende Wege für die Mitarbeiter. (Bild: LMZ)")
:quality(80)/p7i.vogel.de/wcms/d5/90/d5902aa42e6759f3ce6b1bfa3708c71a/0109458016.jpeg "Nur mit entsprechender Ausrüstung sollte man sich an ESD-Arbeitsplätze begeben: Hier ist eine Mitarbeiterin mit ESD-Kittel und ESD-Armband an einem ESD-Arbeitstisch zu sehen. (Bild: item Industrietechnik GmbH)")
Maschinensicherheit Worauf Maschinenhersteller hinsichtlich Security achten sollten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/45600/45637/65.jpg "IEF Logo_grau_rot.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/5d/605db4a22830a/elobau-logo-claim-11-2020-rgb.jpg "elobau_Logo_Claim_11_2020_RGB.jpg (elobau GmbH & Ko. KG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/87/5e872eafe2ee9/mdesign-logo.png "MDESIGN-Logo.png (https://www.mdesign.de/)"){kind=logo}
Neben den Vorgaben etwa der Maschinenrichtlinie spielen auch Aspekte der Security eine wichtige Rolle, den Anforderungen an sichere Produkte gerecht zu werden. Doch welche Aspekte der Security sollten Hersteller unbedingt beachten?
Auf den Punkt gebracht: „If it’s not secure, it’s not safe“, also etwa „ohne Security keine Produktsicherheit (Safety)“ – auf diesen Merksatz wird das Thema Security für die Maschinensicherheit oder die Sicherheit von elektrischen Geräten gerne zugespitzt. Was bedeutet dies für Hersteller von technischen Produkten? Sie müssen neben den explizit in EU-Richtlinien (z.B. Maschinenrichtlinie, Niederspannungsrichtlinie, etc.) genannten Safety-Anforderungen auch Aspekte der Security berücksichtigen, um den Anforderungen an sichere Produkte gerecht zu werden.
Für viele Hersteller stellt sich bereits an diesem Punkt die Frage: Was ist der Unterschied zwischen Safety und Security? Während die Safety Menschen (und Umwelt) vor Maschinen schützt, schützt die Security z. B. Maschinen oder elektrische Geräte (und damit auch deren Umfeld) vor Menschen. Beispiel Flughafen: In der Safety-Einweisung erklären die Flugbegleiter, wie wir uns schützen können, wenn das Flugzeug abstürzt. Der Security-Check sorgt dafür, dass wir Menschen nichts mit ins Flugzeug bringen können, was einen Flugzeugabsturz herbeiführen könnte.
:quality(80)/p7i.vogel.de/wcms/bc/ba/bcba1dfb53de842e839c30106a2be0a2/96552870.jpeg "Heiko Rudolph ist Gründer und Geschäftsführer der admeritia GmbH. Seine Hauptarbeitsgebiete umfassen die Bereiche Security & Risk Assessments und IT-Compliance in verschiedenen (KRITIS-)Branchen sowie die Mitgestaltung von Standards, insbesondere der ISO/IEC 27001.")
:quality(80)/p7i.vogel.de/wcms/a8/31/a83144fe91de9b389f7d16b27a38f36c/96552871.jpeg "Johannes Frick, MSc ETH, ist Geschäftsführer der IBF Solutions AG mit Sitz in Zürich. Fachreferent CE-Kennzeichnung nach Maschinenrichtlinie und Niederspannungsrichtlinie sowie Safexpert. Studium der Elektrotechnik an der ETH Zürich im Schwerpunkt Energietechnik.")
:quality(80)/p7i.vogel.de/wcms/62/17/6217edb91cd10d6a75c6e92c6e054822/96552868.jpeg "Sarah Fluchs ist MSc Automatisierungstechnik, CTO und OT-Security Consultant bei der admeritia GmbH in Langenfeld. Sie unterstützt Unternehmen branchenübergreifend – oftmals in kritischen Infrastrukturen – dabei, methodisches Security Engineering in ihren Betrieb zu integrieren. Neben ihren Projekten ist sie in der internationalen Standardisierung zu Security und Safety tätig, insbesondere bei der ISA.")
Vorsicht vor Fehlannahmen zu Security
Obgleich uns das Thema Security in fiktiven Darstellungen oder auch in den Nachrichten nahezu täglich begegnet, haben viele Menschen noch immer eine sehr diffuse Vorstellung, was Security ist. Insbesondere Betreiber bzw. Anwender von technischen Produkten unterliegen einigen Fehlannahmen, die genauer unter die Lupe genommen werden sollten, etwa:
- Warum sollte jemand gerade uns angreifen?
- Böswillige Handlungen – gegen die NSA sind wir eh machtlos.
Ausgehend von diesen Fehlannahmen, die unter Betreibern oder Anwendern – also die Kunden von Herstellenden Unternehmen – häufig vorherrschen, werden nachfolgend deren Implikationen für Hersteller besprochen.
Fehlannahme 1: Warum sollte gerade uns jemand angreifen?
„Wir sind doch kein Ziel!“ und „Wer sollte uns denn angreifen?“ sind zwar verständliche, aber dennoch gefährliche Annahmen, da die große Mehrzahl der Angriffe nicht gezielt erfolgt, sondern zufällig. Es gibt zwar Beispiele für spektakuläre, gezielte Hackerangriffe (der wohl bekannteste ist Stuxnet1, mit dem das iranische Urananreicherungsprogramm sabotiert wurde), aber viel wahrscheinlicher ist, dass Unternehmen Opfer eines ungezielten Angriffs werden.
Alle Geräte, die aus dem Internet erreichbar sind, sind ständigen Angriffen ausgesetzt.
Alle Geräte, die aus dem Internet erreichbar sind, sind ständigen Angriffen ausgesetzt. Diese Angriffe erfolgen in Form von automatisierten Scans und automatisierten Angriffsversuchen. So wird z. B. automatisch überprüft, ob die Zugangspasswörter den Standardpasswörtern entsprechen oder ob bestimmte Kanäle ungesichert sind.
Ein weiteres Szenario: Angreifer versuchen über bekannte Sicherheitslücken von eingesetzter (veralteter) Software Zugang zu Systemen zu erhalten.
Wie Angreifer von zufälligen Opfern profitieren
Es bestehen unterschiedlichste Anreize für kriminelle Gruppierungen, solche automatisierten Angriffe durchzuführen. Dies reicht von eher harmlosen Vorteilen wie der Nutzung von Rechner-Ressourcen zur Durchführung rechenintensiver Operationen, etwa zum Erzeugen von Krypto-Währungen, bis hin zur Verschlüsselung ganzer Server. Werden Server verschlüsselt, können die Angreifer Lösegeld für die Entschlüsselung dieser Systeme erpressen. Dabei handelt es sich um sogenannte Ransomware-Angriffe. Opfer eines solchen Angriffs wurde z. B. der Industrieautomatisierer Pilz2.
:quality(80)/images.vogel.de/vogelonline/bdb/1644800/1644807/original.jpg "Die Geschäftsführer Thomas Pilz und Susanne Kunschert betonen, dass das Unternehmen aus dem Angriff gestärkt hervorgehen will. (Pilz)")
Cybersecurity
Pilz äußert sich zu Hackerangriff
:quality(80)/images.vogel.de/vogelonline/bdb/1715700/1715753/original.jpg "Ein Cyberangriff zwang die Schmersal Gruppe zum „Offline-Modus“. Nur so konnte die aggressive Schadsoftware identifiziert und isoliert werden. (gemeinfrei)")
Cyberkriminalität
Gehackt: Schmersal erholt sich von Cyberangriff
Die Annahme „Wer sollte uns schon angreifen?“ ist auch deshalb nicht zielführend, weil sie Kollateralschäden durch sich selbst verbreitende Schadprogramme außer Acht lässt. Hier kann es beispielsweise vorkommen, dass ein sogenannter Wurm ursprünglich gezielt eingesetzt wurde – aber nicht gegen Sie. Möglicherweise bemerkt Ihr Angreifer nicht einmal, dass Sie ebenfalls unter die Räder gekommen sind. Im Fall von Stuxnet finden sich mittlerweile Fragmente sich selbst verbreitender Software weltweit.
Fehlannahme 2: Gegen böswillige Handlungen ist man machtlos
Fehlannahme 2 ist im Ansatz keine Fehlannahme. Die Mission, sich gegen jeden gezielten Angriff zu schützen, ist nahezu unmöglich. Eine falsche Schlussfolgerung aus der Fehlannahme wäre aber, aus diesem Grund das Thema Security gar nicht zu beachten, zumal das sehr viel wahrscheinlichere Bedrohungsszenario der im vorherigen Abschnitt beschriebenen automatisierten Angriffe besteht.
:quality(80)/images.vogel.de/vogelonline/bdb/1790400/1790488/original.jpg "Cybersecurity in der vernetzten Produktion wird von vielen Unternehmen vernachlässigt, finden Forscher jetzt heraus. (©kras99 - stock.adobe.com)")
Security
Vernetzte Produktion: Kein einziges Unternehmen erfüllt Cybersecurity-Anforderungen
Eine häufige (verwandte) Fehlannahme ist, dass Security nur den Schutz vor böswilligen, kriminellen Handlungen umfasst. Böswillige Handlungen abzuwehren ist zwar ein wichtiger Bestandteil der Security, aber nicht der einzige: Security umfasst auch den Schutz von Maschinen, Anlagen oder Geräten vor menschlichen Fehlern ohne böswillige Intention.
Den menschlichen Faktor berücksichtigen
In der Praxis ist die wichtigste Ergänzung von Security gegenüber Safety häufig, dass sie menschliche Kreativität berücksichtigt – egal, ob diese böswillig oder für „kreative Workarounds“ genutzt wird. Bezogen auf Maschinensteuerungen wäre das z. B., dass eine Maschine nur in Kombination mit einer Firewall ans Internet angebunden werden darf. Eine solche Konfiguration kann in bestimmten Situationen zu Einschränkungen führen. Ist es für Bediener oder Instandhaltungspersonal unkompliziert möglich etwa durch Umstecken von Netzwerkkabeln die Konfiguration ohne böse Absicht zu ändern, kann dies das Security-Niveau senken.
:quality(80)/p7i.vogel.de/wcms/c9/73/c973bfb0455d2d4a586b272f48b0a7b1/59135056.jpeg "59135056 (Bild: gemeinfrei)")
Security
Sicherheitsrisiko Schokolade
Wer verübt „böswillige Handlungen“? Dabei denkt man in der Regel an Fremde – kriminell sind immer die anderen. Und diese Fremden müssen sich ja erst einmal die Informationen über unsere Maschinen beschaffen, um genug Wissen für eine böswillige Manipulation zu haben – richtig? Aber: Der sogenannte Insider Threat spielt hier eine große Rolle. Damit sind frustrierte, bestochene oder durch Social Engineering absichtlich getäuschte eigene Mitarbeiter gemeint, die häufig die erste Stufe für einen Security-Angriff darstellen.
Security für Maschinen und elektrische Geräte
Kann man sich gegen ungezielte Angriffe schützen? Sie müssen sich ja nicht gleich gegen Geheimdienste und staatliche Hacker verteidigen: Wenn Sie nicht mehr Opfer jedes Angreifers werden, der nach „low hanging fruits“ sucht, haben Sie schon viel gewonnen. Durch das Einbauen von Hürden fallen Sie für einen Großteil dieser Angriffe bereits durchs Raster.
Der wichtigste Schritt in Richtung Anlagensicherheit besteht darin, sich auf Security als eine neue Sichtweise auf die bekannte Maschine und bekannte Schadensszenarien einzulassen.
Der wichtigste Schritt in Richtung Anlagensicherheit besteht darin, sich auf Security als eine neue Sichtweise auf die bekannte Maschine und bekannte Schadensszenarien einzulassen. Vielleicht haben Sie Security bislang vielleicht nicht mit in Erwägung bezogen, doch Sie kennen Ihre Maschine, kennen deren Funktionalität und wissen, was nicht geschehen darf – damit besitzen Sie bereits die wichtigsten Informationen.
Eine neue Denkweise
Security ist mehr eine Denkweise als eine Checkliste zum Abarbeiten. Im Gegensatz zu Gefährdungsszenarien, die auf technischem Versagen beruhen, können sich Security-Gefährdungen kurzfristig ändern, etwa wenn
- sich Software ändert,
- oder eine neue Schwachstelle an bestehender Software bekannt wird.
Daher ist für die Security nicht nur zum Zeitpunkt des Inverkehrbringens wichtig: Die Security-Denkweise beginnt bereits bei der Entwicklung und setzt sich im alltäglichen Betrieb fort.
Wie lässt sich die neue Denkweise im Alltag umsetzen? Drei Empfehlungen für die drei Phasen Engineering, Inbetriebnahme und Betrieb.
Engineering: Security-Perspektive auf die Risikobeurteilung
Bei einer Risikobeurteilung aus Security-Sicht können Sie grundlegend das bekannte Verfahren aus Produktsicherheitsrichtlinien wie z.B. der Maschinenrichtlinie verwenden – mit einigen kleinen Erweiterungen:
1. Festlegung der Grenzen: Kommunikation
Wenn Sie im ersten Schritt der Risikobeurteilung die Grenzen der Maschine oder eines elektrischen Betriebsmittels festlegen, beantworten Sie Fragen wie „Wo kommt das Produkt zum Einsatz? Wer bedient die Maschine bzw. das Betriebsmittel? Was ist die bestimmungsgemäße Verwendung inkl. vernünftigerweise vorhersehbare Fehlanwendung?“
Auch für Security ist der erste wichtige Schritt zu verstehen, wer Ihre Maschine benutzt und welche wichtigen Funktionen sie erfüllt.
Auch für Security ist der erste wichtige Schritt zu verstehen, wer Ihre Maschine benutzt und welche wichtigen Funktionen sie erfüllt. Darüber hinaus ist für die Beurteilung von Security immer die Kommunikation eines Systems wichtig, sei es mit anderen Systemen oder mit Menschen. Ein System ohne Kommunikationsschnittstellen bietet weniger Security-Angriffsfläche (und – je nach Anwendung – leider auch wenig Nutzen).
Gemäß Maschinenrichtlinie definieren Sie unter „Verwendungsgrenzen“ bereits, wer Ihre Maschine wie bedient, und unter „Räumliche Grenzen“ fallen bereits Mensch-Maschine-Schnittstellen. Darauf können Sie für die Security-Perspektive aufbauen: Erweitern Sie die Grenzen der Maschine um die Kommunikation, die zum Erfüllen ihrer wichtigsten Funktionen notwendig ist – egal ob zwischen Mensch und Maschine oder zwischen Maschinenkomponenten.
Eine Funktion, aus Security-Sicht modelliert, könnte zum Beispiel so aussehen:
- Ein Bediener setzt einen Parameter an der Maschine. Dafür verwendet er das LCD-Bedienpanel, das z. B. ein proprietäres Siemens-Kommunikationsprotokoll nutzt, um den Wert an die SPS der Maschine weiterzugeben.
- Alternative: Der Bediener kann an seinem Büro-PC über eine Web-Oberfläche einen Parameter setzen, der über LAN an das Bedienpanel oder direkt an die SPS übertragen wird.
Da sich die beiden oben genannten Beispiele hinsichtlich der Kommunikationswege stark unterscheiden, bieten diese naturgemäß völlig unterschiedliche Angriffsszenarien, die im Zug der Security-Risikoanalyse genauer untersucht und auf unterschiedliche Art und Weise abgesichert werden müssen.
:quality(80)/images.vogel.de/vogelonline/bdb/1579700/1579717/original.jpg "IT-Security in der Produktion wird zu oft noch vernachlässigt – eine Übersicht, wie das geändert werden kann. (©Sikov - stock.adobe.com)")
Security
Grundlagen Industrial IT Security – Aufbau, Definitionen, Umsetzung
2. Identifizierung der Gefährdungen
Auch Gefährdungen können Sie zusätzlich aus der Security-Perspektive betrachten; „If it’s not secure, it’s not safe“ bekommt jetzt praktische Bedeutung. Die Liste von Safety-Gefährdungen aus EN ISO 12100 einfach um Security-Gefährdungen zu erweitern, trägt den unterschiedlichen Eigenschaften der beiden Gefährdungsarten allerdings nicht genügend Rechnung.
Die Security-Risikoanalyse baut dennoch auf der Safety-Risikoanalyse auf: Anhand Ihrer bereits bestehenden Gefährdungsszenarien, die Sie mit Safety-Maßnahmen verhindern wollen, überlegen Sie nun rückwärts: Kann auch eine Security-Gefährdung zu diesem Szenario führen? Security-Aspekte sind also weitere Ursprünge von Gefährdungen.
Safety-Risikobeurteilung als Basis für Security
Die technische Regel ISO/TR 22100-43 schlägt diesbezüglich vor, dass auf Basis einer Safety-Risikobeurteilung Safety-Maßnahmen ermittelt werden, die dann auf deren Security-Schwachstellen untersucht werden. Dies ist zwar ein wichtiger Teilaspekt einer Security-Risikobeurteilung, der für sich allein aber aus Sicht der Autoren nicht ausreicht, dazu unten mehr.
Was fehlt der Maschinensicherheit ohne die Betrachtung von Security? Diese Frage lässt sich wiederum in drei Fragen zerlegen. Die ersten beiden Fragen bauen direkt auf der bereits erledigten Maschinensicherheits-Risikobetrachtung auf4:
- 1. Zuerst nehmen Sie die identifizierten Gefährdungen in den Fokus und fragen: Können diese schon bekannten Gefährdungen auch durch eine Security-Gefährdungsszenario herbeigeführt werden, also durch (böswillige) Manipulation von Maschinen und ihrer Kommunikationsschnittstellen?
- 2. Dann wenden Sie sich den definierten Schutzmaßnahmen zu und fragen: Kann eine Safety-Maßnahme durch eine Security-Gefährdung verändert werden, sodass sie im Anforderungsfall nicht mehr wirkt wie vorgesehen (vgl. Abbildung, ISO/TR 22100-4)?
- 3. Die dritte Frage ist weitreichender, weil sie eine der Grundannahmen der Safety-Risikoanalyse hinterfragt: Sorgt die Einbeziehung menschlicher Kreativität für neue, bislang nicht betrachtete Gefährdungsszenarien?
Zum Beispiel werden in Risikoanalysen, die technisches Versagen in den Vordergrund stellen, sogenannte Common Cause Failures oder Common Mode Failures oft nicht betrachtet, also Fehlerzustände aufgrund derselben Ursache oder mit derselben Folge in mehreren Komponenten gleichzeitig. Für die Security sind solche Fälle höchst relevant: Findet ein Angreifer heraus, wie er sich Zugang zu einer Komponente beschaffen kann, ist es sehr wahrscheinlich, dass er dieselbe Methode für alle anderen Komponenten ausprobiert.
Ein gutes Beispiel hierfür ist der Befall mit der Ransomware NotPetya bei dem Logistikunternehmen Maersk: Alle Active-Directory-Server waren untereinander synchronisiert, sodass im Falle eines Ausfalls immer direkt ein Backup zur Verfügung gestanden hätte. Nur eben nicht im Falle des gleichzeitigen Ausfalls ALLER Server – und genau das verursachte der Ransomware-Schadcode5.
Beim Beantworten der drei Fragen helfen die Funktionsmodelle, die bei Festlegung der Grenzen der Maschine erstellt wurden. Überlegen Sie nun auf Basis der Funktionsmodelle für jeden Schritt der modellierten Kommunikationssequenzen:
- Was kann schiefgehen?
- Wie kann jemand die beschriebenen Kommunikationsmöglichkeiten ausnutzen, um ein Gefährdungsszenario herbeizuführen?
- Was kann jemand (auch, aber nicht nur mit böswilliger Absicht) schlimmstenfalls tun, um diese Kommunikationsmöglichkeiten auszunutzen?
:quality(80)/images.vogel.de/vogelonline/bdb/1558100/1558145/original.jpg "Die Arbeitsgruppe Strategic Innovation Team (SIT) Production Security will für mehr Absicherung in der Produktionsumgebung deutscher Unternehmken sorgen. (gemeinfrei)")
Produktionssicherheit
Neue Arbeitsgruppe für mehr Security in Unternehmen gegründet
Inbetriebnahme: Dokumentation nicht nur für Sie alleine
Ihre Kunden stehen vor dem Problem Security wahrscheinlich schon länger als Sie: Am Ende liegt das Security-Risiko meist in der Verantwortung der Betreiber.
Vielleicht haben Sie Kunden, die unter kritische Infrastrukturen fallen (etwa aus den Branchen Energie, Wasser, Verkehr und Logistik oder Ernährung), unter die Störfallverordnung (z. B. aus der Chemiebranche) oder TISAX erfüllen müssen (Automobilbranche) – all diese Gruppen müssen bereits heute gesetzliche Verpflichtungen zum Nachweis von Security erfüllen.
Das Problem: Eine „sichere“ Maschine oder Anlage allein garantiert noch keine Security.
Der Einbau in die bestehende Betriebsumgebung – aus Security-Sicht besonders relevant: in die existierenden Kommunikationsnetzwerke – sowie die tatsächlichen Konfigurationen im Betrieb spielen eine wichtige Rolle. Das ist ein Problem für den Betreiber, da er das Risiko für die Sicherheit Ihrer Maschine nur dann tragen kann, wenn er weiß, welche Security-Eigenschaften sie hat – und wenn er sicherstellen kann, dass er die Maschine auch so in Betrieb genommen und an seine existierende Kommunikationsinfrastruktur angebunden hat, dass diese Security-Eigenschaften auch funktionieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1772600/1772629/original.jpg "Die Risikobeurteilung ist eine wichtige Schnittstelle im gesamten CE-Konformitätsbewertungsverfahren. (gemeinfrei)")
Risikobeurteilung
Die Risikobeurteilung als Schnittstelle verstehen
Es ist aber auch ein Problem für Hersteller, wenn sie Kunden sichere Maschinen verkaufen wollen: Die Hersteller müssen sowohl die Security-Eigenschaften eines Produkts transparent machen als auch den Betreibern die nötigen Informationen und Instruktionen bereitstellen, damit diese die Maschinen sicher betreiben können.
Die gute Nachricht: Betreiber müssen sich dieselben Fragen stellen, die sich Hersteller während der Konstruktion ebenfalls stellen mussten: Wer bedient die Maschine, mit welchen Menschen oder anderen Maschinen kommuniziert sie zu welchem Zweck und auf welchem Wege? Die Funktionsmodelle, die Sie während der Konstruktion erstellt hat, helfen daher auch dem Betreiber. Ein Grund mehr, die Modelle gut zu pflegen – denn sie bleiben keine rein internen Dokumente: Sie eignen sich hervorragend, um Default-Konfigurationen und Security-Eigenschaften transparent zu machen.
Es ist nicht die Frage, ob Sie Opfer eines Security-Angriffs werden – sondern wann.
Betrieb: Kommunikation und Schwachstellenmanagement
Dieser Satz ist in der Security eine Binsenweisheit: Es ist nicht die Frage, ob Sie Opfer eines Security-Angriffs werden – sondern wann. Daher ist bei allen proaktiven Schutzmaßnahmen wichtig, auch reaktiv auf den Fall vorbereitet zu sein, sollte tatsächlich ein Angriff passieren oder eine Schwachstelle im Produkt bekannt werden.
Selbst wenn Sie Security vorbildlich in Ihrem Entwicklungsprozess berücksichtigen, können in einer zum Zeitpunkt der Auslieferung als sicher (secure) angenommenen Maschine später Sicherheitslücken bekannt werden. Dafür gibt es drei wesentliche Gründe:
- Security-Angriffe leben von der Kreativität von Menschen, die Schutzmaßnahmen umgehen.
- Schutzmaßnahmen sind volatil; sie können – werden! – sich auch nach Auslieferung der Maschine verändern, weil sie in der Regel von Software und Netzwerkkommunikation abhängen.
- Software und Kommunikationsprotokolle basieren auf einer großen Anzahl von Modulen, deren Entwicklung Sie nicht selbst in der Hand haben. Sie verwenden wahrscheinlich das IP-Protokoll und darunter eine Reihe hardwarenäherer Kommunikationsprotokolle, die Sie nicht selbst geschrieben haben – auch diese Protokolle können Schwachstellen enthalten. Ein spektakulärer Fall im Jahr 2021 waren die unter dem Namen Ripple 20 veröffentlichten Schwachstellen, die tief im TCP/IP-Protokollstack vergraben sind. Bis heute ist nicht umfassend geklärt, welche Produkte von diesen Schwachstellen betroffen sind.
Großes Vertrauen in Security ernten daher nicht solche Hersteller, die nie Schwachstellen in ihren Produkten bekannt machen, sondern solche, die mit bekannt gewordenen Schwachstellen professionell umgehen.
An diesen Punkten lässt sich nichts ändern. Bekanntwerden von Schwachstellen in Ihren Produkten ist daher keine Schande. Großes Vertrauen in Security ernten daher nicht solche Hersteller, die nie Schwachstellen in ihren Produkten bekannt machen, sondern solche, die mit bekannt gewordenen Schwachstellen professionell umgehen. Professionell bedeutet, dass:
- Sie Ihre Kunden frühzeitig über eine Schwachstelle und/oder einen Angriff informieren,
- Sie genau sagen können, bei welchen Produkten/Versionen) Ihr Kunde betroffen ist,
- Sie Hilfestellung geben können, wie das Problem zu beheben ist – idealerweise durch ein Security-Patch, das die Security-Lücke nachhaltig beseitigt.
Apropos Patch: Sie helfen Ihren Kunden enorm, wenn Sie Security-Patches und wichtige Informationen über diese Patches in einem Format bereitstellen, das Kunden automatisiert auswerten können. Es gibt mehrere Initiativen zu solchen Formaten, etwa das XML-Schema des ISA/IEC TR-62443-2-36 oder das JSON-basierte Format CSAF (Common Security Advisory Framework)7. Wichtig ist in erster Linie, dass Sie Informationen und Patches zeitnah, maschinenlesbar und security-überprüfbar bzw. über eine sichere Verbindung bereitstellen.
Security lässt sich mit der Systematik der EU-Produktsicherheitsrichtlinien wie der Maschinenrichtlinie oder der Niederspannungsrichtlinie durchaus berücksichtigen, wenn man regelmäßig die Security-Perspektive einnimmt.
Müssen Hersteller Security berücksichtigen?
Security lässt sich mit der Systematik der EU-Produktsicherheitsrichtlinien wie der Maschinenrichtlinie oder der Niederspannungsrichtlinie durchaus berücksichtigen, wenn man regelmäßig die Security-Perspektive einnimmt. Hinsichtlich der Frage, ob die Maschinenrichtlinie bzw. andere EU-Richtlinien selbst die Berücksichtigung von Security fordern, gibt es unterschiedliche Meinungen, die sich zum Teil auch in Normen wiederfinden.
Keine explizite Forderung nach Security, aber implizit? Klar ist, dass aktuell weder die Maschinenrichtlinie noch die Niederspannungsrichtlinie Security explizit fordern. Allerdings ist es gerade ein Merkmal dieser „New Approach“-Richtlinien, dass grundlegende Anforderungen anstelle von technischen Details definiert werden. Man könnte also argumentieren, dass Security implizit gefordert ist, um die grundlegenden Anforderungen überhaupt erfüllen zu können.
Eine solche grundlegende Anforderung ist beispielsweise die Anforderung an die Sicherheit und Zuverlässigkeit von Steuerungen der Maschinenrichtlinie8:
Richtlinie bietet Interpretationsspielraum
Dieses Zitat bietet Interpretationsspielraum: Sind „zu erwartende Betriebsbeanspruchungen und Fremdeinflüsse“ auch böswillige Angriffe auf die Kommunikationsschnittstellen? Fallen darunter auch Angriffe auf bedienende Menschen durch Social Engineering, also das Überzeugen von Bedienern, potenziell schädliche Aktionen auszulösen durch Vorgeben einer falschen Identität und/oder besonders dringlichen Situation?
In diesem Zusammenhang müssen zwei grundlegende Begriffe der Safety-Risikobeurteilung EN ISO 12100 bzw. der Maschinenrichtlinie beleuchtet werden:
- bestimmungsgemäße Verwendung,
- vorhersehbare Fehlanwendung.
Um hier nicht zu sehr in die Grundlagen der Safety-Risikobeurteilung abzutauchen, knapp zusammengefasst: Bei der Risikobeurteilung sind Konstrukteure und andere beteiligte Personen gefordert, nicht nur die Verwendung ihrer Produkte entsprechend der bestimmungsgemäßen Verwendung zu betrachten, sondern auch vorhersehbare Fehlanwendungen zu berücksichtigen, z.B. reflexartiges Verhalten. Die Frage, wie weit die (zu beachtende) vernünftigerweise vorhersehbare Fehlanwendung geht, und wo Missbrauch oder Vorsatz beginnt, ist einerseits situationsabhängig (z.B. ob die Anwender nur Fachkräfte sind oder auch Laien oder sogar Kinder) und andererseits eine oft anspruchsvolle Aufgabe.
Keine vernünftigerweise vorhersehbare Fehlanwendung
Die bereits zitierte technische Regel ISO/TR 22100-4 argumentiert, dass Security keine Pflicht von Herstellern ist, da ein Angriff eben keine vernünftigerweise vorhersehbare Fehlanwendung darstellt9:
Der Standard relativiert die Aussage insofern, als dass Maschinenhersteller dennoch IT-Security-Aspekte behandeln sollten:
Im Internet herrschen eigene Bedingungen
Überdies ist fraglich, ob die Aussage hinsichtlich des nicht einschlägigen Anwendungsbereiches («outside the scope») in alle Ewigkeit Bestand haben wird.
Einerseits könnte man argumentieren, dass es sich bei Security-Aspekten gar nicht um eine vorhersehbare Fehlanwendung handelt, sondern genau um die bestimmungsgemäße Verwendung, nämlich die Nutzung eines Produkts (Maschine, el. Geräte) in Verbindung mit einer Kommunikationsschnittstelle ins Internet. Und im Internet herrschen eben gewisse Bedingungen, denen man Rechnung tragen muss. Analog dazu muss man bei der Konstruktion von Produkten für die Verwendung im Freien auch den Anforderungen hinsichtlich Feuchtigkeit durch entsprechende IP-Schutzarten10 Rechnung tragen.
Andererseits schreitet die Überarbeitung der Maschinenrichtlinie voran. In diversen Veröffentlichungen ist bereits zu lesen, dass mit der Überarbeitung auch das Thema Security zukünftig explizit behandelt werden wird.
Es sei noch erwähnt, dass es sich bei der technischen Regel ISO/TR 22100-4 um keine harmonisierte Norm mit Konformitätsvermutung entsprechend einer EU-Richtlinie handelt.
Weitere rechtliche Rahmenbedingungen
Ein weiteres Thema steht in den Startlöchern: die Security-Zertifizierung von Produkten. Der EU Cybersecurity Act fordert EU-weit einheitliche Security-Zertifizierungen11 – und Betreiber sehen dem freudig entgegen. Den Grund dafür haben Sie in den oben beschriebenen Schritten zur Security-Denkweise bereits kennengelernt: Betreiber brauchen eine transparente Kommunikation von Security-Eigenschaften – Zertifikate versprechen, diese zu liefern.
Dem Thema Security proaktiv nähern
Viele Dinge im Zusammenhang mit Security sind noch nicht eindeutig geklärt. So ist noch unklar, welcher Standard künftig Basis sein soll für eine Zertifizierung entsprechend dem EU Cybersecurity Act. Ebenfalls zeichnet sich noch nicht ab, welchen Stellenwert Security bei der mitunter bereits begonnenen Überarbeitung von EU-Produktsicherheitsrichtlinien und weiteren Gesetzen einnehmen wird.
Bezüglich dieser gesetzlichen Pflichten zur Beachtung von Security sei noch erwähnt: In den obigen Ausführungen oben haben sich die Autoren dieses Artikels auf öffentlich-rechtliche Anforderungen beschränkt, mit denen der Staat Marktteilnehmern bestimmte Vorgaben macht. Darüber hinaus steht es Unternehmen frei, vertraglich Security-Aspekte einzufordern. Eine Herausforderung, der sich Zulieferer mehr und mehr stellen werden müssen – auch ohne Verpflichtung zu Security auf Basis von Gesetzen. Ebenfalls zu berücksichtigen ist die Frage, welche Haftungsrisiken für Hersteller aufgrund von Security bestehen.
Unabhängig von diesen noch nicht explizit ausformulierten Anforderungen ist es jedoch bereits jetzt ratsam, dem Thema Security proaktiv zu begegnen, denn keiner der möglichen Standards erfindet die Security neu – die grundlegenden Security-Anforderungen ähneln sich in allen Standards und lassen sich nicht in einer Woche aus dem Boden stampfen.
Wenn Sie sich angewöhnen, die Security-Perspektive in Konstruktion, Inbetriebnahme und Betrieb von Maschinen einzunehmen, verlieren sowohl das Thema als solches, als auch der Schritt zu einer Security-Zertifizierung – künftig möglicherweise ein Markteintrittskriterium – an Schrecken.
Fußnoten:
1 Mehr Informationen dazu: Kim Zetter, Countdown to Zero Day, 2014, Ralph Langner, Stuxnet und die Folgen
2German company Pilz hit by a Ransomware attack
3 Safety of machinery — Relationship with ISO 12100 — Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects
4 More information: Edward Marszal, James McGlone: Security PHA Review for Consequence-Based Cybersecurity, 2019
5 Andy Greenberg: Sandworm, 2019
Gavin Ashton: Maersk, me & notPetya, 2020
6IEC TR 62443-2-3:2015, Security for industrial automation and control systems - Part 2-3: Patch management in the IACS environment
7Oasis Common Security Advisory Framework
8 Maschinenrichtlinie 2006/42/EG
9 ISO/TR 22100-4: Safety of machinery — Relationship with ISO 12100 — Part 4: Guidance to machinery manufacturers for consideration of related IT-security (cyber security) aspects
10 IP steht in diesem Zusammenhang für Ingress Protection.
11 European Commission: The EU Cybersecurity Act
* Autoren:
- Sarah Fluchs ist MSc Automatisierungstechnik, CTO und OT-Security Consultant bei der admeritia GmbH, Langenfeld;
- Johannes Frick, MSc ETH, ist Geschäftsführer der IBF Solutions AG, Zürich;
- Heiko Rudolph ist Gründer und Geschäftsführer der admeritia GmbH, Langenfeld.
(ID:47400677)
:quality(80)/images.vogel.de/vogelonline/bdb/1943800/1943879/original.jpg "Das Seminar "Risikobeurteilung und Betriebsanleitung" der Vogel Akademie geht auf die Umsetzung der wichtigsten Anforderungen der Maschinenrichtlinie 2006/42/EG ein. (Phoenix Contact)")
:quality(80)/images.vogel.de/vogelonline/bdb/1955300/1955344/original.jpg "Erst wenn die Anforderungen der Maschinenrichtlinie an Risikobeurteilung und Betriebsanleitung erfüllt worden sind, erhalten die Dokumente grünes Licht. (CE-CON GmbH)")