Risikobewertung für Produktionsanlagen
Safety und Security kombiniert denken
Industrie-4.0-Produktionsanlagen sind stark vernetzt, was Hackern viele Einfallstore eröffnet. Mit Enhanced Risk Assessment (ERA) hat er TÜV Süd ein Verfahren entwickelt, das Safety-Betrachtungen mit umfassenden Cybersecurity-Analysen kombiniert.
Rund 55 Prozent der deutschen Unternehmen sind in den vergangenen zwölf Monaten Opfer eines Cyberangriffs geworden. In knapp der Hälfte der Fälle betrug die Schadenssumme mehr als 300.000 US-Dollar. Diese Zahlen hat Cisco in seinem Cybersecurity Readiness Index im März 2023 veröffentlicht. Dort heißt es, dass rund 77 Prozent der Befragten innerhalb der nächsten zwei Jahre mit einem Hackerangriff auf ihr Unternehmen rechnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Gefährdungslage ähnlich ein. Die Behörde geht davon aus, dass sich in Folge des russischen Angriffskriegs auf die Ukraine die Cybersecurity-Lage in Deutschland deutlich verschärfen wird.
Betreiber vernetzter Produktionsanlagen, Hersteller von Systemkomponenten für das Industrial Internet of Things (IIoT) und Integratoren stehen in der Pflicht, auf diese Bedrohungslage angemessen zu reagieren. Neben den »klassischen« Safety-Analysen müssen sie auch die Cybersecurity in ihre Risikobewertungen einbeziehen. Dies fordern unter anderem neue Gesetze wie das IT-Sicherheitsgesetz 2.0 für kritische Infrastrukturen, die aktuellen Entwürfe zur Novelle der Maschinenverordnung und weitere Richtlinien und Normen.
Cyberangriffe und ihre Konsequenzen
Die folgenden beiden Szenarien verdeutlichen, auf welch unterschiedlichen Ebenen Cyberangriffe Unternehmen schaden können. Im ersten Fall setzt ein Unternehmen bei seiner Industrie-4.0-Fertigung auf die Zusammenarbeit von Robotern und menschlichen Bedienern. Wird die Steuerungssoftware gehackt, kann dies die Gesundheit der Mitarbeitenden direkt gefährden, etwa weil die manipulierte Auswertung der Signale des Näherungssensors fehlerhafte Werte liefert. Daraus resultierende Zusammenstöße des Roboters mit dem Bedienpersonal haben unter Umständen lebensbedrohliche Folgen. Dies zeigt, dass die Komponenten der funktionalen Sicherheit zwingend gegen Angriffe von außen gesichert werden müssen.
Im zweiten Fallbeispiel betreibt ein Elektronikhersteller sein Warenlager vollautomatisch. Die gefertigten Produkte werden von Robotern vorsortiert und zu Paketen für die verschiedenen Empfänger zusammengestellt. Die Steuerung des Logistikprozesses wurde von einem externen Dienstleister programmiert. Dieser setzte eine veraltete Softwareversion ein, die nicht mehr mit aktuellen Security-Patches versorgt wird. Die bekannten Schwachstellen können Hacker durch im Internet veröffentlichte Exploits ausnutzen. Werden Pakete falsch zusammengestellt oder an fiktive Empfänger geschickt, wird der Schaden erst Tage nach der Manipulation entdeckt.
Maschinenrichtlinie allein reicht nicht aus
Auch für vernetzte Anlagen gilt die europäische Maschinenrichtlinie 2006/42/EG (MaschRL). Die dort verlangte Risikobeurteilung legt den Fokus auf Gefährdungen, die sich aus dem bestimmungsgemäßen Gebrauch bzw. vorhersehbaren Fehlanwendungen ergeben. Diese Risiken müssen identifiziert, bewertet und durch adäquate Gegenmaßnahmen minimiert werden. Im Mittelpunkt der Betrachtungen steht die Sicherheit (Safety) der Mitarbeiter, um diese beispielsweise vor mechanischen oder elektrischen Gefährdungen zu schützen.
In den meisten Unternehmen existieren Konzepte zur funktionalen Sicherheit nach MaschRL. Allerdings enthalten diese meist keine systematische Analyse der Gefahren, die von bewussten Manipulationen wie etwa Hackerangriffen ausgehen. Auch reicht es nicht aus, bestehende Safety-Risikobeurteilungen einfach nur »secure« zu machen, indem Maschinenkomponenten gegen Cyberangriffe gehärtet werden. Verändern Hacker mit einem Cyberangriff auf Unternehmen in der Lebensmittelproduktion beispielsweise Rezepturen, verschlechtert sich die Qualität des Produkts; außerdem kann es zu schädlichen Folgen für die Konsumenten kommen. Weil in diesem Fall die Anlage selbst in keinen kritischen Zustand versetzt wird, werden solche Cybergefahren im Zuge klassischer Risikobeurteilungen nicht erfasst
- Safety und Security kombiniert denken
- IT- und OT-Experten müssen zusammenarbeiten
Lesen Sie mehr zum Thema
