Zunehmender Bedarf an Security im Maschinen- und Anlagenbau

Die englische Sprache unterscheidet zwischen Safety („Betriebssicherheit“) und Security („Angriffssicherheit“). Im Deutschen haben wir für beide Themenfelder nur den einen Begriff „Sicherheit“. Mit der Sicherheit von Maschinen im Sinne der Maschinenrichtlinie war bisher meist die Betriebssicherheit gemeint. Doch in Zukunft werden wir uns verstärkt auch mit der „Security“ von Maschinen befassen müssen.

Ein neuer Fachbeitrag im Werk „CE-Kennzeichnung nach Maschinenrichtlinie“ von Stanislav Wittmann befasst sich mit dem Thema „Manipulation von Industrieanlagen“. Manipulation von Maschinen ist ein altbekanntes Thema. Gemeint ist damit meist das Aushebeln oder Austricksen von Sicherheitsmaßnahmen zum Schutz von Beschäftigten. Leider kommt es immer wieder in vielen Betrieben vor, dass die Bediener einer Maschine oder Anlage Schutztüren abmontieren oder Lichtschranken abkleben oder auf andere Art und Weise Sicherheitsvorrichtungen einer Maschine außer Kraft setzen. Meist will man sich damit die Arbeit (vermeintlich) erleichtern oder beschleunigen. Doch diese Manipulationen sind nicht zulässig, weil sie immer wieder zu schweren Arbeitsunfällen führen. Dass dies nicht nur die Sicherheitsverantwortlichen in produzierenden Unternehmen betrifft, sondern auch für Hersteller, Entwickler und Konstrukteure von Maschinen relevant ist, zeigt der Fachbeitrag „Manipulation an Maschinen“.

Industrie 4.0: Vernetzung macht anfälliger

Im Beitrag „Manipulation von Industrieanlagen“ geht es jedoch nicht um Sicherheit als Safety, sondern um Security. Gemeint ist die Gefahr durch Cyberangriffe, Spionage und Produktpiraterie. Diese wächst mit dem zunehmenden Grad der Vernetzung und Online-Anbindung von Maschinen und Anlagen. Kaum eine Maschine kommt heute ohne eine Steuerung über Software aus. Sensoren übertragen Servicedaten und Maschinenfunktionen sind mit anderen elektronischen Systemen des Betriebs vernetzt.

Jede Software ist jedoch ein potenzieller Angriffsort. Längst kursieren Tools, die Programme zur Steuerung von Maschinen auslesen können. Erst vor wenigen Tagen meldete z. B. der Spiegel eine Sicherheitslücke im IT-System von BMW-Modellen. Bei mehr als 2 Millionen Fahrzeugen können Hacker per Mobilfunk die Sicherungssysteme aushebeln und die Türen ohne rohe Gewalt öffnen. Dass solches Hacken nicht auf Kraftfahrzeuge beschränkt ist, zeigt der spektakuläre Fall Stuxnet. Ein von den USA und Israel entwickelter sogenannter Comupterwurm wurde speziell für Systeme von Siemens konstruiert, um die Steuerung von Frequenzumrichtern zu stören. Damit konnten zahlreiche Uranzentrifugen im Iran beschädigt werden.

Risikominderung ist notwendig und möglich

Im neuen Fachbeitrag wird dargestellt, wie Hersteller und Entwickler von Maschinen und Anlagen solche Risiken vermindern können. Denn diese Risikominderung muss bereits in der Konstruktion ansetzen. Der Autor nennt drei Stufen, an denen anzusetzen ist:

  • Stufe 1: Inhärent sichere Konstruktion auf Grundlage der DIN EN ISO 12100, d.h. Risikobeurteilung und dauerhaft sichere Schutzmaßnahmen
  • Stufe 2: Technische bzw. ergänzende Schutzmaßnahmen, das können z.B. Zweihandschaltungen, Not-Aus-Taster oder Lichtschrankensysteme sein. Dabei ist das inhärente Integrieren einem späteren Nachrüsten vorzuziehen.
  • Stufe 3: Benutzerinformation, diese muss über sämtliche Restrisiken hinweisen. Dabei ist der Grundsatz „Need to know“ zu beachten, d.h., alle notwendigen Informationen müssen gegeben sein, ein Spion sollte jedoch keine sensiblen Daten entdecken können.

Die weiteren Schritte im Risikomanagement sollten sich an

  • der EN ISO 13849-1 „Sicherheit von Maschinen – Sicherheitsbezogene Teile von Steuerungen – Teil 1: Allgemeine Gestaltungsleitsätze“
  • der VDE/VDI 2180 „Sicherung von Anlagen der Verfahrenstechnik mit Mitteln der Prozessleittechnik (PLT)“ und
  • der ISO 31000 „Risikomanagement – Allgemeine Anleitung zu den Grundsätzen und zur Implementierung eines Risikomanagements“

orientieren.

Sind außer Kontrolle geratene Industrieroboter nicht länger nur Science-Fiction-Thema?
Security Industrieroboter Maschinenbau

Bildquelle: Thinkstock

 

Der Autor unterscheidet fünf grundsätzliche Arten von Schäden:

  • Monetäre Schäden
  • Reputationsschäden
  • Umweltschäden
  • Personenschäden
  • juristische Schäden

Für jeden Schaden ist das Schadenspotenzial und die erwartete Häufigkeit bzw. Eintrittswahrscheinlichkeit bestimmen und daraus das Risiko einschätzen. Für den Bereich Security sind folgende Gefahren denkbar:

  • Anschlag
  • Sabotage, z.B. Manipulation bei Wartungsarbeiten, Zerstörung von Geräten oder Manipulation der Software
  • Diebstahl/Produktpiraterie

Die 10 Gebote der Gefahrenabwehr

Der Autor nennt im folgenden 10 Gebote, welche Konstrukteure und Entwickler zum Schutz vor Security-Risiken und Produktpiraten beachten sollten.

  1. Business-Impact-Analyse für die drei oben genannten Gefahren mit dem Durchspielen von Security-Szenarien.
  2. Risikobeurteilung mit dem Ziel, ein akzeptables Risikoniveau zu finden.
  3. Security by Design, z.B. indem zentrale Steuerelemente nicht gleich ersichtlich sind.
  4. Einbau von Schutzmerkmalen, z. B. über RFID-Chips in Originalteilen.
  5. Zugriffsregelung, z.B. mithilfe von Verschlüsselung der digitalen Dokumente.
  6. Mitarbeiterschulung, die sogenannte „Security Awareness“.
  7. Wartung und Zulieferer, z.B. hinsichtlich Fragen wie zur Abhängigkeit des Betreibers oder zur Forderung von Vertraulichkeitsvereinbarungen.
  8. Entwickler entscheiden lassen, denn diese kennen ihr Produkt am besten.
  9. Penetrationstests durch unabhängige Prüfer.
  10. Gewinn- bzw. Erfolgsbeteiligung, d.h. das Personalmanagement soll das Know-how der Mitarbeiter nutzen und diese im Betrieb halten.

Diese Gebote beschreiben gleichzeitig die Handlungsfelder, auf denen eine Prävention von Security-Angriffen aufbauen kann. Der Fachbeitrag liefert zu jedem Gebot weitere Erläuterungen.

2 Kommentare

  1. 23. August 2017 at 12:01

    Ich interessiere mich über das Thema Sicherheit in der Industrie und suche nach der nützliche Info. Ich finde diesen Artikel sehr interessant, weil es hier über Sicherheit im Maschinen- und Anlagenbau viel erzählt ist, z. B. gemeint ist damit meist das Aushebeln oder Austricksen von Sicherheitsmaßnahmen zum Schutz von Beschäftigten. Ich habe das nicht gedacht, aber ich finde in dem Artikel gut, dass im neuen Fachbeitrag dargestellt wird, wie Hersteller und Entwickler von Maschinen und Anlagen solche Risiken vermindern können. Friedhelm, vielen Dank für die nützliche Info in Ihrem Artikel, es ist sehr interessant.

    • Friedhelm Kring-Reply
      28. August 2017 at 13:18

      Vielen Dank für das positive Feedback. Das Thema „Security“ wird gerade im Hinblick auf die Industrie 4.0 den Maschinenbau in Zukunft weiter beschäftigen.
      Wir werden das Thema mit weiteren Fachbeiträgen auch in Zukunft begleiten.

Hinterlassen Sie einen Kommentar