Eine Statement von Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer, Phoenix Contact GmbH & Co. KG

EU Cyber Security Act kommt!

Immer stärker wird der Staat zum Player im Bereich der Cyber-Sicherheit: Die Europäische Union verfolgt mit dem jüngst verabschiedeten Cyber Security Act (CSA) eine europaweite Vereinheitlichung des Vorgehens und führt auch einen sogenannten EU-Rahmen für die Zertifizierung digitaler Produkte und Dienste in Europa ein. Dr.-Ing. Lutz Jänicke, Product & Solution Security Officer bei Phoenix Contact, erläutert in seinem Statement, welche Auswirkungen dies auf die Automatisierungswelt haben könnte.

Autor: Johann Pohany


Mit dem Cyber Security Act (CSA) adressiert die EU den zunehmenden Bedarf an Cyber Security. Im EU CSA werden der europäischen Organisation ENISA erweiterte Aufgaben und Befugnisse übertragen, zu denen die Ausarbeitung von Schemen gehört, nach denen Produkte, Dienste und Prozesse zertifiziert werden können. Dabei sollen verschiedene Stakeholder - von nationalen Behörden bis zu betroffenen Unternehmen - einbezogen werden, bevor die Europäische Kommission letztendlich ein Schema in Kraft setzt. Ein derartiges Schema ersetzt dann alle nationalen Einzellösungen, solange nicht nationale Sicherheitsinteressen dem entgegenstehen. Die europäische Vereinheitlichung des Vorgehens und auch die Qualität der Prüfung erweist sich aus Sicht der Automatisierung als begrüßenswert. Eine Zertifizierung ist nach dem CSA nicht direkt verpflichtend, könnte aber durch andere nationale oder europäische Vorgaben verbindlich werden. Hier wäre die Betrachtung des New Legislative Framework relevant (1), mit dem die Produktregulierung in der EU realisiert sein soll.

Auswirkungen auf die Automatisierung

Die Auswirkungen auf die Automatisierung werden erheblich davon abhängen, wie sich die Zertifizierungsschemen gestalten. Die IEC62443 gewinnt stark an Bedeutung und weitere industrielle Bereiche wie Bahn und Medizin streben die Anwendung der Modelle ebenfalls an. Insofern wird die Adaption dieses Standards für die Schemen wichtig sein. Ein Element der IEC62443 sind die Security-Level, die bei Komponenten von 1 (Fehlbedienung) bis 4 (Angreifer mit großen Möglichkeiten) reichen. In Artikel 52 des EU CSA sind Assurance-Level der Kategorien 'Basic', 'Substantial' und 'High' beschrieben, die sich am Risiko bezogen auf den Einsatzzweck orientieren. Die Vorgaben in Artikel 52 und die Anforderungen aus dem Entwicklungsprozess (IEC62443-4-1) und den funktionalen Anforderungen (IEC62443-4-2) sind dabei nicht deckungsgleich, sodass die Ausformulierung des Zertifizierungsschemas deutliche Auswirkungen haben könnte. In Artikel 52 ist nur für 'Basic' eine eigene Konformitätserklärung des Herstellers vorgesehen. In der Automatisierung, in der eine breite Palette von Produkten unterschiedlicher Art in eher überschaubaren Stückzahlen die ausschlaggebende Leistungsfähigkeit und Flexibilität bietet, dürfte dies ein Problem darstellen.

Anzeige

Einbindung der Automatisierungshersteller ist wichtig

Die Security-Fähigkeiten von Produkten sind relevant, aber nicht ausreichend. Die IEC62443 zielt daher auf die Sicherheit des Automatisierungssystems ab. Erst im Zusammenwirken der einzelnen Produkte im System ergibt sich der erreichte Security-Level, der zudem von geeigneten Betriebsprozessen unterstützt werden muss. Der EU CSA betrachtet Level für Produkte, Dienste und Prozesse. Dies könnte dazu führen, dass die Security-Last auf Produkte mit möglichst hohem Level verlagert wird, wo aus Systemsicht sicherere und wirtschaftlichere Gesamtlösungen denkbar wären. Hier ist die Einbindung der Stakeholder aus der Automatisierung in die Ausarbeitung der Zertifizierungsschemen von Bedeutung.

Zertifizierung: Ja oder nein?

Der EU CSA konzentriert sich u.a. auf kritische Infrastrukturen. Diese sind heute Vorreiter für Security in Produkten und Systemen, die auch in anderen Bereichen der Automatisierung verwendet werden. Deshalb ist unabhängig von der Frage einer aktuell offen gelassenen Freiwilligkeit der Zertifizierung ein wesentlicher Einfluss anzunehmen.

Anzeige

 
Beckhoff Banner: 190722_Beckhoff_wb109_EtherCAT-Messtechnikmodule_EK11-18G_160x600_ID2079