Stand heute sind in den wenigsten Automatisierungsgeräten in den Produktionsanlagen Cyber-Security-Funktionen integriert. Zu gering war bislang der Druck. Doch eine robuste Cyber-Security-Strategie wird jetzt zur rechtlichen Anforderung. So trat die EU-Richtlinie NIS2 bereits 2023 in Kraft, die Umsetzung in nationales Recht sollte im Oktober 2024 erfolgt sein, zieht sich voraussichtlich aber noch bis März 2025 hin. Nicht nur Unternehmen aus dem klassischen Kritis-Bereich sind davon betroffen, sondern auch aus der Industrie. Insbesondere für Anlagenbetreiber sind die neuen Security-Anforderungen durch NIS2 relevant, da es darum geht, die Sicherheit von Netzwerken und Informationssystemen zu gewährleisten. Im Dezember 2024 trat außerdem der Cyber Resilience Act (CRA) in Kraft, der Security-Anforderungen an Geräte und Maschinen definiert, die auf dem EU-Markt erhältlich sind. Die Umsetzungsfrist läuft bis 2027. Ab diesem Zeitpunkt dürfen in Europa nur noch cyber-sichere Geräte in Umlauf gebracht werden.
Herausforderung: Technologievielfalt
Industrielle Netzwerke auf Fertigungsebene sind wegen der dort herrschenden Technologievielfalt komplex. Unterschiedliche Netzwerkarchitekturen und Kommunikationslösungen wurden über Jahrzehnte installiert. Heute erfordert die Digitalisierung nicht nur die stärkere Vernetzung bisheriger Insellösungen, sondern bringt auch zusätzliche Technologien wie z.B. OPC UA mit sich, die für die IoT-Kommunikation gebraucht werden. Darüber hinaus muss die industrielle Kommunikation reibungslos funktionieren, ohne Abstriche bei Determinismus oder Performanz. All das ist an sich schon Herausforderung genug. Doch jetzt kommt noch Cyber-Security hinzu. Dass die Sicherheitserweiterungen der einzelnen Protokolle wie Profinet Security, CIP Security für Ethernet/IP, Modbus TCP Security oder OPC UA Security technisch auf verschiedenen Leveln und zum Teil noch gar nicht einsetzbar sind, macht das Thema nicht gerade einfacher. Und das sind längst nicht alle der vielfältigen Standards, die sich alle im Hinblick auf ihre Sicherheitskonzepte, ihre Technologiereife und dafür vorhandene Ökosysteme unterscheiden. Das bedeutet für Gerätehersteller, Maschinenbauer und Anlagenbetreiber eine wahre Sisyphus-Aufgabe: Sie müssen stets den Überblick wahren über verschiedene rechtliche Vorgaben einerseits und vorhandene technische Lösungen andererseits.
Heute Geräte für morgen bauen
Langfristig wird Cyber-Security von den Herstellern in alle Geräte, Maschinen und Anlagen integriert werden. Dieser Weg ist weit und braucht Zeit. Sehr kurzfristiger Handlungsbedarf besteht übrigens bei den Herstellern von Wireless-Geräten. Diese dürfen ab 2025 ohne Erfüllung der Anforderungen der europäischen Radio Equipment Directive (RED), die eben auch deren Cyber-Security betreffen, nicht mehr auf den Markt gebracht werden. Aber auch alle anderen Gerätehersteller, die eine digitale Kommunikationsschnittstelle integrieren müssen, stehen schon jetzt vor der Aufgabe, zukunftsfähige Geräte in Sachen Cyber-Security zu bauen. Dazu sollten sie sich mit dem CRA befassen. Spannend ist dabei, dass diese Vorgaben noch relativ neu sind und ihre Umsetzung in der Praxis erst reifen muss. Im Rahmen des CRA wird Cyber-Security integraler Bestandteil der Geräteentwicklung. Dies umfasst die Spezifikation, die Dokumentation für den fachgerechten Einsatz im Feld sowie die Produktpflege. Letztere muss gewährleisten, dass über den gesamten Lebenszyklus hinweg bekannte Sicherheitslücken in Geräten geschlossen und auch zukünftige Schwachstellen behoben werden. All das wird auch die Unternehmensprozesse, insbesondere im Bereich Produktentwicklung und Produktmanagement, stark verändern.
Die IEC 62443 beschreibt in Teil 4-1 den Rahmen, innerhalb dessen Komponentenhersteller bzw. Automatisierungsgerätehersteller ihre Prozesse entsprechend strukturieren sollten. Teil 4-2 des Standards legt die Anforderungen für die Komponenten selbst fest. Damit dient er als Leitfaden, um in Unternehmen mittel- und langfristig eine cybersichere Herangehensweise zu etablieren. Eine Zertifizierung stellt den Nachweis für entsprechende Maßnahmen für mehr Cybersicherheit dar.
Sicherheit kurzfristig integrieren
Für die in Geräten eingesetzten Kommunikationskomponenten führt das aus Sicht von HMS zu zwei wesentlichen Maßnahmen: Einerseits muss die Hardware bereits jetzt so dimensioniert sein, dass z.B. der Prozessor über die notwendige Leistung verfügt, um künftige Sicherheitsaufgaben wie Verschlüsselung, Authentifizierung, Benutzerverwaltung oder Zertifikatsmanagement verarbeiten zu können. Andererseits muss es möglich sein, Änderungen nachträglich automatisch aufzuspielen, um eine robuste Cyber-Security-Strategie kontinuierlich an den veränderten Ist-Zustand anzupassen. Die Zusatzkosten für die komplexere Hardware konnten Gerätebauer bislang schwer rechtfertigen. Mit der veränderten Gesetzeslage führt aber kein Weg am Einsatz vorbei, will man zukunftssichere Geräte bauen.
