Helmholz hat seine etablierte Industrial-NAT-Gateway-Serie Wall IE um zwei neue Varianten erweitert. (Quelle: Helmholz)
Mit dem Siegeszug der Ethernet-Vernetzung in Maschinen und Produktionsanlagen muss dort auch die Cybersecurity eine zentrale Rolle spielen. Diese Notwendigkeit schlägt sich dementsprechend in der aktuellen Normen- und Richtlinien-Situation nieder: Die 2023 zuletzt überarbeitete internationale Normenreihe IEC 62443 zum Beispiel befasst sich mit der Cybersecurity von „Industrial Automation and Control Systems“ (IACS). Dabei verfolgt sie einen ganzheitlichen Ansatz für Betreiber, Integratoren und Hersteller. Sie betrifft also alle, die an Herstellung und Betrieb von Maschinen beteiligt sind. Zudem definiert sie entsprechende Verantwortlichkeiten für Maschinenbauer, Zulieferer und Endkunden.
Auch die Europäische Union hat den Ernst der Lage erkannt und reagiert darauf etwa mit der NIS-2-Richtlinie (Network and Information Security Directive) und dem Cyber Resilience Act (CRA). Zudem hat die Europäische Kommission die Maschinenrichtlinie 2006/42/EG überarbeitet. Dabei ist die Richtlinie an den New Legislative Framework (NLF) angepasst worden. Außerdem haben neue technologische Entwicklungen, wie künstliche Intelligenz, Autonomie und Vernetzung, bei der Anpassung der grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Richtlinie Berücksichtigung gefunden. Die entsprechende neue Europäische Maschinenverordnung 2023/1230 ist ab dem 20. Januar 2027 für das Inverkehrbringen von Maschinen anzuwenden.
Maschinennetze sicher integrieren
Nicht nur diese aktuellen Vorgaben zeigen: Das Thema Maschinensicherheit darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Das Stichwort hier lautet „Secure OT“, also sichere operative Technologie aus Soft- und Hardware zur Steuerung, Absicherung und Kontrolle von industriellen Steuerungssystemen, Geräten und Prozessen.
Angesichts wachsender Datenmengen führt vor diesem Hintergrund kein Weg an der Trennung bzw. Segmentierung von Netzwerken vorbei. Konzepte mit Zonen und sicheren Zonenübergängen (Zones & Conduits) haben sich hierfür als besonders wirksam erwiesen. Deshalb definiert auch die IEC 62443 ein entsprechendes Schutzkonzept: Demnach ist es für große oder komplexe Systeme oft nicht angebracht, den gleichen Schutzbedarf für alle Komponenten zu verwenden, da diese unterschiedliche Bedrohungen und Risiken aufweisen. Unterschiede können durch das Konzept der „Sicherheitszone“ dar- gestellt werden. Eine Sicherheitszone
ist eine logische Gruppierung von physikalischen Betrachtungsgegenständen, die den gleichen Schutzbedarf haben. Die Grenze der Sicherheitszone definiert, welche Komponenten innerhalb und welche außerhalb der Zone liegen. Um den benötigten Informationsfluss in eine und aus einer Sicherheitszone zu gewährleisten, werden sogenannte Kommunikationsleitungen (Conduits) definiert. Eine Kommunikation außerhalb von Conduits ist dabei nicht zulässig.