Safety und Security gehen Hand in Hand

"So gut der Stand ist, den Maschinenbau und Industrie beim Thema Safety erreicht haben, so unbefriedigend ist dieser leider noch beim Thema Security", hebt Thomas Pilz, geschäftsführende Gesellschafter von Pilz, in seiner Rede hervor und ergänzt: "Security ist längst keines dieser Themen mehr, um die man sich vielleicht bei Gelegenheit einmal kümmern sollte. Nein, es ist derzeit das vielleicht wichtigste und dringlichste Thema im Maschinenbau, ja in der gesamten Industrie. Früher war Security in Form von IT-Sicherheit Aufgabe der Informationstechnologie (IT). Heute sind auch Produktions- und Industrieanlagen stark mit der Informationstechnologie vernetzt. Wir sprechen hier von OT- oder Industrial Security. Sie beschreibt den Schutz von Produktions- und Industrieanlagen vor absichtlich oder unabsichtlich herbeigeführten Fehlern. Ziel der Industrial Security ist es, die Verfügbarkeit von Maschinen und Anlagen, sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen zu gewährleisten."

Wenn man nicht Herr über seine Daten ist, dann steht das Unternehmen und die Sicherheit der Mitarbeiter auf dem Spiel: Ohne Security keine Safety und ohne Safety kein Schutz des Menschen! Pilz ist überzeugt, dass nur eine ganzheitliche Betrachtung von Safety und Security einen Schutz von Mensch und Maschine gewährleisten kann. Dafür ist es unbedingt erforderlich, auch Security-Maßnahmen direkt in den Geräten (wie etwa Steuerungen) zu implementieren. Dabei muss der gesamte Lebenszyklus des Systems betrachtet werden. Security beginnt also in der Entwicklung.
"Seit rund 20 Jahren lassen wir unser Management für Funktionale Sicherheit (FSM), also die „Safety“, prüfen und zertifizieren. Und seit einigen Jahren richtet Pilz seine Entwicklungsprozesse auch an der IEC 62443-4-1 „Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements“ aus und entwickelt nachweislich „secure“. Das hat TÜV Süd jetzt in einem Audit zertifiziert. Die Zertifizierung ist für uns strategisch von gleicher Wichtigkeit wie die Zertifizierungen zur Funktionalen Sicherheit", so T. Pilz. 

Standards für Safety & Security weltweit

Die Themen Digitalisierung und Security machen die Anpassung bestehender Richtlinien und Normen sowie die Ausarbeitung neuer Normen notwendig. Die europäische Maschinenrichtlinie bleibt ein wichtiger Treiber für die Weiterentwicklung der Maschinensicherheit: Sie wird momentan zur neuen EU-Maschinenverordnung überarbeitet. Sie geht auf die Herausforderungen ein, die sich aus dem technischen Fortschritt der Digitalisierung ergeben können. So erfasst die Begriffsbestimmung der Sicherheitsbauteile jetzt auch Software, wenn sie eine Sicherheitsfunktion bereitstellt. Zeitgleich mit dem Kommissionsentwurf wurde ein separater Entwurf der EU-Verordnung zur künstlichen Intelligenz (KI) veröffentlicht. Dieser soll alle Produkte mit KI und deren Nutzung erfassen. Außerdem wird mit der neuen Maschinenverordnung das Thema Security “mandatory”, also verpflichtend. Auch die wesentlichen Normen zur Einhaltung der Funktionalen Sicherheit bei der Konstruktion und beim Bau von Maschinen wurden bzw. werden überarbeitet. Die ISO 13849 wird im Sommer erwartet und nimmt verstärkt Software und ihre Anforderungen in den Blick. Die IEC 62061 wurde 2021 veröffentlicht und behandelt u.a. das Thema Security.
Stichwort Security: In Deutschland wird laut T. Pilz an einem neuen IT-Sicherheits-Gesetz gearbeitet. Auf europäischer Ebene wird an der Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) zur NIS2-Richtlinie und dem Cyber Resilience Act sowie in China mit einer Vielzahl von Vorschriften, die zwingend einzuhalten sind, gearbeitet.  
Bislang waren nur „essential entities”, also kritische Infrastrukturen, von der NIS-Richtlinie betroffen. In der kommenden NIS 2 Direktive – zu erwarten in 2024 – wird der Geltungsbereich wohl um „important entities“ erweitert. Darunter würden dann zum Beispiel Maschinenbauer in Europa fallen, wenn sie 50 oder mehr Beschäftigte oder einen Jahresumsatz von 10 Mio. EUR haben. Der VDMA schätzt, dass das in Europa rund 9.000 Unternehmen, darunter auch Pilz, betrifft. 
Auf Maschinenbauer werden, mit Blick auf Security, also neue und zum Teil sehr strenge gesetzliche Anforderungen zukommen. Das ist jedoch bislang noch gar nicht in den Unternehmen angekommen. Und zwar sowohl beim Betrieb von Informationssystemen (IT/OT-Sicherheit), als auch bei vernetzten Systemen (Komponenten, Maschinen, Anlagen). 

Auch in anderen Teilen der Welt steigen die gesetzlichen Vorgaben mit Blick auf Security. Beispiel China: Dort sind im September 2021 das “Data Security Law” (DSL), sowie die “Regulations on the Management of Network Product Security Vulnerability” in Kraft getreten. Letzteres definiert Meldewege und -pflichten ("Disclosure") bei Sicherheitslücken in Produkten deutlicher als zuvor. Zum 1. November 2021 ist das „Personal Information Protection Law“ ähnlich der europäischen Datenschutzgrundverordnung in Kraft getreten. Der Verordnung unterliegen auch ausländische Unternehmen, die in China Daten erheben. 

Pilz arbeitet als „Botschafter der Sicherheit“ seit Jahrzehnten intensiv an der Ausgestaltung der aktuellen Normen und bringt sich bei der Ausarbeitung von Richtlinien ein. Wir vertreten die Anliegen aus der Praxis. Über 30 Experten von Pilz arbeiten in knapp 80 Normengremien an der Gestaltung von rund 100 Produkt- und Applikationsnormen aktiv mit und setzen sich für die Schaffung von Sicherheitsstandards weltweit ein. Unter anderem im chinesischen Normengremium „SAC/TC 208 National Technical Committee on Safety of Machinery of Standardization Administration of China“ dem wichtigsten Normengremium im Bereich Maschinensicherheit. Pilz war 2004 das erste ausländische Unternehmen, das dort Mitglied wurde.