Industrial Security

Sicherheitsfunktionen an Maschinen und Anlagen vor Angriffen schützen

Manipulierter USB-Stick als Einfallstor für Angriffe auf die Prozesssteuerung einer Maschine
Bild: IFA

Komponenten der funktionalen Sicherheit schützen das Leben und die Gesundheit bei der Arbeit an Maschinen und Anlagen. So kann etwa eine sichere Zuhaltung verhindern, dass Personen ein Schutztor zu einem gefährlichen Bereich einer Anlage oder Maschine öffnen. Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren können, muss allerdings auch die Steuerung selbst sicher sein - geschützt also vor Ausfall und Manipulation.

Die sicherheitsrelevanten Komponenten müssen daher

an ihre technische Umgebung (Netzwerke, Schnittstellen, Kommunikationsprotokolle etc.) angepasst,
gegen Manipulation abgesichert und
vor Angriffen geschützt

werden.

Der jährliche Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, welche Angriffe in welcher Häufigkeit beobachtet wurden. Die Berichte beschreiben unter anderem Angriffe auf Industriesteuerungen, die in der Lage sind. einen Hochofen in einem Stahlwerk in einen unkontrollierbaren Zustand zu versetzen oder eine Sicherheitssteuerung in einem Chemiewerk feindlich zu übernehmen.

Der Schutz vor Angriffen ist also gerade bei Komponenten der funktionalen Sicherheit zwingend notwendig.

Die DGUV setzt sich in verschiedenen Bereichen für eine wirkungsvolle Verbesserung der Situation ein:

Das Institut für Arbeitsschutz (IFA) schult die Unfallversicherungsträger, schärft anhand praktischer Angriffsdemonstrationen das Sicherheitsbewusstsein und entwickelt Lösungskonzepte.
Ein Arbeitskreis der Abteilung DGUV Test hat unter Beteiligung der BG-Prüfstellen und des IFA Prüfgrundsätze für Industrial Security nach IEC ISO 62443 aufgestellt.
Das IFA stellt weitergehende Informationen zu aktuellen Sicherheitswarnungen für Aufsichtspersonen, Herstellfirmen und versicherte Betriebe bereit.

Aktuell

Herstellerseminar Industrial Security:

Praxisnahe Umsetzung europäischer Securityanforderungen mit Vorträgen, Praxisübungen und Demonstrationen

Kontaktstandard security.txt

Standardisierte Kontaktinfos für IT-Sicherheitsmeldungen

Gesetzliche Regelungen

Maschinenverordnung: Verordnung (EU) 2023/1230 des Europäischen Parlaments und des Rates vom 14. Juni 2023 über Maschinen und zur Aufhebung der Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates und der Richtlinie 73/361/EWG des Rates

Rechtsakt zur Cybersicherheit
Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013

NIS-Richtlinie
Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union

NIS-2-Richtlinie
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148

Cyber Resilience Act
Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 (finale Veröffentlichung im Oktober 2024 erwartet; Status)

Stellungnahme der DGUV
zum Verordnungsentwurf der Europäischen Kommission für ein neues Cyberresilienzgesetz

BSI TR-03183 Allgemeine Anforderungen und SBOM nach CRA

Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1
"Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen"