Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
10 Elektronik 19 2023 Impulse Enhanced Risk Assessment für Produktionsanlagen Safety und Security kombiniert denken Um Sicherheit Effizienz und Wirtschaftlichkeit vernetzter Anlagen auszubalancieren hat TÜV Süd das Enhanced Risk Assessment ERA entwickelt Es kombiniert klassische Safety-Betrachtungen mit umfassenden Cybersecurity-Analysen und richtet sich an Betreiber Hersteller und Integratoren Von Michael Pfeifer und Andreas Michael Rund 55 Prozent der deutschen Unternehmen sind in den vergangenen zwölf Monaten Opfer eines Cyberangriffs geworden In knapp der Hälfte der Fälle betrug die Schadenssumme mehr als 300 000 US-Dollar Diese Zahlen hat Cisco in seinem Cybersecurity Readiness Index im März 2023 veröffentlicht Dort heißt es dass rund 77 Prozent der Befragten innerhalb der nächsten zwei Jahre mit einem Hacker angriff auf ihr Unternehmen rechnen Das Bundesamt für Sicherheit in der Informationstechnik BSI schätzt die Gefährdungslage ähnlich ein Die Behörde geht davon aus dass sich infolge des russischen Angriffskriegs auf die Ukraine die Cybersecurity-Lage in Deutschland deutlich verschärfen wird Betreiber vernetzter Produktionsanlagen Hersteller von Systemkomponenten für das Industrial Internet of Things IIoT und Integratoren stehen in der Pflicht auf diese Bedrohungslage angemessen zu reagieren Neben den »klassischen« Safety-Analysen müssen sie auch die Cybersecurity in ihre Risikobewertungen einbeziehen Dies fordern unter anderem neue Gesetze wie das IT-Sicherheitsgesetz 2 0 für kritische Infrastrukturen die aktuellen Entwürfe zur Novelle der Bild Sik ov s to ck a do be c om Maschinenverordnung und weitere Richtlinien und Normen Cyberangriffe und ihre Konsequenzen Die folgenden beiden Szenarien verdeutlichen auf welch unterschiedlichen Ebenen Cyberangriffe Unternehmen schaden können Im ersten Fall setzt ein Unternehmen bei seiner Industrie-4 0-Fertigung auf die Zusammenarbeit von Robotern und menschlichen Bedienern Wird die Steuerungssoftware gehackt kann dies die Gesundheit der Mitarbeitenden direkt gefährden etwa weil die manipulierte Auswertung der Signale des Näherungssensors fehlerhafte Werte liefert Daraus resultierende Zusammenstöße des Roboters mit dem Bedienpersonal haben unter Umständen lebensbedrohliche Folgen Dies zeigt dass die Komponenten der funktionalen Sicherheit zwingend gegen Angriffe von außen gesichert werden müssen Im zweiten Fallbeispiel betreibt ein Elektronikhersteller sein Warenlager vollautomatisch Die gefertigten Produkte werden von Robotern vorsortiert und zu Paketen für die verschiedenen Empfänger zusammengestellt Die Steuerung des Logistikprozesses wurde von einem externen Dienstleister programmiert Dieser setzte eine veraltete Softwareversion ein die nicht mehr mit aktuellen Security-Patches versorgt wird Die bekannten Schwachstellen können Hacker durch im Internet veröffentlichte Exploits ausnutzen Werden Pakete falsch zusammengestellt oder an fiktive Empfänger geschickt wird der Schaden erst Tage nach der Manipulation entdeckt Auch für vernetzte Anlagen gilt die europäische Maschinenrichtlinie 2006 42 EG MaschRL Die dort verlangte Risikobeurteilung legt den Fokus auf Gefährdungen die sich aus dem bestimmungsgemäßen Gebrauch bzw vorhersehbaren Fehlanwendungen ergeben Diese Risiken müssen identifiziert bewertet und durch adäquate Gegenmaßnahmen minimiert werden Im Mittelpunkt der Betrachtungen steht die Sicherheit Safety der Mitarbeiter um diese beispielsweise vor mechanischen oder elektrischen Gefährdungen zu schützen In den meisten Unternehmen existieren Konzepte zur funktionalen Sicherheit nach MaschRL Allerdings enthalten diese meist keine systematische Analyse der Gefahren die von bewussten Manipulationen wie etwa Hackerangriffen ausgehen Auch reicht es nicht aus bestehende Safety-Risikobeurteilungen einfach nur »secure« zu machen indem Maschinenkomponenten gegen Cyberangriffe gehärtet werden Verändern Hacker mit einem Cyberangriff auf Unternehmen in der Lebensmittelproduktion beispielsweise Rezepturen verschlechtert sich die Qualität des Produkts außerdem kann es zu schädlichen Folgen für die Konsumenten kommen Weil in diesem Fall die Anlage selbst in keinen kritischen Zustand versetzt wird werden solche Cybergefahren im Zuge klassischer Risikobeurteilungen nicht erfasst ITund OT-Experten müssen zusammenarbeiten In Bezug auf ihre IT-Security sind viele Unternehmen bereits gut aufgestellt