Safety und Security in der vernetzten Produktion
Quelle: DGUV FBGM-102
Am 05.12.2024 wurde von der DGUV, Fachbereich Holz und Metall die Mitteilung FBHM-102 zu Safety und Security in der vernetzten Produktion veröffentlich.
Link: https://publikationen.dguv.de/widgets/pdf/download/article/3529
Hier die wesentlichen Punkte für Betreiber aus dem Inhalt des Dokumentes:
Safety und Security in der vernetzten Produktion: Die Sicherheit von Produktionssystemen ist eine zentrale Voraussetzung. Es wird aufgezeigt, wie Arbeitssicherheit (Safety) und IT-Sicherheit (Security) zusammenhängen und warum beide in vernetzten Produktionssystemen berücksichtigt werden müssen.
Ziele von Safety und Security: Safety zielt darauf ab, Mensch und Umwelt vor Gefährdungen durch Maschinen zu schützen, während Security darauf abzielt, Systeme vor unbefugtem Zugriff und Manipulation zu schützen. Sicherheitslücken in der IT können die Safety gefährden.
Zunehmende Vernetzung: Die zunehmende Vernetzung von Maschinen und Anlagen führt dazu, dass ein Schutz der ausgetauschten Daten unabdingbar ist. Der Schutz vor vorsätzlichen Angriffen wird als Informationssicherheit (Security) bezeichnet.
Gesetzliche Anforderungen: Die neue EU-Maschinenverordnung 2023/1230 (ab dem 20.01.2027 vollständig anzuwenden) stellt erstmals Anforderungen an die Security von Maschinen, und die TRBS 1115 Teil 1 konkretisiert die Cybersicherheit für sicherheitsrelevante Einrichtungen. Die EN 50742 wird konkrete Anforderungen enthalten, die sich aus der EU-Maschinenverordnung ableiten.
Bedrohungslage: Die Bedrohungslage hat sich verschärft, und es gibt Beispiele für erfolgreiche Angriffe auf industrielle Steuerungen, die direkte Auswirkungen auf die Sicherheit und Gesundheit von Menschen haben können.
Gefahren und Folgen von Manipulationen: Manipulationen über digitale Schnittstellen können zu Produktionsausfällen, Datendiebstahl und Veränderungen von Maschinenparametern führen, was schwere bis hin zu tödlichen Verletzungen von Beschäftigten zur Folge haben kann.
Analyse bestehender Maschinen und Anlagen: Betreiber müssen analysieren, welche Maschinen und Anlagen betroffen sein können. Dabei werden Maschinen nach Art der Steuerung unterschieden (kontaktbehaftet, elektronisch, programmierbar) und bewertet.
Schutzmaßnahmen: Es wird ein systematisches Vorgehen zum Schutz gegen IT-Angriffe empfohlen, einschließlich Risikoanalyse, Zoneneinteilung, Minimale-Rechte-Prinzip, Authentifizierung und Autorisierung, Absicherung drahtloser Kommunikation, Fernwartung und Security-Monitoring.
Risikoanalyse zur Schutzbedürftigkeit: Informationen und Komponenten identifizieren und auflisten. Die Wichtigkeit bewerten und Schutzziele ableiten (Verfügbarkeit, Rückverfolgbarkeit, Unveränderlichkeit).
Zoneneinteilung: Maschinen und Komponenten mit ähnlichem Schutzbedarf in Zonen einteilen. Netzsegmentierung durchführen, z. B. durch Firewalls.
Authentisierung und Autorisierung: Individuelle Benutzerkonten einrichten und eine Passwortrichtlinie durchsetzen. Definieren, welche Benutzer welche Rechte im Netz haben.
Drahtlose Kommunikation: Schutz gegen unautorisierten Fremdzugriff. Betriebsanleitung des Herstellers beachten oder Hersteller kontaktieren.
Fernwartung: Regelungen zum Aufbau und Beenden einer Fernwartung. Verschlüsselte Verbindungen nutzen (z. B. VPN, SSH).
Security-Monitoring: Sicherheitsrelevante Informationen schreibgeschützt archivieren (Logfile). Überwachung des Datenverkehrs.
Notfallmanagement: Notfallplan erstellen, um eine kompromittierte Maschine in einen sicheren Zustand zu bringen. Zuständigkeiten festlegen.
Backup: Regelmäßige Backups erstellen und auf Wiederherstellbarkeit prüfen.
Checkliste für Betreiber: Eine Checkliste in Anlage 1 unterstützt Betreiber bei der Bewertung und Sicherung von Maschinen und Anlagen. In der Anlage 2 findet sich eine hilfreiche Beispiel-Bewertung vorhandener Systeme.
Anwendungsgrenzen: Die Fachbereich AKTUELL dient dazu, Security-Aspekte bei der Beurteilung von Maschinen und Anlagen zu berücksichtigen und notwendige Sicherheitsmaßnahmen umzusetzen. Die gesetzlichen Vorschriften gelten uneingeschränkt.