Cybersicherheit:

Seit 2020 kann DGUV Test die Security von Maschinenkomponenten prüfen und zertifizieren. Neue Prüfgrundsätze ermöglichen dies nun auch für Gesamtmaschinen.

Viele Maschinen und ihre Komponenten sind untereinander vernetzt oder verfügen über einen Fernwartungszugang. Durch Security-Maßnahmen kann man Maschinen im industriellen Umfeld gegen unerwünschte Übergriffe durch Unbefugte schützen.

Werden zu geringe Security-Maßnahmen getroffen, sind ungewollte Zugriffe auf Maschinen und ganze Anlagen möglich. Diese Angriffe können sowohl von außerhalb des Werkes als auch direkt an der Maschine vorgenommen werden. Wenn Großmaschinen derart manipuliert werden, dass Angestellte sie nicht mehr steuern können – Not-Halt zum Beispiel außer Kraft gesetzt wurden –, bedeutet dies eine immense Bedrohung für die Sicherheit und Gesundheit aller Beschäftigten in dem betroffenen Betrieb. Zudem fordert die neue Maschinenverordnung (MVO) im Anhang III in den Abschnitten 1.1.9 und 1.2.1 alle Maschinenhersteller auf, sich mit dem Thema Security auseinanderzusetzen und Maßnahmen zum Schutz gegen absichtliche oder versehentliche Verfälschung von Software oder Daten zu treffen.

Neue Maschinenverordnung nimmt Hersteller in die Pflicht

Auch vor diesem Hintergrund setzte sich eine DGUV Test Projektgruppe eingehend mit der Normenreihe IEC 62443 zur industriellen Cybersicherheit auseinander und entwickelte bis Januar 2020 Prüfgrundsätze, um zunächst die Security von sicherheitsrelevanten Einzelkomponenten von Maschinen prüfen und zertifizieren zu können.

Seitdem arbeitete die DGUV Test Projektgruppe daran, die Prüfgrundsätze auf vollständige Maschinen zu erweitern. Die im Juni 2023 neu veröffentlichten Prüfgrundsätze (PDF, 285 kB, nicht barrierefrei) gelten daher für Maschinen und Komponenten. Gesamtmaschinen können nun ebenso wie einzelne Komponenten in Bezug auf Security geprüft und zertifiziert werden.

Erste Zertifizierung auf Komponenten-Ebene bald abgeschlossen

Dabei bleiben die Anforderungen, die für die Komponenten gelten, auch bei der Prüfung der Gesamtmaschine bestehen. Diese werden aber ergänzt durch übergeordnete Systemanforderungen, die die Gesamtmaschine erfüllen muss. Dies kann zum Beispiel die Vergabe und Durchsetzung von Zugriffsrechten einer übergeordneten Steuerung sein oder Anforderungen auf Netzwerkebene, welche von einem einzelnen Sicherheitsbauteil nicht erfüllt werden können.

„In unserer Prüfstelle laufen aktuell drei Prüfungen, eine auf Komponenten-, zwei auf Maschinenebene. Die Prüfung auf Komponentenebene hoffen wir bald mit einem Zertifikat abschließen zu können, die Prüfungen auf Maschinenebene haben gerade erst begonnen“, berichtet Christian Werner von der DGUV Test Prüf- und Zertifizierungsstelle Institut für Arbeitsschutz (IFA).