EU-Maschinenverordnung macht Cybersicherheit zur Pflicht

Die EU-Maschinenverordnung (MVO) ist im Juli 2023 in Kraft getreten. Sie gilt ab dem 20. Januar 2027 unmittelbar in allen Mitgliedsstaaten und löst damit die bisherige Maschinenrichtlinie 2006/42/EG ab. Betroffen sind alle Unternehmen, die unvollständige oder vollständige Maschinen in der EU herstellen, in Verkehr bringen oder in Betrieb nehmen. Auch chemische und verfahrenstechnische Anlagen und Maschinen gehören dazu, wie beispielsweise Rührwerke, Pumpen, Kompressoren, Reaktoren sowie Destillations-, Filter- oder Trennanlagen.

Durch die digitale Vernetzung hat sich die Angriffsfläche von Unternehmen vergrößert, denn Maschinen und Anlagen sind mittlerweile für Cyberkriminelle erreichbar. Die MVO trägt dieser Entwicklung Rechnung und verpflichtet Unternehmen dazu, das Schutzniveau anzuheben.

Die EU formuliert in der MVO erstmals Anforderungen an die Cybersicherheit. Der Grund dafür liegt in der mittlerweile sehr engen Verflechtung von Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT): Digitale Lösungen spielen bei der Steuerung von modernen Maschinen eine zentrale Rolle. Vor allem für die Überwachung und Wartung ist ein Zugang über das Internet erforderlich und damit sind auch Maschinen zum potenziellen Angriffsziel für Cyberkriminelle geworden.

Auswirkungen der neuen MVO für die Chemie-Industrie

Sicherheit & Umwelt

Was ändert sich mit der Maschinenverordnung 2023/1230?

Ab dem 20. Januar 2027 ersetzt die im Juli 2023 in Kraft getretene neue europäische Maschinenverordnung 2023/1230 (MVO) die bisherige Maschinenrichtlinie 2006/42/EG (MaschRL). Die Neuregelung betrifft in erster Linie Hersteller, Bevollmächtigte, Einführer und Händler von Maschinen.Mehr lesen

Erweiterter Adressatenkreis

Im Vergleich zur aktuell gültigen Maschinenrichtlinie betrifft die MVO deutlich mehr Unternehmen. Sie gilt nicht nur für Maschinenhersteller und -händler, sondern auch für Betreiber, wenn sie die Maschinen wesentlich verändern. Eine wesentliche Veränderung der Maschine macht laut MVO den Anwender zum Hersteller – mit allen dazugehörigen Pflichten.
Das Schutzziel Cybersecurity ist im Kapitel „Schutz gegen Korrumpierung“ (Anhang III, 1.1.9) definiert. Hier finden sich die zentralen Anforderungen, die bis zum Inkrafttreten der Verordnung umgesetzt werden müssen.

Netzwerksegmentierung schützt Maschinen

Eines der wichtigsten Grundprinzipien in der Cybersicherheit in einer digitalisierten Welt ist, Netzwerke zu segmentieren. Dadurch lässt sich das zentrale Problem adressieren, das erst im Zuge der Vernetzung von immer mehr Unternehmensteilen entstanden ist: Maschinen und Anlagen, die mit dem Internet verbunden sind, sind über die entsprechenden Schnittstellen auch für Cyberkriminelle erreichbar. Gelingt es ihnen, einen Schadcode einzuschleusen, so kann dieser schnell von einer Anlage auf die nächste übergreifen und das gesamte Unternehmensnetzwerk infizieren. Die MVO fordert daher, dass Maschinen und ihre zugehörigen Produkte so konzipiert sein müssen, dass auch beim Anschluss externer Geräte keine gefährlichen Situationen entstehen – unabhängig davon, ob es sich um direkt verbundene Systeme oder Fernwartungseinrichtungen handelt.

Um Netzwerke sinnvoll zu segmentieren, müssen Anwender zunächst Bereiche mit vergleichbarem Schutzbedarf definieren. Anschließend gilt es, diese einzelnen Netzwerkbereiche voneinander abzutrennen. Das ist beispielsweise durch IoT-Security-Gateways möglich, die die notwendigen Tools mitbringen, um den Datenaustausch zwischen den unterschiedlichen Segmenten über detaillierte Regeln zu steuern.

Mehrere Schutzmaßnahmen etablieren

IoT-Security-Gateways eignen sich, um Netzwerke in unterschiedliche Segmente zu unterteilen. Abhängig vom jeweiligen Schutzbedarf kann eine Maschine oder auch ein einzelner Bereich davon ein eigenes Segment bilden. Dieser granulare Ansatz der Mikrosegmentierung bildet auch den Kern einer Zero-Trust-Architektur. Zugriff erhalten hier nur diejenigen Nutzer, Programme oder Geräte, die zuvor authentifiziert und autorisiert wurden.

Für eine sichere Konnektivität sind IoT-Security-Gateways mit mehreren, fein aufeinander abgestimmten Security-Tools ausgestattet. Das Endian 4i Edge X beispielsweise unterbindet durch eine integrierte Firewall, dass Schadsoftware eindringt – ganz gleich, ob der Schadcode über das Internet eingeschleust werden soll oder sich auf einem infizierten Gerät befindet. Falls es ein Angreifer schafft, die Firewall zu überwinden, etwa durch interne Sicherheitslücken oder gezielte Manipulation, erkennt das enthaltene Intrusion-Detection-and-Prevention-System (IDS/IPS) verdächtige Aktivitäten und reagiert automatisch mit entsprechenden Abwehrmaßnahmen. Zusätzlich lässt sich per DNS-Filter genau definieren, mit welchen externen Servern eine Kommunikation gestattet wird.

Sicheren Fernzugriff einrichten

Insbesondere der Fernzugriff ist ein großes Sicherheitsrisiko für Maschinen und Anlagen, wenn er nicht ausreichend abgesichert wird. Durch das Öffnen eines Zugangs für die Fernwartung entsteht ein mögliches Einfallstor für IT-Kriminelle, die diese Lücke nutzen könnten, um Schadcode einzuschleusen. Die Risiken abzusichern, die im Zusammenhang mit einer Fernwartung entstehen, ist deshalb eine weitere Forderung in der MVO. Ein Virtual Private Network (VPN) ist hier eine passende Schutzmaßnahme. Es leitet die Daten durch einen verschlüsselten Tunnel zwischen dem betreffenden Gerät und einem entfernten Server und schützt sie somit vor Diebstahl und Manipulation.

CRA und NIS II werden für Betriebe zur Zerreißprobe

Markt

Trendbericht: Cybersecurity in der Prozessindustrie

Mit NIS 2 und dem Cyber Resilience Act (CRA) rollen zwei mächtige EU-Regelwerke auf die Prozessindustrie zu – und stellen Betreiber, Hersteller und Systemintegratoren vor grundlegende Fragen: Müssen alte Anlagen cybersicher nachgerüstet werden? Welche Pflichten treffen Mittelständler konkret? Und was droht, wenn die Umsetzung scheitert? Der Trendbericht zeigt, wie groß der Handlungsdruck für Unternehmen ist – aber auch, wo Chancen liegen.Mehr lesen.

„Der CRA ist heute schon Gesetz, europaweit“

Markt

Interview mit Boris Waldeck über den Cyber Resilience Act

Boris Waldeck, Master Specialist für PLCnext Technology Industry Management and Automation bei Phoenix Contact, erklärt, warum der Cyber Resilience Act (CRA) für die Industrie zur Herausforderung und Chance zugleich wird, welche Rolle IEC 62443 spielt und warum KMU jetzt handeln müssen.Mehr lesen.

Festlegen von Rollen und Berechtigungen

Ergänzend zu den technischen IT-Sicherheitsmaßnahmen leistet auch das Verwalten von Rollen und Berechtigungen einen wesentlichen Beitrag, um Maschinen und Anlagen zu schützen. Damit Administratoren jederzeit den Überblick behalten, wer auf welche Maschinen zugreifen darf, ist eine zentrale Nutzeroberfläche entscheidend, um sämtliche Berechtigungen zu verwalten. Auch die Möglichkeit, Berechtigungen in Echtzeit zu ändern und zu löschen, ist wichtig. Sollte eine Mitarbeiterin die Abteilung wechseln, das Unternehmen verlassen oder ein neuer Dienstleister beauftragt werden, so bleiben die Berechtigungen immer auf dem aktuellen Stand.

Eine ernste Gefahr für die Sicherheit der Mitarbeitenden kann durch eine Fernwartung zum falschen Zeitpunkt entstehen. Beispielsweise wenn die Maschine durch die Wartungsmaßnahme gestartet wird und sich jemand in der unmittelbaren Umgebung oder gar im Inneren der Maschine befindet. Ein Genehmigungsprozess, über den am Maschinenstandort eine Freigabe für die Fernwartung erteilt werden kann, sorgt für Sicherheit in solch kritischen Umgebungen.

Sicherheitssoftware aktuell halten

Damit keine Sicherheitslücken entstehen, müssen Anwender die Software auf den IoT-Security-Gateways regelmäßig aktualisieren. Ein automatisierter Update-Prozess ist wichtig, damit alle vernetzten Gateways im Feld die Aktualisierungen zeitgleich erhalten und auf dem neuesten Stand sind. Mögliche Sicherheitslücken lassen sich damit schließen, bevor sie zum Risiko werden.

Zugriffe protokollieren

Darüber hinaus verlangt die MVO, für jeden Eingriff in die Software Nachweise zu speichern. Es gibt bei modernen Maschinen eine Vielzahl an unterschiedlichen Akteuren, die Zugriff benötigen: Hersteller müssen die Maschinen warten und Software aktualisieren, Anwender wollen Daten erfassen und auswerten und auch ein Anbinden an Systeme von Lieferanten ist mittlerweile keine Seltenheit mehr. Maschinenbetreiber sollten daher eine Lösung integrieren, die jeden Zugriff protokolliert, ebenso wie die Maßnahmen, die durchgeführt wurden.

Was bringt der Cyber Resilience Act?

Sicherheit & Umwelt

Cybersicherheit in der Chemieindustrie

Die EU hat eine Verordnung auf den Weg gebracht, die sämtliche Unternehmen besser schützen soll – den Cyber Resilience Act (CRA). Was hat es damit auf sich? Kann er die Sicherheit wirklich erhöhen? Und worauf müssen sich Unternehmen einstellen?Mehr lesen

Prävention statt Reaktion

Sicherheit & Umwelt

Kleine und mittlere Unternehmen cybersicher machen

Cyberattacken bedrohen zunehmend Mittelständler – Ransomware, Phishing und Angriffe auf Lieferketten sind besonders häufig. Wie Unternehmen sich präventiv im Bereich Cybersicherheit aufstellen können, erfahren Sie in diesem Beitrag.Mehr lesen

Netzwerke im Überblick

Mit der digitalen Transformation steigt die Zahl der vernetzten Maschinen und Geräte immer weiter an. Unternehmen können allerdings nur die Geräte absichern, von deren Einbindung ins Netzwerk sie wissen. Den Überblick zu behalten und alle verbundenen Devices jederzeit zu schützen, wird zur wachsenden Herausforderung für die IT-Sicherheit. Lösungen wie Network Awareness von Endian werden damit immer wichtiger, denn sie zeigen in Echtzeit, welche Geräte sich im Netzwerk befinden. Neue Geräte werden sofort sichtbar und der Schutzstatus kann entsprechend überprüft werden.

Die MVO stärkt das Vertrauen in die Sicherheit von Maschinen, indem sie auch die Risiken absichern will, die durch die Digitalisierung entstanden sind. Entsprechende Schutzmaßnahmen sind unverzichtbar, um das Unternehmen als Ganzes zu schützen.