Die digitale Transformation in der Automatisierungstechnik bietet enormes Potenzial für Innovationen: Optimierte Produktionsprozesse, neue Geschäftsmodelle und allgemeine Kostensenkungen, um nur ein paar zu nennen. Dabei verschmelzen Informationstechnologien (IT) und operative Technologien (OT) zunehmend zu einem komplexen Netzwerk mit durchgehender Konnektivität, das heutzutage von der Produktionsebene bis zur Cloud reicht. Dabei werden vermehrt auch digitale Services miteingeschlossen.
Diese Konvergenz kollidiert allerdings immer offensichtlicher mit einem eisernen Grundsatz in der Industrie: OT und IT sind streng voneinander zu trennen. Um aus der Digitalisierung einen umfassenden Nutzen zu ziehen, muss diese Trennung allerdings aufgeweicht oder perspektivisch sogar gänzlich überwunden werden. Zurecht klingeln bei einem solchen Vorhaben sämtliche Alarmglocken bei Maschinenbauern und Anlagenbetreibern.
Durch die Verschmelzung entstehen eine Vielzahl zusätzlicher Angriffsvektoren, welche Angreifer für böswillige Zwecke missbrauchen können. „Im günstigsten Fall werden so Produktionsprozesse lediglich gestört oder kurzzeitig lahmgelegt“, gibt Frank Behnke, Head of Product and Information Security / Product & Cyber Security bei Hilscher, zu bedenken. Kritischer wird es, wenn Anlagen durch Einwirkung von außen Schaden nehmen oder sogar Menschenleben in Gefahr geraten.
Neun von zehn Unternehmen sind Opfer von Cyberangriffen
Die Dringlichkeit für Industrieunternehmen, hier zu handeln, ist also größer als je zuvor. Im Jahr 2023 berichtete die Unternehmensberatung McKinsey, dass neun von zehn Produktionsunternehmen Ziel von Cyberangriffen waren. Entweder wurde die Produktion selbst oder deren Energieversorgung angegriffen. Geopolitische Entwicklungen und eine rasante technologische Entwicklung zum Beispiel im Bereich Künstliche Intelligenz werden dieses Problem noch weiter verschärfen.
„OT-Geräte waren in der Vergangenheit nie dafür ausgelegt, Cyberangriffen zu widerstehen, erklärt Security-Experte Behnke. „Sie sollten ihre Aufgaben in einem Produktionsprozess, zum Beispiel Sensordatenerfassung oder das Ausführung von Produktionsschritten, zuverlässig erfüllen. Erkennung von schadhaften Daten oder Angriffsversuchen gehörten nicht dazu.“ Anbieter und Anwender in der Industrie würden in der Zukunft viele neue Konzepte in der Entwicklung neuer Geräte brauchen, um potenzielle Angriffsflächen auszumachen und diese entsprechend abzusichern, so Behnke.
Welche Rolle spielt der Cyber Resilience Act?
Um die Cybersicherheit in Europa strategisch zu stärken und strukturell zu verankern, schlug die Europäische Kommission 2022 mit dem Cyber Resilience Act (CRA) eine Verordnung zur Verbesserung der Cybersicherheit und Cyber-Resilienz in der EU vor. Inhalt der Verordnung sind gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen, was sowohl Hard- als auch Software miteinschließt. Die endgültige Veröffentlichung im Amtsblatt der Europäischen Union und damit das europaweite Inkrafttreten des CRA wird für die zweite Jahreshälfte erwartet. Damit beginnen auch die bis zu dreijährigen Umsetzungsfristen, die für viele Unternehmen zu einer großen Herausforderung werden können. Unternehmen müssen sich mit ihnen auseinandersetzen, wenn sie ihre Produkte weiterhin in der EU vermarkten wollen, denn: Nach einer dreijährigen Übergangsfrist müssen alle Produkte mit CE-Kennzeichnung zwingend den CRA erfüllen.
Von hoher Relevanz für die Erfüllung des CRA ist die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Diese deckt bereits einen Großteil der CRA-Anforderungen ab. Die vier Teilbereiche der Norm beschreiben grundsätzliche Begriffe, Konzepte und Modelle, legen ein System zum Management industrieller IT-Sicherheit dar, definieren Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen und stellen Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung. Die Zertifizierung nach IEC 62443 erfolgt durch zugelassene Prüfdienstleister wie dem TÜV Rheinland und wird entsprechend individueller Anforderungen nach definierten Reifegraden (Maturity Levels) und Security Levels durchgeführt.
Implementierung von Security
Für Hilscher als Anbieter industrieller Kommunikationslösungen, wie auch für alle anderen Industrieunternehmen, ist der CRA eines der Gesetzesvorhaben mit weitreichenden und tiefgreifenden Folgen bei der Betrachtung des Themas Cyber Security. Allerdings ist der Kommunikationsspezialist aus Hattersheim am Main vorbereitet.
„Wir beschäftigen uns schon lange damit, wie wir unsere Produkte sicher vor Angriffen schützen können“, erklärt Hilscher-Security-Experte Behnke. Sicherheit sei nicht erst zum Thema geworden, als es erste regulatorische Bestrebungen in dieser Richtung gab, sondern ist fester Bestandteil einer jeden Produktentwicklung bei Hilscher.
So enthält beispielsweise der netX90-Kommunikationscontroller von Hilscher bereits eine Encryption-Accelerator-Einheit, die alle aktuellen Verschlüsselungsverfahren unterstützt, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IEC 62443, aber auch von den Real-Time-Ethernet-Protokollstandards grundsätzlich, vorgesehen sind.
Auch Software-seitig ist Hilscher Kerntechnologie netX für Security-Anwendungen vorbereitet. So enthält die entsprechende Protokoll-Stack-Erweiterung bereits Mechanismen wie Secure Boot, Certificate Management und Protokoll-spezifische Datenverschlüsselungsmodelle.
Unterstützung bei Umsetzung des CRA
Der Cyber Resilience Act ist zwar derzeit noch nicht durch die Europäische Kommission beschlossen, das ist für den Security-Experten Behnke allerdings nur mehr eine Formalie. „Vor der Europa-Wahl im Juni wurde der CRA bereits in die Kommission eingebracht, derzeit stauen sich dort allerdings viele Beschlüsse, die jetzt nach der Wahl noch abgearbeitet werden müssen.“
Für Hilscher hingegen ist das kein Grund, mit den Vorbereitungen zu warten. Im Gegenteil: Gemeinsam mit dem TÜV Rheinland als Zertifizierer und dem Consultant TÜV iSec Rheinland befindet sich Hilscher mitten in der Umsetzung des CRA und verfügt bereits über umfassendes Know-how bezüglich der zeitlichen Herausforderungen und praktischen Auswirkungen von relevanten Zertifizierungsprozessen. „Wir haben heute bereits über die Hälfte der notwendigen Vorgänge abgeschlossen, um uns für das Maturity Level 3 zu qualifizieren“, gibt Behnke bekannt.
Und Anwender aus der Industrie können davon profitieren. Sollten Sie und Ihre Produkte ebenfalls vom CRA betroffen sein, bietet Hilscher Ihnen Unterstützung sowie einen Transfer von Wissen an, welches der Kommunikationsspezialist im Zuge seiner CRA-Adaption gesammelt hat.
Nehmen Sie jetzt Kontakt auf für weitere Informationen: Frank Behnke, Head of Product and Information Security / Product & Cyber Security - +49 (0) 6190 99 07 – 0 / compliance@hilscher.com