• Verein Deutscher Werkzeugmaschinenfabriken e. V.
  • vdw@vdw.de
  • +49 69 756081-0

Positionspapier des VDW zum Cyber Security Act (CRA) der EU

 
Der VDW hat ein Positionspapier zur Einführung des Cyber Resilience Acts der EU veröffentlicht. Diese wichtige Gesetzgebung sorgt einerseits für faire Rahmenbedingungen bei der Nutzung von Software und ‚Produkten mit digitalen Elementen‘, was zu begrüßen ist. Andererseits wird der Zeitplan für die Einführung des CRA sehr kritisch gesehen. Denn Werkzeugmaschinen an sich fallen unter die Regelungen des CRA, gleichzeitig integrieren sie viele komplexe Teilsysteme und Komponenten, für die wiederum der CRA gilt. Entsprechend der komplexen Lieferketten und üblicherweise langen Vorlaufzeiten für Unteraufträge und Bestellungen im Projektgeschäft besteht die reale Gefahr, dass den Werkzeugmaschinenherstellern am Ende zu wenig Zeit bleibt, ihre Produkte konform zu machen. Schlimmstenfalls droht ein Verkaufsstopp mit existenzbedrohenden Auswirkungen, insbesondere für KMU.
Der VDW fordert daher von Politik und Gesetzgebenden:
  1. Eine mehrstufige Einführung des CRA.
  2. (Werkzeug-) Maschinenbauunternehmen als Integratoren komplexer Systeme sollten eine verlängerte Frist bis zur vollumfänglichen Anwendung des CRA erhalten.
  3. Konsequente Auslegung des risikobasierten Ansatz des CRA mit entsprechend reduzierten Anforderungen an einfache und unkritische Komponenten und Produkte, wie sie typischerweise in Werkzeugmaschinen verbaut werden und zur Anwendung kommen.
 
Das vollständige Positionspapier finden sie hier.
 
Ansprechpartner: Dr. Alexander Broos, Leiter Forschung und Technik, a.broos@vdw.de

 

Arbeitskreis Product Security des VDW

Im AK Product Security des VDW befassen sich unsere Mitgliedsunternehmen mit den Herausforderungen, die Cybersecurity in der Produktion im Allgemeinen sowie unterschiedliche Regulierungen und Kundenforderungen im Speziellen an das Produkt Werkzeugmaschine stellen.
Themen sind unter anderen:
  • Risiko und Bedrohungsanalyse
  • Software Bill of Material (SBOM)
  • Assetmanagement über den Lebenszyklus
  • Austausch mit System- /Steuerungslieferanten
  • Software-Update (Methoden/Tools)
  • Benutzermanagement
Ansprechpartner: Götz Görisch, Referent für Digitalisierung und Product Security, g.goerisch@vdw.de

 

Security an Werkzeugmaschinen

Die digitale Transformation der Fertigung, speziell auch von Werkzeugmaschinen und Anlagen, schreitet weiter voran. Vormals als Insellösung betriebene Steuerungskomponenten werden unternehmensweit vernetzt oder direkt mit Hilfe des Internets miteinander verbunden und interagieren mit Software-Services in der Cloud. Dabei entstehen sogenannte cyber-physische Systeme.

Diese Systeme werden von Hackern immer mehr in den Fokus genommen, da sie oft sehr einfache Ziele für Cyberangriffe darstellen. Schadsoftware (wie beispielsweise „Mirai“, „Hajime“, „WannaCry“ oder „Petya“) ermöglicht den Angreifern, auf schnelle Weise die Verfügbarkeit von Anlagen und Maschinen erheblich zu beeinträchtigen; Produktionsprozesse kommen zum Stillstand, wirtschaftliche Verluste in Millionenhöhe sind die Folge. Neben den erpressten Geldzahlungen haben die Firmen oft auch große Image-Schäden zu erleiden.

Einen ersten und wichtigen Beitrag zum sicheren Maschinenbetrieb kann der Betreiber selbst leisten [1]. Hinweise und Vorschläge hierzu wurden bereits an anderer Stelle vorgestellt. Um den Bedrohungen adäquat begegnen zu können, müssen aber auch die Anlagen- und Maschinenbauer künftig sehr viel mehr Wert auf Security legen – sowohl beim Bau der Maschinen als auch im Betrieb. „Security by Design“ ist dabei eine wichtige Methode, die in der Software-Entwicklung seit vielen Jahren erfolgreich angewandt wird. Übertragen auf den Maschinen- und Anlagenbau findet sie Anwendung in der internationalen Norm IEC 62443.

 

[1] Leitfaden für die IT-Security an Werkzeugmaschinen – Betreibersicht

Leitfaden für Product Security von Werkzeugmaschinen – Herstellersicht