Cyber- und Product Security
Positionspapier zu Wesentlichen Änderungen im Kontext des EU-Cyber-Resilience-Act (CRA)
Die Einführung des Cyber Resilience Act (CRA) der EU beschäftigt den Werkzeugmaschinenbau. Einerseits ziehen sich die notwendigen Anpassungen entlang der Lieferkette quer durch die Mitgliedsunternehmen des VDW. Andererseits kommen Fragen auf, wie man den Vorgaben des CRA in Bezug auf Updatepflichten nach Auslieferung der Maschinen nachkommen kann. In diesem Zusammenhang ist der Umgang mit „Wesentlichen Änderungen“ von zentraler Bedeutung. Im Gegensatz zur Maschinenverordnung, wo „Wesentliche Änderungen“ schon lange bekannt sind, ist der Hersteller einer Maschine oder Anlage (als Inverkehrbringer im Sinne der Regulierung) im Wortlaut der Verordnung davon ausgenommen, bei wesentlichen Änderungen, z.B. durch Softwareupdates, die Konformität mit der Gesetzeslage neu zu erklären (Ausstellung einer neuen Konformitätserklärung). Denn der CRA nimmt den Hersteller explizit in die Pflicht, während der Nutzungsdauer des Produkts Updates zur Verfügung zu stellen. Der Verordnungstext ist also nur konsequent im Sinne der Anwendung der Verordnung. Dessen Interpretation ist aktuell leider weniger eindeutig.
Der VDW fordert die konsequente Anwendung des Cyber Resilience Acts entsprechend dem Wortlaut seiner Anforderungen. Maschinenhersteller (Inverkehrbringer) sind im Sinne des CRA fortlaufend zu Maßnahmen zur Aufrechterhaltung der Konformität verpflichtet. Eine erneute oder schlimmstenfalls regelmäßig Neuerklärung der Konformität durch den Inverkehrbringer ist vom Gesetzgeber nicht vorgesehen. Natürlich fallen wesentliche Änderungen im Sinne der Maschinenverordnung, also bezüglich sicherheitsrelevanter Funktionen, nicht darunter.
Das vollständige Positionspapier finden sie hier.
Ansprechpartner: Dr. Alexander Broos, Leiter Forschung und Technik, a.broos@vdw.de
Positionspapier des VDW zum Cyber Resilience Act (CRA) der EU
- Eine mehrstufige Einführung des CRA.
- (Werkzeug-) Maschinenbauunternehmen als Integratoren komplexer Systeme sollten eine verlängerte Frist bis zur vollumfänglichen Anwendung des CRA erhalten.
- Konsequente Auslegung des risikobasierten Ansatz des CRA mit entsprechend reduzierten Anforderungen an einfache und unkritische Komponenten und Produkte, wie sie typischerweise in Werkzeugmaschinen verbaut werden und zur Anwendung kommen.
Arbeitskreis Product Security des VDW
- Risiko und Bedrohungsanalyse
- Software Bill of Material (SBOM)
- Assetmanagement über den Lebenszyklus
- Austausch mit System- /Steuerungslieferanten
- Software-Update (Methoden/Tools)
- Benutzermanagement
Security an Werkzeugmaschinen
Die digitale Transformation der Fertigung, speziell auch von Werkzeugmaschinen und Anlagen, schreitet weiter voran. Vormals als Insellösung betriebene Steuerungskomponenten werden unternehmensweit vernetzt oder direkt mit Hilfe des Internets miteinander verbunden und interagieren mit Software-Services in der Cloud. Dabei entstehen sogenannte cyber-physische Systeme.
Diese Systeme werden von Hackern immer mehr in den Fokus genommen, da sie oft sehr einfache Ziele für Cyberangriffe darstellen. Schadsoftware (wie beispielsweise „Mirai“, „Hajime“, „WannaCry“ oder „Petya“) ermöglicht den Angreifern, auf schnelle Weise die Verfügbarkeit von Anlagen und Maschinen erheblich zu beeinträchtigen; Produktionsprozesse kommen zum Stillstand, wirtschaftliche Verluste in Millionenhöhe sind die Folge. Neben den erpressten Geldzahlungen haben die Firmen oft auch große Image-Schäden zu erleiden.
Einen ersten und wichtigen Beitrag zum sicheren Maschinenbetrieb kann der Betreiber selbst leisten [1]. Hinweise und Vorschläge hierzu wurden bereits an anderer Stelle vorgestellt. Um den Bedrohungen adäquat begegnen zu können, müssen aber auch die Anlagen- und Maschinenbauer künftig sehr viel mehr Wert auf Security legen – sowohl beim Bau der Maschinen als auch im Betrieb. „Security by Design“ ist dabei eine wichtige Methode, die in der Software-Entwicklung seit vielen Jahren erfolgreich angewandt wird. Übertragen auf den Maschinen- und Anlagenbau findet sie Anwendung in der internationalen Norm IEC 62443.
[1] Leitfaden für die IT-Security an Werkzeugmaschinen – Betreibersicht
Leitfaden für Product Security von Werkzeugmaschinen – Herstellersicht
