1. Home
  2. /
  3. Hilscher
  4. /
  5. Cyber Resilience umsetzen
Serie zu Cybersicherheit - Teil 2/3

Cyber Resilience umsetzen

24.09.2024
von Redaktion INDUSTRIELLE AUTOMATION

Die digitale Transformation in der Automatisierungstechnik bietet enormes Potenzial für Innovationen: Optimierte Produktionsprozesse, neue Geschäftsmodelle und allgemeine Kostensenkungen, um nur ein paar zu nennen. Dabei verschmelzen Informationstechnologien (IT) und operative Technologien (OT) zunehmend zu einem komplexen Netzwerk mit durchgehender Konnektivität, das heutzutage von der Produktionsebene bis zur Cloud reicht. Dabei werden vermehrt auch digitale Services miteingeschlossen.

Diese Konvergenz kollidiert allerdings immer offensichtlicher mit einem eisernen Grundsatz in der Industrie: OT und IT sind streng voneinander zu trennen. Um aus der Digitalisierung einen umfassenden Nutzen zu ziehen, muss diese Trennung allerdings aufgeweicht oder perspektivisch sogar gänzlich überwunden werden. Zurecht klingeln bei einem solchen Vorhaben sämtliche Alarmglocken bei Maschinenbauern und Anlagenbetreibern.

Durch die Verschmelzung entsteht eine Vielzahl zusätzlicher Angriffsvektoren, welche Angreifer für böswillige Zwecke missbrauchen können. „Im günstigsten Fall werden so Produktionsprozesse lediglich gestört oder kurzzeitig lahmgelegt“, gibt Frank Behnke, Head of Product and Information Security / Product & Cyber Security bei Hilscher, zu bedenken. Kritischer wird es, wenn Anlagen durch Einwirkung von außen Schaden nehmen oder sogar Menschenleben in Gefahr geraten.

Neun von zehn Unternehmen sind Opfer von Cyberangriffen

Frank Behnke, Hilscher

Frank Behnke, Head of Product and Information Security / Product & Cyber Security, Hilscher

Die Dringlichkeit für Industrieunternehmen, hier zu handeln, ist also größer als je zuvor. Im Jahr 2023 berichtete die Unternehmensberatung McKinsey, dass neun von zehn Produktionsunternehmen Ziel von Cyberangriffen waren. Entweder wurde die Produktion selbst oder deren Energieversorgung angegriffen. Geopolitische Entwicklungen und eine rasante technologische Entwicklung zum Beispiel im Bereich Künstliche Intelligenz werden dieses Problem noch weiter verschärfen.

„OT-Geräte waren in der Vergangenheit nie dafür ausgelegt, Cyberangriffen zu widerstehen, erklärt Security-Experte Behnke. „Sie sollten ihre Aufgaben in einem Produktionsprozess, zum Beispiel Sensordatenerfassung oder das Ausführung von Produktionsschritten, zuverlässig erfüllen. Erkennung von schadhaften Daten oder Angriffsversuchen gehörten nicht dazu.“ Anbieter und Anwender in der Industrie würden in der Zukunft viele neue Konzepte in der Entwicklung neuer Geräte brauchen, um potenzielle Angriffsflächen auszumachen und diese entsprechend abzusichern, so Behnke.

Welche Rolle spielt der Cyber Resilience Act?

Um die Cybersicherheit in Europa strategisch zu stärken und strukturell zu verankern, schlug die Europäische Kommission 2022 mit dem Cyber Resilience Act (CRA) eine Verordnung zur Verbesserung der Cybersicherheit und Cyber-Resilienz in der EU vor. Inhalt der Verordnung sind gemeinsame Cybersicherheitsstandards für Produkte mit digitalen Elementen, was sowohl Hard- als auch Software miteinschließt. Die endgültige Veröffentlichung im Amtsblatt der Europäischen Union und damit das europaweite Inkrafttreten des CRA wird für die zweite Jahreshälfte erwartet. Damit beginnen auch die bis zu dreijährigen Umsetzungsfristen, die für viele Unternehmen zu einer großen Herausforderung werden können. Unternehmen müssen sich mit ihnen auseinandersetzen, wenn sie ihre Produkte weiterhin in der EU vermarkten wollen, denn: Nach einer dreijährigen Übergangsfrist müssen alle Produkte mit CE-Kennzeichnung zwingend den CRA erfüllen.

Von hoher Relevanz für die Erfüllung des CRA ist die Normenreihe IEC 62443, „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Diese deckt bereits einen Großteil der CRA-Anforderungen ab. Die vier Teilbereiche der Norm beschreiben grundsätzliche Begriffe, Konzepte und Modelle, legen ein System zum Management industrieller IT-Sicherheit dar, definieren Vorgaben für Sicherheitsfunktionen von Steuerungs- und Automatisierungssystemen und stellen Anforderungen an Prozesse der Produktentwicklung von Komponenten einer Automatisierungslösung. Die Zertifizierung nach IEC 62443 erfolgt durch zugelassene Prüfdienstleister wie dem TÜV Rheinland und wird entsprechend den individuellen Anforderungen nach definierten Reifegraden (Maturity Levels) und Security Levels durchgeführt.

Implementierung von Security bei Hilscher

Secure Firmware Architecture von Hilscher

Für Hilscher als Anbieter industrieller Kommunikationslösungen, wie auch für alle anderen Industrieunternehmen, ist der CRA eines der Gesetzesvorhaben mit weitreichenden und tiefgreifenden Folgen bei der Betrachtung des Themas Cyber Security. Allerdings ist der Kommunikationsspezialist aus Hattersheim am Main vorbereitet.

„Wir beschäftigen uns schon lange damit, wie wir unsere Produkte sicher vor Angriffen schützen können“, erklärt Hilscher-Security-Experte Behnke. Sicherheit sei nicht erst zum Thema geworden, als es erste regulatorische Bestrebungen in dieser Richtung gab, sondern ist fester Bestandteil einer jeden Produktentwicklung bei Hilscher.

So enthält beispielsweise der netX90-Kommunikationscontroller (Aufmacherbild des Beitrags) von Hilscher bereits eine Encryption-Accelerator-Einheit, die alle aktuellen Verschlüsselungsverfahren unterstützt, wie sie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der IEC 62443, aber auch von den Real-Time-Ethernet-Protokollstandards grundsätzlich, vorgesehen sind.

Auch softwareseitig ist die Hilscher Kerntechnologie netX für Security-Anwendungen vorbereitet. So enthält die entsprechende Protokoll-Stack-Erweiterung bereits Mechanismen wie Secure Boot, Certificate Management und Protokoll-spezifische Datenverschlüsselungsmodelle.

Unterstützung bei Umsetzung des CRA

Der Cyber Resilience Act ist zwar derzeit noch nicht durch die Europäische Kommission beschlossen, das ist für den Security-Experten Behnke allerdings nur mehr eine Formalie. „Vor der Europa-Wahl im Juni wurde der CRA bereits in die Kommission eingebracht, derzeit stauen sich dort allerdings viele Beschlüsse, die jetzt nach der Wahl noch abgearbeitet werden müssen.“

„Wir haben bereits über die Hälfte der notwendigen Vorgänge abgeschlossen!“
Frank Behnke

Für Hilscher hingegen ist das kein Grund, mit den Vorbereitungen zu warten. Im Gegenteil: Gemeinsam mit dem TÜV Rheinland als Zertifizierer und dem Consultant TÜV iSec Rheinland befindet sich Hilscher mitten in der Umsetzung des CRA und verfügt bereits über umfassendes Know-how bezüglich der zeitlichen Herausforderungen und praktischen Auswirkungen von relevanten Zertifizierungsprozessen. „Wir haben heute bereits über die Hälfte der notwendigen Vorgänge abgeschlossen, um uns für das Maturity Level 3 zu qualifizieren“, gibt Behnke bekannt.

Und Anwender aus der Industrie können davon profitieren. Sollten Sie und Ihre Produkte ebenfalls vom CRA betroffen sein, bietet Hilscher Ihnen Unterstützung sowie einen Transfer von Wissen an, welches der Kommunikationsspezialist im Zuge seiner CRA-Adaption gesammelt hat.

Nehmen Sie jetzt Kontakt mit Hilscher auf für weitere Informationen.

Autor: Frank Behnke, Head of Product and Information Security / Product & Cyber Security, Hilscher Gesellschaft für Systemautomation mbH, Hattersheim (Frankfurt)

Kontakt

Logo von Hilscher mit dem Slogan empowering communicationHilscher Gesellschaft für Systemautomation mbH
Rheinstraße 15
65795 Hattersheim (Frankfurt)
Deutschland
Telefon: +49 (0) 6190 99 07–0
E-Mail: compliance@hilscher.com

 

Quelle: Hilscher

Teil 1 lesen: Der Cyber Resilience Act kommt

Lesen Sie auch Teil 1 der Wissensserie von Hilscher zum Cyber Resilience Act:

Wie steht es um die Cybersecurity in industriellen Umgebungen und um nationale und internationale Gesetzgebungen und Normen? Worauf Unternehmen achten müssen, erläutert der Artikel von Hilscher.

Bild: Starcom – stock.adobe.com

Anzeige

Jetzt Newsletter abonnieren

Technologische Innovationen und Branchentrends aus allen Teilbereichen der Fluidtechnik –
Verpassen Sie nicht unsere besten Inhalte

Hier registrieren

Weitere Artikel

Hochauflösend und schnell
Hochauflösend und schnell

Sick stellt eine neue 3D-Kamera vor. Diese zeichnet sich durch eine hochauflösende RGB- und Graustufen-Zeilenscan-Funktionalität zur Detektion ultrafeiner Farbdetails sowie signifikant erhöhte Inspektionsgeschwindigkeiten aus.

Fit für Industrie 5.0
Fit für Industrie 5.0

Wer heute wettbewerbsfähig bleiben will, muss flexibel auf die Anforderungen des Marktes reagieren können. Dies gilt auch für den Bereich Automotive.
Wir stellen Ihnen Komponenten für die Automation vor, die von der Steuerung elektropneumatischer Systeme über Pneumatikspanner bis hin zu elektrischen Aktuatoren reichen und mit denen sich Prozesse zukunftsgerecht gestalten lassen.

Lösung für den Mittelstand
Lösung für den Mittelstand

Mit der Einführung des digitalen Produktpasses (DPP) ab 2027 steht die Industrie vor einer der drängendsten Herausforderungen der kommenden Jahre. Mit der Plattform Twinsphere steht jetzt eine praxisnahe Lösung zur Verfügung, um den DPP effizient bereitzustellen.

You have Successfully Subscribed!

You have Successfully Subscribed!