Maßnahmen von KEB Automation für mehr Cybersicherheit
In der modernen Produktionswelt sind Komponenten mit digitalen Elementen längst nicht mehr wegzudenken. Damit gehen viele Vorteile wie die smarte Nutzung vorhandener Maschinendaten einher. Doch gleichzeitig ist es zunehmend wichtig, die Cybersicherheit von Produkten und Prozessen engmaschig zu überprüfen. Vor diesem Hintergrund hat die Europäische Union (EU) mit dem Cyber Resilience Act (CRA) erstmals einen rechtlichen Rahmen für Cybersicherheit geschaffen. Was bedeutet das für KEB als Anbieter von Automatisierungs- und Antriebstechnik? Und was erwartet den Anlagen- und Maschinenbau künftig?
Am 11. Dezember 2027 ist es so weit: Der Cyber Resilience Act kommt in der gesamten EU vollumfänglich zur Anwendung. Im Dezember 2024 in Kraft getreten, soll die Verordnung sicherstellen, dass vernetzte Produkte von Anbeginn sicher entwickelt werden und über ihren gesamten Lebenszyklus relevante Sicherheitsupdates erhalten. Damit reagiert man auf die Tatsache, dass immer mehr Geräte und Prozesse online und vernetzt arbeiten und dadurch die Anfälligkeit für potenzielle Cyberangriffe steigt. Der CRA ist Teil der europäischen Cybersicherheitsstrategie und zielt auf eine breite Palette digitaler Produkte (Hard- und Software) ab: von der Steuerung und den Antriebsreglern über HMI-Panels bis hin zur Maschine.
Für die elektrische Antriebs- und Automatisierungstechnik bedeutet das: Produkte werden gemäß den grundlegenden Cybersicherheitsanforderungen des CRA konzipiert, entwickelt und hergestellt. Alle digitalen Produkte dürfen nur ohne bekannte, ausnutzbare Schwachstellen auf den Markt gebracht werden. Zudem sind aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle den entsprechenden Behörden zu melden.
Diese Maßnahmen ergreift KEB
Insbesondere in der Automatisierungstechnik sind Systeme in hohem Maße vernetzt – vom intelligenten Sensor oder Aktor bis zur Cloud. Und das hat Auswirkungen auf die Anforderungen hinsichtlich Sicherheit, Integrität und Verfügbarkeit für Hersteller, Betreiber und auch Systemintegratoren. Als Hersteller von elektrischer Antriebs- und Automatisierungstechnik und vernetzten Komponenten trägt KEB Automation die direkte Verantwortung für die Cyberresilienz der Produkte. „Wir haben eine Bewertung der Cybersicherheitsrisiken für unsere Produkte anhand des bestimmungsgemäßen Gebrauchs durchgeführt. Anhand dessen werden Maßnahmen zur Risikominderung definiert und umgesetzt. Damit wir die Angriffsfläche für mögliche Cyberattacken auf unsere Produkte deutlich verkleinern, sind die Grundprinzipien secure by design und secure by default anzuwenden“, sagt Stephan Musiolik, Leiter Entwicklung Elektronik (Safety & Security) bei KEB. Schon frühzeitig hat KEB ein unternehmensweites Programm initiiert, um alle regulatorischen und technischen Anforderungen des CRA zu erfüllen. Das Ziel: die nachhaltige Integration von Cybersicherheit im Unternehmen. Zu den konkreten Maßnahmen zählt die Erstellung interner Leitlinien für die Informations- und Produktcybersicherheit, die Einrichtung eines Security Office mit Vertretern aus Entwicklung, Qualitätswesen und IT-Security sowie die Anbindung der Cybersicherheit an das bestehende Qualitätsmanagementsystem.
Für die gesamte Unternehmensgruppe wurde ein Informationssicherheits-Managementprozess gemäß ISO 27001 etabliert. Und auch ein Secure Product-Lifecycle-Management Prozess einschließlich der Schwachstellenbewertung, Patchmanagement und Informationsverfahren auf Grundlage der IEC 62443-4-1 wurde eingeführt. Auch die Lieferkette wurde in den Blick genommen. Daher werden Zulieferer von Komponenten mit digitalen Elementen in den Secure Product-Lifecycle-Management Prozess von KEB eingebunden. Für die Aufnahme von Schwachstellenmeldungen und die Veröffentlichung von Advisories wurde ein Product-Security-Incident-Response-Team (PSIRT) etabliert, dem Schwachstellen gemeldet werden können.
Auswirkungen auf den Maschinenbau
All diese Maßnahmen haben für den Anlagen- und Maschinebau eine praktische Relevanz, da sich digitale Komponenten in jeder modernen Maschine wiederfinden. Somit müssen Maschinenbauer künftig neben der mechanischen und funktionalen Sicherheit auch die digitale Sicherheit gewährleisten – inklusive Updates, Schwachstellenmanagement und Risikoanalysen. Dabei profitieren sie davon, dass Hersteller wie KEB einen hohen Wert auf die Einhaltung der Cybersicherheits-Vorgaben legen. Die klare und nachvollziehbare Dokumentation über Sicherheitsmerkmale und das Schwachstellen-Management sorgt für ein hohes Maß an Transparenz für den Anlagen- und Maschinenbau. Da Cybersicherheit als stetiger Bestandteil des Produktlebenszyklus verstanden wird, sind kontinuierliche Verbesserungen zu erwarten. Außerdem haben Anwender den Vorteil, dass KEB Antriebs- und Automatisierungskomponenten bereitstellt, die auf die Einhaltung der Anforderungen des CRA ausgerichtet sind. So kann die Erfüllung der CRA-Anforderungen als wichtiger Beitrag zu mehr Cybersicherheit in der heutigen, vernetzten Welt verstanden werden.