Industrial Services - Security | Safety | CE

Author: Torsten Gast

VDMA-Studie ‚Industrial Security 2019‘

Veröffentlicht: 23 Juli 2019

Der Verband Deutscher Maschinen- und Anlagenbau e. V. (VDMA) hat nach 2013 eine erneute Befragung zur Industrial Security unter produzierenden Unternehmen in Deutschland durchgeführt und in einer 47-seitigen PDF veröffentlicht. Inhaltlich geht es dabei vorrangig um die Fragen, welche Kompetenzen die Unternehmen diesbezüglich aufgebaut haben, welche Standards und Maßnahmen zum Einsatz kommen, welche Bedrohungen aus aktueller Sicht das größte Risiko darstellen und welche Auswirkungen Security-Vorfälle verursacht haben.
Interessant: zu den Bedrohungen mit der höchsten Risikoeinschätzung gehören nach wie vor „Menschliches Fehlverhalten und Sabotage“ (Platz 1)
und das „Einschleusen von Schadsoftware“ (Platz 2). Neu unter den Top 10 Bedrohungen ist „Social Engineering und Phishing“ auf Platz 3 (Quelle: VDMA: Studie 2019, Industrial Security im Maschinen- und Anlagenbau). Die gesamte Studie kann als PDF beim VDMA mit dem Link angefordert werden.

Passende Seminare zu dem Thema bietet PHOENIX CONTACT als vor Ort oder Inhouse Seminare an unter: Link.

Durchführungsbeschluss zur ATEX-Richtlinie veröffentlicht

Veröffentlicht: 20 Juli 2019

Die Europäische Kommission hat am 15 Juli in ihrem Amtsblatt ein Durchführungsbeschluss zur Änderung des Verzeichnisses der harmonisierten Normen zur EG-ATEX-Richtlinie 2014/34/EU veröffentlicht.
Das Vorgehen ist gleich mit dem zur Veröffentlichung von Amtsblättern für die EG-Maschinenrichtlinie 2006/42/EG.
Für die Anwender bedeutet dies, dass der Durchführungsbeschluss vom 15.07.2019 zur EG-ATEX-Richtlinie nun auch gemeinsam mit der zuletzt gültigen konsolidierten Liste der harmonisierten Normen angewendet werden muss um zu ermitteln, welche Normen Konformitätsvermutung für die ATEX-Richtlinie auslösen.
LINK zum Duchführungsbeschluss

Risikobeurteilung von Maschinen und Anlagen – Maßnahmen gegen Manipulation von Schutzeinrichtungen

Veröffentlicht: 9 Mai 2019

Die Deutsche Gesetzliche Unfallversicherung (DGUV) hat im April ein Informationsblatt zum Thema „Risikobeurteilung von Maschinen und Anlagen – Maßnahmen gegen Manipulation von Schutzeinrichtungen (209-092)“ herausgebracht.
In vielen Fällen sind Schutzeinrichtungen bereits ab Werk so gestaltet, dass der Betrieb der Maschine beeinträchtigt wird. Werden die Schutzeinrichtungen der Maschine infolgedessen manipuliert, liegt eine vorhersehbare Fehlanwendung vor, die der Hersteller bereits bei der Maschinenkonstruktion hätte berücksichtigen müssen. Der Hersteller muss dementsprechend für die Maschine Betriebsarten vorsehen, die das gefahrlose Einrichten, Warten und Suchen von Fehlern ermöglichen, ohne dass dafür die Schutzeinrichtung manipuliert werden muss.
Das Informationspapier gibt hier eine Hilfestellung, ob die angewandten technischen und organisatorischen Gestaltungsgrundsätze ausreichen, die Manipulation von Schutzeinrichtungen zu verhindern.
Das Papier kann über diesen externen Link bei der DGUV kostenfrei runtergeladen werden.

Phoenix Contact erhält Zertifikat nach IEC 62443-4-1 und 2-4

Veröffentlicht: 3 April 2019

Phoenix Contact wurde vom TÜV Süd als eines der ersten Unternehmen in Deutschland nach der Normreihe für IT-Sicherheit IEC 62443-4-1 und 2-4 zertifiziert. Dies bestätigt, dass das Unternehmen:

  • die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1, sowie
  • das Design von sicheren Automatisierungslösungen entsprechend dem Prozess IEC 62443-2-4 
    durchführt.

Diese Zertifizierungen unterstreichen die Strategie von Phoenix Contact, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen.

Bei Secure-by-Design-Produkten werden Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes berücksichtigt. So werden spätere Sicherheitslücken verhindert.

Diese Sicherheitsmechanismen werden immer wichtiger, da Geräte und Sensoren zunehmend über das Internet vernetzt sind. Da immer mehr Prozesse über Software laufen, öffnen sich neue Angriffsflächen.

Die zentralen Elemente in der Norm zur IT-Sicherheit Teil 4-1und 2-4 sind zum einen eine Bedrohungs- und Risikoanalyse auf Basis des Anwendungsszenarios. D.h. es werden für Geräte und Systeme Anwendungsbeispiele und die erforderlichen Härtungsmaßnahmen festgelegt.

Für Automatisierungslösungen wird ein Sicherheitskonzept mit den erforderlichen Schutzmaßnahmen erarbeitet. Zum anderen wird ein Produkt- oder Lösungsentwicklungsprozess etabliert, mit dem sicher nachvollzogen werden kann, dass alle identifizierten Security-Anforderungen implementiert, verifiziert und dokumentiert werden.

Zusätzlich sind Gerätehersteller dazu aufgefordert, auf Security-Schwachstellen angemessen zu reagieren und verlässlich Security-Updates zu veröffentlichen. Diese Anforderung wird bei Phoenix Contact durch das neu etablierte Product Security Incident Response Team (PSIRT) übernommen.

Dieses Team informiert Anwender von Phoenix Contact-Produkten über bekannte Sicherheitslücken und ist zur gleichen Zeit die Stelle, bei der Anwender gefundene Sicherheitslücken vertraulich melden können. PSIRT hält sich bei der Bearbeitung, Bewertung und Veröffentlichung von Reports und Updates an die Prozesskette, die in der IEC 62443 gefordert wird.

„Bereits im Herbst 2018 wurde der Entwicklungsprozess für Produkte bei Phoenix Contact nach der Norm IEC 62443-4-1 zertifiziert. Damit ist Secure-by-Design bei uns fester Bestandteil bei der Entwicklung eines Security-Produktes“ hebt Roland Bent, CTO Phoenix Contact, die Maßnahmen im Unternehmen hervor.

„Der nächste konsequente Schritt ist nun auch getan. Mit der jetzt erfolgten Zertifizierung wird bestätigt, dass unser Branchen-Marktmanagement sichere Automatisierungslösungen für unsere Kunden, entsprechend der Norm IEC 62443-2-4, entwickeln und umsetzen kann.“

„Die Zusammenarbeit mit dem TÜV SÜD war sehr zielorientiert und kompetent“, bestätigen die Projektleiter, Boris Waldeck für IEC 62443 4-1, und Werner Neugebauer für IEC 62443-2-4. „Da diese Norm noch ein neuer Standard ist, war es wichtig, ein gemeinsames Verständnis der Anforderungen und deren Umsetzung zu erarbeiten.“

Cyber Security ist in jeder Industrie relevant 
Egal ob Hersteller oder Betreiber, Industrie oder kritische Infrastruktur – das Thema Cyber Security ist für alle wichtig. Die Welt der Automatisierungstechnik wächst immer stärker mit der Welt der IT zusammen. Anlagengrenzen verschwimmen, die Menge der verfügbaren Daten steigt und der Austausch von Daten und Informationen wächst konsequent an.

Diese zunehmende Vernetzung und Anbindung industrieller Steuerungs- und Automatisierungssysteme (ICS) an das Internet sorgt auch dafür, dass diese zunehmend Cyber-Angriffen ausgesetzt sind.

Die Fernwirktechnik ist ein wesentlicher Bestandteil der Automatisierung wasserwirtschaftlicher Anlagen. In Zuge der Digitalisierung bieten Ethernet-basierte Lösungen vielfältige Vorteile, beinhalten andererseits jedoch einige Herausforderungen. Via Ethernet werden oftmals Daten mit den Außenbauwerken ausgetauscht.

Allerdings kann die Ethernet-basierte Vernetzung ebenfalls eingesetzt werden, um die Verfügbarkeit der Technik erheblich zu beeinflussen. Fast jeden Tag berichten die Medien von Angriffen mit Schadsoftware und deren gravierenden Folgen. Die Digitalisierung der Prozesse muss also unbedingt mit einer guten Strategie zur Umsetzung der IT-Sicherheit einhergehen.

Energieversorgung und Netzsteuerung sind Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig. Dies macht IT-Sicherheit in der Energiebranche essentiell.

Die Daten bestehender Prozesstechnik-Anlagen für neue Technologien zu nutzen und so von den Mehrwerten cloudbasierter Auswertungen zu profitieren, das ist der Wunsch vieler Betreiber. Um Industrie 4.0-Technologien in einer vorhandenen prozesstechnischen Anlage einsetzen zu können, sind im ersten Schritt Daten aus dem Betrieb zusammenzutragen. Neue Analyse- und Überwachungsmethoden sind einfacher nutzbar, wenn der volle Zugriff auf die Daten der Prozessanlage vorhanden ist. Wichtig ist, dass der Datenzugriff sicher und rückwirkungsfrei ist.

Aber nicht nur aus dem Internet drohen Gefahren, auch das Fehlverhalten durch Dienstleister oder der eigenen Mitarbeiter kann zu Störungen und Produktionsstillständen führen. Ausfälle, Sabotage oder Datenverlust können hohe wirtschaftliche Schäden verursachen. Denn Stillstandzeiten bedeuten nicht nur finanzielle Verluste, sondern gefährden zudem Liefertermine und folglich Image und Reputation des Unternehmens.
Die ICS Security nimmt daher immer stärker an Bedeutung zu.

IEC 62443
Die Norm IEC 62443 ist eine Serie von Dokumenten und befasst sich mit der IT-Sicherheit sogenannter „Industrial Automation and Control Systems (IACS)“. Der Begriff IACS steht dabei für alle Bestandteile, wie Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind.

Durch ihre spezifische Ausrichtung auf den Industriebereich setzt sich die IEC 62443 auch markant von der ISO 27001 ab, welche sich eher mit klassischen IT-Systemen beschäftigt.

Für die Betreiber der kritischen Infrastruktur deckt die ICE 62443 alle Anforderungen an ein sicheres Lösungsdesign, Inbetriebnahme, Betrieb und Wartung ab. In der Prozessindustrie ist die IEC 62443 der „Hausstandard“.

Die IEC 62443 ist der internationale Security-Standard für Automatisierungsanlagen.

Brexit – Neues Konformitätszeichen UKCA

Veröffentlicht: 22 Februar 2019

Die Eintrittswahrscheinlichkeit eines „no-deal-Brexit“, also der Fall, dass der Brexit am 29. März 2019 ohne Übergangsabkommen wirksam wird, steigt täglich. Für den Fall hat jetzt die britische Regierung vorsorglich ein eigenes Konformitätszeichen geschaffen, dass die CE-Kennzeichnung im Vereinigten Königreich ersetzt, die UKCE-Kennzeichnung. Aus der offiziellen Mitteilung ergibt sich daraus folgendes:

  • ist bei einem Produkt an der Konformitätsbewertung eine britische notifizierte Stelle beteiligt (bisher CE mit Kennnummer einer britischen Stelle) muss bereits ab dem 29. März 2019 die neue UKCA-Kennzeichnung angebracht werden.
  • ist dagegen eine notifizierte Stelle mit Sitz in dem Rest EU beteiligt gewesen oder es war gar keine notifizierte Stelle beteiligt können die Produkte zunächst auch nach dem 29. März 2019 mit der CE-Kennzeichnung für eine (noch offene) Übergangszeit weiter auf dem britischen Markt vermarktet werden.

Die offizielle Mitteilung finden Sie auf der Internetseite des Department for Business, Energy & Industrial Strategy unter:
https://www.gov.uk/government/publications/prepare-to-use-the-ukca-mark-after-brexit/using-the-ukca-marking-if-the-uk-leaves-the-eu-without-a-deal

Die UKCA-Kennzeichnung gilt aber nur für den britischen Markt, also für Produkte, die dorthin exportiert werden. Produkte, die in den Europäischen Wirtschaftsraum nach dem 29. März 2019 importiert werden, benötigen weiterhin die bisherige CE-Kennzeichnung.

Überarbeitung Maschinenrichtlinie – Roadmap der EU-Kommission

Veröffentlicht: 4 Februar 2019

Die EU-Kommission hat unter https://ec.europa.eu/info/law/better-regulation/initiatives/ares-2018-6426989_en eine Roadmap zur Überarbeitung der Maschinenrichtlinie veröffentlicht. Dort können weitere Einzelheiten zu den Plänen der Kommission nachgelesen werden und bis 11. Februar auch eine kurze Stellungnahme dazu abgegeben werden. In Kurzform die wesentlichen Punkte und Ziele der EU-Kommission:

  • Die Überarbeitung der Maschinerichtlinie scheint kaum noch abwendbar.
  • Anpassung an das NLF, da die EG-Maschinenrichtlinie 2006/42/EG nicht mit diesem übereinstimmt.
  • Größere Rechtssicherheit bei Definitionen und Anwendungsbereich.
  • Berücksichtigung neuer Aspekte der Digitalisierung.
  • Bisherige Vorgabe, die Betriebsanleitung in Papierform auszuliefern zu müssen.
  • Ab April 2019 umfassende öffentliche Konsultation.
  • Ab April 2021 Verabschiedung eines Kommissionsentwurfs zur Beratung in Rat und Parlament

EU beschließt Rechtsakt zur Cybersicherheit

Veröffentlicht: 12 Dezember 2018

Die EU-Verhandlungsführer haben sich auf eine Erhöhung der Cybersicherheit in Europa am gestrigen Dienstag, den 11. Dezember 2018 geeinigt. Das Europäische Parlament, der Rat und die Europäische Kommission haben eine politische Einigung über den Rechtsakt zur Cybersicherheit erzielt, mit dem das Mandat der EU-Cybersicherheitsagentur (Agentur der Europäischen Union für Netz- und Informationssicherheit, ENISA) gestärkt wird, damit sie die Mitgliedstaaten besser bei der Bewältigung von Bedrohungen und Angriffen im Bereich der Cybersicherheit unterstützen kann. Damit wird auch ein EU-Rahmen für die Cybersicherheitszertifizierung geschaffen, der die Cybersicherheit von Online-Diensten und von Endgeräten für Verbraucher stärkt.
Weitere Informationen über den Link der EU-Kommissionseite.

Neues Amtsblatt zur Niederspannungsrichtlinie 2014/35/EU veröffentlicht

Veröffentlicht: 18 September 2018

Die EU-Kommission hat am 14. September eine Liste der aktuellen harmonisierten Normen in dem Amtsblatt C 326/4 veröffentlicht. Die in der Liste aufgeführten Normen lösen die sogenannte Vermutungswirkung zur Niederspannungsrichtlinie aus, d.h. deren Anwendung erfühlen die Schutzziele der Niederspannungsrichtlinie 2014/35/EU. Mehrmals im Jahr aktualisiert die Kommission die Liste und führt und in der selbigen auch die Übergangszeit von einer alten Norm zu der aktualisierten Norm mit auf.  Der Nachfolgende Link geht direkt auf die Liste der harmonisierten Normen:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv:OJ.C_.2018.326.01.0004.01.DEU&toc=OJ:C:2018:326:TOC

Spargel sortieren, aber sicher

Veröffentlicht: 4 Juni 2018

Gesund und lecker, auf jeden Fall für die meisten, landet der Spargel in seiner Saison von Mitte April bis Ende Juni auf vielen Tellern. Was Phoenix Contact mit Spargel zu tun hat?

Wie so oft in unserer Gesellschaft bleibt die maschinelle Behandlung auch beim Spargel nicht aus. Oft geht es darum, die Lebensmittel vom Feld direkt in eine bestimmte Form zu bringen, um sie beispielsweise besser in den unterschiedlichsten Verpackungsgrößen vermarkten zu können.

Für den Spargel gibt es eine automatisierte Spargelsortiermaschine des Maschinenbauers Neubauer Automation aus Welver im Kreis Soest, der Weltmarktführer für diese Anlagen ist.

In der 27 Meter langen Maschine wird der Spargel gewaschen, mit einem Wasserstrahl von 1.200 bar auf gleiche Länge pro Verpackungseinheit geschnitten, nach 16 unterschiedlichen Kriterien sortiert, und zum Schluss abgewogen. Innerhalb von einer Stunde schafft der Espaso S60 SEC, so der Name des Modells, 45.000 Stangen, was – abhängig vom Durchschnittsgewicht des Spargels – ungefähr zwei Tonnen Spargel entspricht.

Damit ein sicherer Betrieb der Anlage gewährleistet werden kann, ist es entscheidend, praktikable und angemessene Safety-Lösungen zu erarbeiten und diese anschließend in die Maschine zu integrieren.

Im Rahmen einer Risikobeurteilung gemäß DIN EN ISO 12100 wurde die Maschine auf den aktuellen Stand der Technik gebracht. Die zur Maschinenrichtlinie harmonisierte Norm für die Risikobeurteilung ist die DIN EN ISO 12100. Sie beschreibt die allgemeinen Gestaltungsleitsätze und Begriffsdefinition für die Sicherheit von Maschinen. Die Terminologie und Methodologie unterstützt Maschinenhersteller dabei, Risiken beurteilen zu können und zu minimieren. Konstrukteure werden somit in die Lage versetzt, sichere Maschinen zu konstruieren und signifikante Gefährdungen zu identifizieren. Betrachtet werden dabei nicht nur offensichtliche mechanische, sondern unter anderem auch elektrische oder durch Hochdruck auftretende Gefahren bis hin zur Berücksichtigung der vernünftigerweise vorhersehbaren Fehlanwendung.

Dabei setzte sich die Risikobeurteilung zusammen aus der Risikoanalyse, in der die Risiken eingeschätzt werden, und der daraus folgenden Risikobewertung. Im Rahmen dieser Risikobewertung wird anhand des für jede Maschine definierten, akzeptablen Restrisikos entschieden, ob eine Risikominderung stattfinden muss. Unter der Berücksichtigung des „Drei-Stufen-Verfahrens“ zur Minimierung von Risiken wurden die Erkenntnisse gemeinsam mit den Elektro- und Mechanikkonstrukteuren in die Dokumentation und letztendlich in die Maschine integriert. Das Ziel war dabei nicht nur die normgerechte Erstellung der Risikobeurteilung anhand bewährter und flexibler Moderationsdokumente von Phoenix Contact, sondern ein weiterer wesentlicher Aspekt kam hinzu: die Schulung und das Coaching der Projektmitglieder. „Es geht uns darum, unser Fachwissen zum Thema Safety mit den Maschinenbauern zu teilen, so dass sie es für zukünftige Projekte anwenden können.“

„Meine Mitarbeiter sind jetzt in der Lage, auf Basis des neu erworbenen Wissens Maschinen zu konstruieren, die den Richtlinien entsprechen. So können wir für unsere Kunden eine hohe Qualität sicherstellen. Und gleichzeitig bedeutet das auch Rechtssicherheit für uns“, freut sich Hermann Neubauer über das Ergebnis der Zusammenarbeit.

Safety auf der Brücke

Veröffentlicht: 20 April 2018

Die Transportinfrastruktur auf dem Wasser wird mit jeder Modernisierung intelligenter automatisiert. Entsprechende Maßnahmen zielen unter anderem darauf ab, die Applikationen mit weniger Personal zu betreiben.

Vor diesem Hintergrund werden nautische Objekte, wie Brücken und Schleusen zunehmend an eine entfernte Leitzentrale angebunden und für eine kameragestützte Fernbedienung umgerüstet. Dabei handelt es sich bei Brücken oder Schleusen ebenfalls um Maschinen, die seit 1995 nach Maschinenrichtlinie 2006/42/EG bei einem Neubau oder einer wesentlichen Veränderung den Anforderungen für Maschinensicherheit entsprechen müssen. Die Maschinenrichtlinie (MRL) fordert bei jeder Maschine ein oder mehrere Not-Halt-Befehlsgeräte. Damit es nicht zu Unstimmigkeiten oder gar Unfällen kommt, darf an der Stelle des (Fern-)Bedieners nur ein einziges Not-Halt-Befehlsgerät geben. Einem Objekt, das lokal bereits über ein eigenes Not-Halt-Befehlsgerät verfügt, wird somit während der Fernbedienung temporär ein ergänzendes Not-Halt-Befehlsgerät zugeschaltet, welches in der Leitzentrale installiert ist. Die SafetyBridge Technologie von Phoenix Contact bieten hier eine einfache Möglichkeit, um beispielsweise in einem vorhandenen Automatisierungsnetzwerk eine Not-Halt-Funktion nachzurüsten. Natürlich lässt sich das beschriebene Verfahren auch in zahlreichen industriellen Bereichen einsetzen, z.B. autarke Regalbediengeräte in der Logistik. Bei der Umsetzung und Projektierung stehen euch die Mitarbeiter des Competence Center Services mit unterstützenden Dienstleistungen mit Rat und Tat zur Seite.