Im Oktober 2019 wurde die DIN EN ISO 20607 -Sicherheit von Maschinen –Betriebsanleitung –Allgemeine Gestaltungsgrundsätze- veröffentlicht. Die langerwartete Typ-B Norm setzt die allgemeinen Anforderungen der Grundlagennorm DIN EN 82079-1
– Erstellen von Betriebsanleitungen – speziell für Maschinen um und stellt darüber hinaus einen Bezug zur DIN EN ISO 12100-1 her. Auch wenn Harmonisierung der Norm bislang noch aussteht, sollte der DIN EN ISO 20607 bereits ein besonderes Augenmerk gewidmet werden. Technische Redakteuren und CE-Verantwortliche im Maschinenbau-Umfeld profitieren von der guten Aufarbeitung der allgemeinen Anforderungen für Ihre Produkte.
Industrial Security and Safety Services
In der Praxis findet man noch immer Maschinen und Anlagen vor, die keine CE-Kennzeichnung aufweisen, aber nach EG-Maschinenrichtlinie
seit dem 1. Januar 1995 eine Kennzeichnung haben müssten. Seit diesem Datum regelt die EG-Maschinenrichtlinie das Inverkehrbringen,
den Import von Maschine aus Drittstaaten und die Inbetriebnahme eindeutig. Fraglich ist also, ob diese Maschinen ohne CE-Kennzeichnung
nach der Definition der EG-Maschinenrichtlinie 2006/42/EG sicher sind und sicher betrieben werden können….
Seit 11.2019 ist die neue Norm DIN EN ISO 13851:2019-11 „Sicherheit von Maschinen – Zweihandschaltungen – Funktionelle Aspekte und Gestaltungsleitsätze“ erschienen und ersetzt nun die DIN EN 574:2008-12, die inzwischen zurückgezogen wurde. Die Norm beschreibt die Haupteigenschaften von Zweihandschaltungen zur Erlangung von Sicherheit und liefert Kombinationen von funktionalen Eigenschaften für 3 Typen. Sie liefert Anforderungen an die Gestaltung und Anleitungen zur Auswahl (als Ergebnis der Risikobeurteilung) von Zweihandschaltungen einschließlich der Verhinderung des Umgehens, des Vermeidens von Ausfällen und der Konformitätsüberprüfung. Die Norm gilt für alle Zweihandschaltungen, unabhängig von der Energie, einschließlich:
– Zweihandschaltungen, die für die Montage komplett zusammengebaut vorliegen
– Zweihandschaltungen, die vom Maschinenhersteller oder Integrierer zusammengebaut werden
Die EU-Kommission hat zur EG-Maschinenrichtlinie am 6.11.2019 die neue Version 2.2 des Leitfadens veröffentlicht.
Auf Ihrer Internetseite kann unter dem LINK die Fassung des Leitfadens mit der Versionsnummer 2.2 in englischer Sprache heruntergeladen werden.
Andere Sprachfassungen sind von der Kommission nicht geplant, das schließt aber Übersetzungen auf nationaler Ebene wie in der Vergangenheit etwa durch das BMAS nicht aus.
Zur bisherigen Version 2.1 unterscheidet sich die aktuelle Version vorwiegend durch Ergänzungen und Klarstellungen insbesondere zu den Themen Sicherheitsbauteile und unvollständige Maschinen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde des Bundes hat seinen (Link:) Lagebericht über die Bedrohungen Deutschlands, seiner Bürgerinnen und Bürger und seiner Wirtschaft im Cyber-Raum heute vorgestellt. Zudem werden Gegenmaßnahmen des BSI und die gemeinsam mit Partnern gefundenen Lösungsansätze für die Akteure in Staat, Wirtschaft und Gesellschaft dargestellt.
„Ein wesentliches Risiko für Anwender in Staat, Wirtschaft und Gesellschaft ging dabei von der Schadsoftware Emotet aus, die das BSI bereits im Dezember 2018 als die gefährlichste Schadsoftwareder Welt bezeichnet hatte. Diese Einschätzung wurde durch die erheblichen Schäden bestätigt, die durch Cyber-Angriffe mit Emotet entstanden sind. Auch unabhängig von Emotet zählt Ransomware nach wie vor zu den größten Bedrohungen für Unternehmen, Behörden und andere Institutionen sowie für Privatanwender. Immer wieder kommt es zu Komplettausfällen von Rechnern und Netzwerken, aber auch von Produktionsanlagen.“ (Quelle www.bsi.bund.de)
Die funktionale Sicherheit richtet sich nach vielen Gesetzen, Normen und Richtlinien. Es ist genau festgelegt, welche Sicherheitsanforderungen für den Betrieb einer Maschine oder Anlage erfüllt sein müssen. Auch in Bezug auf Cybersecurity sind Unternehmen dazu verpflichtet, IT- und Informationssicherheit zu gewährleisten. Jedoch ist es Maschinenherstellern und Anlagenbetreibern nicht immer möglich alle Sicherheitsrisiken zu identifizieren und einzuschätzen. Aus diesem Grund ist es bei vernetzten Automatisierungssystemen nicht nur wichtig, die Anforderungen der funktionalen Sicherheit zu erfüllen, sondern auch das gesamte System vor äußeren Angriffen zu schützen. Unser Senior Specialist Safety, Carsten Gregorius, hat sich genau mit dieser Thematik befasst um die Schnittstellen zwischen Functional safety und Cybersecurity zu ermitteln, bewerten und Handlungsempfehlungen zu geben.
Der Verband Deutscher Maschinen- und Anlagenbau e. V. (VDMA) hat nach 2013 eine erneute Befragung zur Industrial Security unter produzierenden Unternehmen in Deutschland durchgeführt und in einer 47-seitigen PDF veröffentlicht. Inhaltlich geht es dabei vorrangig um die Fragen, welche Kompetenzen die Unternehmen diesbezüglich aufgebaut haben, welche Standards und Maßnahmen zum Einsatz kommen, welche Bedrohungen aus aktueller Sicht das größte Risiko darstellen und welche Auswirkungen Security-Vorfälle verursacht haben.
Interessant: zu den Bedrohungen mit der höchsten Risikoeinschätzung gehören nach wie vor „Menschliches Fehlverhalten und Sabotage“ (Platz 1)
und das „Einschleusen von Schadsoftware“ (Platz 2). Neu unter den Top 10 Bedrohungen ist „Social Engineering und Phishing“ auf Platz 3 (Quelle: VDMA: Studie 2019, Industrial Security im Maschinen- und Anlagenbau). Die gesamte Studie kann als PDF beim VDMA mit dem Link angefordert werden.
Passende Seminare zu dem Thema bietet PHOENIX CONTACT als vor Ort oder Inhouse Seminare an unter: Link.
Die Europäische Kommission hat am 15 Juli in ihrem Amtsblatt ein Durchführungsbeschluss zur Änderung des Verzeichnisses der harmonisierten Normen zur EG-ATEX-Richtlinie 2014/34/EU veröffentlicht.
Das Vorgehen ist gleich mit dem zur Veröffentlichung von Amtsblättern für die EG-Maschinenrichtlinie 2006/42/EG.
Für die Anwender bedeutet dies, dass der Durchführungsbeschluss vom 15.07.2019 zur EG-ATEX-Richtlinie nun auch gemeinsam mit der zuletzt gültigen konsolidierten Liste der harmonisierten Normen angewendet werden muss um zu ermitteln, welche Normen Konformitätsvermutung für die ATEX-Richtlinie auslösen.
LINK zum Duchführungsbeschluss
Die Deutsche Gesetzliche Unfallversicherung (DGUV) hat im April ein Informationsblatt zum Thema „Risikobeurteilung von Maschinen und Anlagen – Maßnahmen gegen Manipulation von Schutzeinrichtungen (209-092)“ herausgebracht.
In vielen Fällen sind Schutzeinrichtungen bereits ab Werk so gestaltet, dass der Betrieb der Maschine beeinträchtigt wird. Werden die Schutzeinrichtungen der Maschine infolgedessen manipuliert, liegt eine vorhersehbare Fehlanwendung vor, die der Hersteller bereits bei der Maschinenkonstruktion hätte berücksichtigen müssen. Der Hersteller muss dementsprechend für die Maschine Betriebsarten vorsehen, die das gefahrlose Einrichten, Warten und Suchen von Fehlern ermöglichen, ohne dass dafür die Schutzeinrichtung manipuliert werden muss.
Das Informationspapier gibt hier eine Hilfestellung, ob die angewandten technischen und organisatorischen Gestaltungsgrundsätze ausreichen, die Manipulation von Schutzeinrichtungen zu verhindern.
Das Papier kann über diesen externen Link bei der DGUV kostenfrei runtergeladen werden.
Phoenix Contact wurde vom TÜV Süd als eines der ersten Unternehmen in Deutschland nach der Normreihe für IT-Sicherheit IEC 62443-4-1 und 2-4 zertifiziert. Dies bestätigt, dass das Unternehmen:
- die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1, sowie
- das Design von sicheren Automatisierungslösungen entsprechend dem Prozess IEC 62443-2-4
durchführt.
Diese Zertifizierungen unterstreichen die Strategie von Phoenix Contact, standardisierte Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen.
Bei Secure-by-Design-Produkten werden Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes berücksichtigt. So werden spätere Sicherheitslücken verhindert.
Diese Sicherheitsmechanismen werden immer wichtiger, da Geräte und Sensoren zunehmend über das Internet vernetzt sind. Da immer mehr Prozesse über Software laufen, öffnen sich neue Angriffsflächen.
Die zentralen Elemente in der Norm zur IT-Sicherheit Teil 4-1und 2-4 sind zum einen eine Bedrohungs- und Risikoanalyse auf Basis des Anwendungsszenarios. D.h. es werden für Geräte und Systeme Anwendungsbeispiele und die erforderlichen Härtungsmaßnahmen festgelegt.
Für Automatisierungslösungen wird ein Sicherheitskonzept mit den erforderlichen Schutzmaßnahmen erarbeitet. Zum anderen wird ein Produkt- oder Lösungsentwicklungsprozess etabliert, mit dem sicher nachvollzogen werden kann, dass alle identifizierten Security-Anforderungen implementiert, verifiziert und dokumentiert werden.
Zusätzlich sind Gerätehersteller dazu aufgefordert, auf Security-Schwachstellen angemessen zu reagieren und verlässlich Security-Updates zu veröffentlichen. Diese Anforderung wird bei Phoenix Contact durch das neu etablierte Product Security Incident Response Team (PSIRT) übernommen.
Dieses Team informiert Anwender von Phoenix Contact-Produkten über bekannte Sicherheitslücken und ist zur gleichen Zeit die Stelle, bei der Anwender gefundene Sicherheitslücken vertraulich melden können. PSIRT hält sich bei der Bearbeitung, Bewertung und Veröffentlichung von Reports und Updates an die Prozesskette, die in der IEC 62443 gefordert wird.
„Bereits im Herbst 2018 wurde der Entwicklungsprozess für Produkte bei Phoenix Contact nach der Norm IEC 62443-4-1 zertifiziert. Damit ist Secure-by-Design bei uns fester Bestandteil bei der Entwicklung eines Security-Produktes“ hebt Roland Bent, CTO Phoenix Contact, die Maßnahmen im Unternehmen hervor.
„Der nächste konsequente Schritt ist nun auch getan. Mit der jetzt erfolgten Zertifizierung wird bestätigt, dass unser Branchen-Marktmanagement sichere Automatisierungslösungen für unsere Kunden, entsprechend der Norm IEC 62443-2-4, entwickeln und umsetzen kann.“
„Die Zusammenarbeit mit dem TÜV SÜD war sehr zielorientiert und kompetent“, bestätigen die Projektleiter, Boris Waldeck für IEC 62443 4-1, und Werner Neugebauer für IEC 62443-2-4. „Da diese Norm noch ein neuer Standard ist, war es wichtig, ein gemeinsames Verständnis der Anforderungen und deren Umsetzung zu erarbeiten.“
Cyber Security ist in jeder Industrie relevant
Egal ob Hersteller oder Betreiber, Industrie oder kritische Infrastruktur – das Thema Cyber Security ist für alle wichtig. Die Welt der Automatisierungstechnik wächst immer stärker mit der Welt der IT zusammen. Anlagengrenzen verschwimmen, die Menge der verfügbaren Daten steigt und der Austausch von Daten und Informationen wächst konsequent an.
Diese zunehmende Vernetzung und Anbindung industrieller Steuerungs- und Automatisierungssysteme (ICS) an das Internet sorgt auch dafür, dass diese zunehmend Cyber-Angriffen ausgesetzt sind.
Die Fernwirktechnik ist ein wesentlicher Bestandteil der Automatisierung wasserwirtschaftlicher Anlagen. In Zuge der Digitalisierung bieten Ethernet-basierte Lösungen vielfältige Vorteile, beinhalten andererseits jedoch einige Herausforderungen. Via Ethernet werden oftmals Daten mit den Außenbauwerken ausgetauscht.
Allerdings kann die Ethernet-basierte Vernetzung ebenfalls eingesetzt werden, um die Verfügbarkeit der Technik erheblich zu beeinflussen. Fast jeden Tag berichten die Medien von Angriffen mit Schadsoftware und deren gravierenden Folgen. Die Digitalisierung der Prozesse muss also unbedingt mit einer guten Strategie zur Umsetzung der IT-Sicherheit einhergehen.
Energieversorgung und Netzsteuerung sind Teil der Kritischen Infrastrukturen (KRITIS) in Deutschland. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Die Funktionsfähigkeit der Energieversorgung ist von einer intakten Informations- und Kommunikationstechnologie abhängig. Dies macht IT-Sicherheit in der Energiebranche essentiell.
Die Daten bestehender Prozesstechnik-Anlagen für neue Technologien zu nutzen und so von den Mehrwerten cloudbasierter Auswertungen zu profitieren, das ist der Wunsch vieler Betreiber. Um Industrie 4.0-Technologien in einer vorhandenen prozesstechnischen Anlage einsetzen zu können, sind im ersten Schritt Daten aus dem Betrieb zusammenzutragen. Neue Analyse- und Überwachungsmethoden sind einfacher nutzbar, wenn der volle Zugriff auf die Daten der Prozessanlage vorhanden ist. Wichtig ist, dass der Datenzugriff sicher und rückwirkungsfrei ist.
Aber nicht nur aus dem Internet drohen Gefahren, auch das Fehlverhalten durch Dienstleister oder der eigenen Mitarbeiter kann zu Störungen und Produktionsstillständen führen. Ausfälle, Sabotage oder Datenverlust können hohe wirtschaftliche Schäden verursachen. Denn Stillstandzeiten bedeuten nicht nur finanzielle Verluste, sondern gefährden zudem Liefertermine und folglich Image und Reputation des Unternehmens.
Die ICS Security nimmt daher immer stärker an Bedeutung zu.
IEC 62443
Die Norm IEC 62443 ist eine Serie von Dokumenten und befasst sich mit der IT-Sicherheit sogenannter „Industrial Automation and Control Systems (IACS)“. Der Begriff IACS steht dabei für alle Bestandteile, wie Systeme, Komponenten und Prozesse, die für den sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind.
Durch ihre spezifische Ausrichtung auf den Industriebereich setzt sich die IEC 62443 auch markant von der ISO 27001 ab, welche sich eher mit klassischen IT-Systemen beschäftigt.
Für die Betreiber der kritischen Infrastruktur deckt die ICE 62443 alle Anforderungen an ein sicheres Lösungsdesign, Inbetriebnahme, Betrieb und Wartung ab. In der Prozessindustrie ist die IEC 62443 der „Hausstandard“.
Die IEC 62443 ist der internationale Security-Standard für Automatisierungsanlagen.