:quality(80)/p7i.vogel.de/wcms/d4/dc/d4dcd8f9483a923f2d25d034b8adde0d/magics28-light-mode-1137x640.png "(Bild: Materialise GmbH)")
:quality(80)/p7i.vogel.de/wcms/98/4a/984aaf12dddc2a2fc4efe8577893e378/adobestock-256154485-3778x2125.jpeg "Industrie 4.0 bietet echte Vorteile. Doch gerade für kleine und mittlere Unternehmen (KMU) kann die Komplexität der Implementierung schnell zur Herausforderung werden. (Bild: Alexander Limbach/AdobeStock)")
:quality(80)/p7i.vogel.de/wcms/47/c4/47c4b7a648ea744bab7846389de43c6c/nafem-20titel-693x390.png "(Bild: NAFEMS)")
:quality(80)/p7i.vogel.de/wcms/6d/94/6d94d68cc63c48d7e2c6c22df73273dc/ds-partnerschaft-20mit-20pepperl-2bfuchs-copyright-20pepperl-20-2b-20fuchs-1225x690.jpeg "Mit Pepperl+Fuchs hat Dassault Systèmes einen Partner gewonnen, der bestrebt ist, Deutschland als zukunftsträchtigen Standort der Elektroindustrie zu stärken und die digitale Transformation entscheidend voranzutreiben. (Bild: Pepperl+Fuchs)")
:quality(80)/p7i.vogel.de/wcms/2d/47/2d477267bbbef422f138e96edd307cdf/altair-cambridge-semantics-acquired-social-1120x630.jpeg "Altair übernimmt Cambridge Semantics und treibt die Entwicklung von Enterprise Data Fabric-Lösungen und generativer KI der nächsten Generation voran. (Bild: Shutterstock)")
:quality(80)/p7i.vogel.de/wcms/f3/9c/f39c16be30fccda88aa494f3bdb2a250/-dsc0871-1600x900.jpeg "Am 21. März 2024 hat Meusburger seine Kunden zum exklusiven Branchentreff nach Hohenems eingeladen. (Bild: Meusburger )")
:quality(80)/p7i.vogel.de/wcms/9e/3a/9e3ab3604f797ac319fad53b08e110bc/arch-motorcycle-landscape-1500x843.jpeg "Arch verbindet handwerkliches Können und Ingenieurskunst mit Präzisionstechnologien und maximiert dadurch das Leistungspotenzial seiner Motorräder. (Bild: Arch Motorcycle)")
:quality(80)/p7i.vogel.de/wcms/dd/94/dd94abe217cd99c88727fe2f7af9f037/1-1-mitsubishi-electric-fachpressetage-2024-sustainable-metal-recycling.jpeg "(Quelle: Mitsubishi Electric Europe B.V.)")
:quality(80)/p7i.vogel.de/wcms/56/57/56572110e89980dd02f98cf4140af936/photo-pi-017-24-linearmotormodule-5006x2817.png "Kompakt, wirtschaftlich und schnell: die einbaufertigen Linearmotor-Module LMM für anspruchsvolle Aufgaben. (Bild: Bosch Rexroth)")
:quality(80)/p7i.vogel.de/wcms/96/c1/96c1fc4c464a4e7b4f7d80e2605bb2f6/ifm-pm-20766-20print-202-2572x1447.jpeg "Das neue IO-Link-Temperaturmess-Modul ermöglicht Temperaturmessung in einer digitalisierten Umgebung. (Bild: ifm)")
:quality(80)/p7i.vogel.de/wcms/d1/f1/d1f1b5ee0bc0b5aa42221a31b5fea16a/tu-20graz-1336x751.jpeg "Jörg Moser (links) und Christian Ellersdorfer vom Institut für Fahrzeugsicherheit der TU Graz. (Bild: Lunghammer - TU Graz)")
:quality(80)/p7i.vogel.de/wcms/c2/d0/c2d0e7866f7a8347de3e6e43a9ce18cd/01-wittenstein-fts-antriebssystem-2600x1463.jpeg "Das FTS-Antriebssystem Cyber iTAS System 2 besteht aus Aktuator und Servoregler. (Bild: Wittenstein SE)")
:quality(80)/p7i.vogel.de/wcms/66/a3/66a39e78010b8008ed16aced9c1dd412/opn1pi758-02-de-2480x1394.jpeg "HyperMill 2024: Messpunkte zurückgelesen für verbesserte Qualität und Prozesskontrolle: Am 3D-Modell des Bauteils ist ersichtlich, welche Messpunkte außerhalb der Toleranz liegen. (Bild: Open Mind)")
:quality(80)/p7i.vogel.de/wcms/be/97/be9753ead010287aa2349055021c7de9/lenze-zukunftstag-2024-6000x3373.jpeg "Tüfteln und testen - Lenze lud Schülerinnen und Schüler zu Workshops ein. (Bild: Lenze)")
:quality(80)/p7i.vogel.de/wcms/7c/9a/7c9a0edeadd604a7fca4236bb207c93e/wibu-pr-flecs-web-1200x675.jpeg "Mit der CodeMeter-Technologie von Wibu-Systems und dem Flecs Marketplace werden industrielle Anwendungen modernisiert. (Bild: Wibu-Systems)")
:quality(80)/p7i.vogel.de/wcms/a6/3e/a63ecb93df1ede8678bff6d346f7238f/cotbos-for-20yu-p2a6028-20-28002-29-1200x675.jpeg "Auf die Teilnehmer wartet ein praxis- und lösungsorientierter Austausch mit zahlreichen Lösungsanbietern rund um das Thema Cobots. (Bild: Vogel Communications Group )")
:quality(80)/p7i.vogel.de/wcms/c8/6a/c86a9ebad226a43d067fbe5e1824b6ae/bearb-aufmacher-booster-20--20digitalisieren-20sie-20ihre-20ce-prozesse-blacksalmon-20via-20istock-1898x1067.jpeg "Beim Umstieg von der Maschinenrichtline auf die neue Maschinenverordnung können Unternehmen durchstarten und ihre CE-Prozesse digitalisieren. (Bild: BlackSalmon/iStock)")
:quality(80)/p7i.vogel.de/wcms/c1/76/c176ca7d0b3b7910e9a6ae023d814fc3/cadmeselipboard-05-07-2024-01-341x192.jpeg "(Bild: Mensch und Maschine Deutschland GmbH i)")
:quality(80)/p7i.vogel.de/wcms/c1/5b/c15bc9839ea82520ab5ab6e9fd77964c/f-press-release-aaa-fn-2024-03-3c-1000x562-999x562.jpeg "Auf seinem Messestand demonstriert Pilz, wie Anwender mit „Key in Pocket“ gleich eine Vielzahl unterschiedlicher Schutztüren sicher, flexibel und zeitsparend managen können. (Bild: Easyfairs GmbH)")
:quality(80)/p7i.vogel.de/wcms/39/66/396679df8866ee8e9ee3f691fa6c4c08/strategic-partnership-festo-phoenix-contact-full-b5000-5000x2814.png "Von links nach rechts sind folgende Personen abgebildet: Ulrich Leidecker, COO, Phoenix Contact; Gerhard Borho – Vorstand Information Technology and Digitalisation, Festo; Thomas Böck – Vorstandsvorsitzender, Festo, sowie Frank Stührenberg, CEO, Phoenix Contact. (Bild: Phoenix Contact)")
:quality(80)/p7i.vogel.de/wcms/a2/94/a29415f8532642020c9ed6f4ff925f3a/hm2024-13-0432-3600x2025.jpeg "Für Bundeswirtschaftsminister Robert Habeck ist die Hannover Messe das „Zugpferd des beginnenden Aufschwungs“ in Deutschland und Europa. (Bild: Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/74/b1/74b1df2e6351192ac8c951f5cdb5c084/garchinaussenansicht-4320x2430.jpeg "Mehr als 100 Millionen Euro Investition für neues Technology Center in Garching stärkt Siemens die Spitzenforschung und den Standort Deutschland. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/ad/fd/adfd7b78c2e194ca43ed256448cf14e3/ar-alliance.jpeg "(Quelle: Microoled)")
:quality(80)/p7i.vogel.de/wcms/9f/e1/9fe195fbe5e41a46c6f19a2908c45085/3spin-learning-1.jpeg "(Quelle: 3spin Learning)")
:quality(80)/p7i.vogel.de/wcms/69/b4/69b40a329d1c329315351c6973f9dcd2/dmitry-adobestock-401232340-1.jpeg "(Quelle: Dmitry/stock.adobe.com)")
Cyber Resilience Act: So sollen IoT-Produkte sicherer werden
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/b8/65b8f9763e6fb/logo-heidrive-amot-final-rgb-300x88.jpeg "logo-heidrive-amot-final-rgb-300x88 (Heidrive GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4f/5e4faeb73f8bb/ptc-logo--002-.png "PTC_Logo (002).png (PTC)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/61/39/6139c7f724ce7/amd-e-blk-rgb.jpeg "amd-e-blk-rgb (AMD)")
Cyberangriffe auf Privatpersonen, Unternehmen und Behörden verursachen erhebliche Schäden. Deshalb soll sich die Situation auf nationaler und europäischer Ebene durch neue Gesetze verbessern. Eines davon ist der Cyber Resilience Act, an dem die EU-Kommission gerade arbeitet. Was sieht der Gesetzentwurf vor?
Bereits heute müssen sich Anlagenbetreiber an rechtliche Bestimmungen wie die NIS-Richtlinie (Network and Information System) oder das deutsche IT-Sicherheitsgesetz halten. In Zukunft kommt der geplante Cyber Resilience Act (CRA) hinzu. Er umfasst verbindliche Vorgaben an die Cyber-Security von Produkten. Der Entwurf des CRA wurde im September 2022 veröffentlicht. Die folgenden Überlegungen beziehen sich auf dieses Konzept. Das endgültige Gesetz kann also noch Überarbeitungen enthalten. Darüber hinaus bietet dieser Artikel lediglich eine grobe Zusammenfassung der komplexen Thematik.
Was ist vom Cyber Resilience Act betroffen?
Der Cyber Resilience Act wirkt sich auf alle „Produkte mit digitalen Elementen“ aus, die Kommunikationsfähigkeiten haben. Er deckt damit sowohl Hardware als auch Software ab. Der CRA orientiert sich am New Legislative Framework, macht folglich verbindliche Vorgaben, die beim Inverkehrbringen von Produkten einzuhalten sind. Produkte, die diesen Regeln entsprechen, tragen ein CE-Kennzeichen. Im Umkehrschluss bedeutet dies, dass nicht-konforme Produkte nicht mehr in den Verkehr gebracht werden dürfen. Die Aussage gilt ebenfalls für Bestandsprodukte: Werden die Cyber-Security-Anforderungen nicht erfüllt, muss der Anbieter deren Verkauf einstellen.
Wesentliche Inhalte des CRA im Überblick
Die folgende Aufstellung soll einen ersten Überblick über die Inhalte des Cyber Resilience Acts geben:
→ Produktanforderungen
Anhang 1 des CRA benennt die essenziellen Anforderungen an das Produkt. Sie sind bei der Konzeption, Entwicklung und Herstellung zu berücksichtigen, müssen somit auf einem sicheren Entwicklungsprozess basieren. Die Anforderungen umfassen unter anderem den Zugriffsschutz, den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sowie einen sicheren Auslieferungszustand. Art und Qualität der Umsetzung haben sich an den Risiken zu orientieren, die bei einem bestimmungsgemäßen Gebrauch auftreten können.
→ Prozessanforderungen
Der notwendige sichere Entwicklungsprozess wird durch die Pflicht zur Behandlung von Schwachstellen ergänzt. Diese müssen „unverzüglich“ behoben werden, zum Beispiel durch die Bereitstellung von Sicherheitsaktualisierungen. Eine solche Pflicht erstreckt sich über die Dauer von fünf Jahren und muss für die Kunden kostenfrei sein. Ebenso sind die Hersteller verpflichtet, die Produkte für diesen Zeitraum aktiv auf Schwachstellen zu untersuchen. Der CRA führt zudem neue Meldepflichten ein. Erfährt der Hersteller, dass Schwachstellen in Produkten aktiv ausgenutzt werden, muss er das an die europäische Behörde ENISA (European Union Agency for Cybersecurity) melden. Gleiches gilt, wenn er Angriffe auf sein Unternehmen feststellt, welche die Security der Produkte betreffen könnten, etwa durch Manipulation von Downloadbereichen.
→ Konformitätsbewertung
Vor der Bereitstellung eines Produkts auf dem Markt ist der Hersteller dafür verantwortlich, die Konformität des Produkts im Hinblick auf die Anforderungen zu bewerten. Je nach der im Gesetz vorgesehenen Einstufung des Produkts in Bezug auf die Kritikalität müssen dafür entsprechende Maßstäbe eingehalten werden, beispielsweise die Vorgaben der harmonisierten europäischen Normen und/oder eine Prüfung durch eine benannte Stelle. Der Fokus der EU liegt dabei auf dem Bereich der Industrie und hier insbesondere der kritischen Infrastrukturen. In diesem Umfeld ist absehbar, dass harmonisierte Normen angewendet werden müssen und/oder sich die Hersteller an eine benannte Stelle zu wenden haben.
→ Einbindung in eine andere Produktregulierung
Der Entwurf zum Cyber Resilience Act enthält auch Artikel, die die Wechselwirkung mit anderen Gesetzen tangieren. Hierdurch soll sichergestellt werden, dass Security-Anforderungen abgestimmt und nicht widersprüchlich sind.
→ Sanktionen
Die Befolgung der Vorgaben des CRA wird im Rahmen der Marktüberwachung stattfinden. Bei einer Nichterfüllung können die Behörden eine Nachbesserung oder den Rückruf des Produkts verlangen. Ferner lassen sich Bußgelder von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Jahresumsatzes verhängen.
Zusätzlicher Aufwand für die Hersteller
Hersteller werden also zukünftig nach einem sicheren Entwicklungsprozess arbeiten und vor der Freigabe für die Umsetzung sämtlicher Security-Maßnahmen sorgen müssen. Es entstehen folglich zusätzliche Aufwände im Bereich der Konstruktion, Entwicklung und der Tests, die sich auf die Ressourcen und/oder die Zeit auswirken werden. Es ist außerdem davon auszugehen, dass die Pflicht, Produkte ohne dem Hersteller bekannte Schwachstellen auszuliefern, sowie die möglicherweise notwendige Einbindung einer benannten Stelle die Flexibilität einschränken und die Veröffentlichung neuer Produkte oder Produktversionen verlangsamen werden. Für Anwender bietet der Cyber Resilience Act jedoch große Vorteile, da das Sicherheitsniveau erheblich steigen und sich die Cyber-Security-Risiken deutlich reduzieren werden.
In der Automatisierungstechnik hat sich in den letzten Jahren die internationale Norm IEC 62443 als relevanter Standard für Cybersecurity herausgebildet. Die essenziellen Anforderungen aus dem CRA werden durch den sicheren Entwicklungsprozess gemäß IEC 62443-4-1 und die funktionalen Anforderungen nach IEC 62443-4-2 bereits gut abgedeckt. Hersteller aus diesem Bereich orientieren sich schon seit längerem an diesen Standards und positionieren sich über ihre Verbände entsprechend.
Cyber Resilience Act: Noch viel Klärungsbedarf
Selbst wenn der Cyber Resilience Act grundsätzlich gute Konzepte verfolgt, bestehen noch zahlreiche Herausforderungen in den Details. Im Gesetz ist zum Beispiel eine Umsetzungsfrist von lediglich zwei Jahren vorgesehen. Dies wird für viele Hersteller schwierig bis unmöglich zu realisieren sein, denn unter Umständen müssen Produktportfolios um- oder neuentwickelt werden. Erschwerend kommt hinzu, dass Normen je nach Anwendungsbereich neu zu erarbeiten oder wenigstens anzupassen sind. Die Hersteller müssten somit Entwicklungen durchführen, ohne dass bereits Details geklärt wären. Ein aufgrund der langen Lebenszyklen in der Automatisierungstechnik relevantes Thema stellt darüber hinaus der Umgang mit Ersatzteilen dar. Der aktuelle Entwurf plant hierzu keine Regelung ein. Dies hat die Konsequenz, dass dem Kunden im Austauschfall nur ein Produkt aus der derzeitigen Fertigung bereitgestellt werden kann, das dem aktuellen Stand der Technik entspricht. Ein solches Produkt muss der Anwender möglicherweise komplett neu integrieren, weil sich Schnittstellen und Funktionen geändert haben.
Zusätzliche Berücksichtigung organisatorischer Maßnahmen
Der Cyber Resilience Act wird die Cybersicherheit erheblich verbessern. Eine höhere Cybersecurity lediglich der Produkte reicht dennoch nicht aus. Zudem müssen die Produkte sicher eingerichtet und betrieben werden. Im professionellen Einsatz wird also weiterhin ein Informationssicherheits-Managementsystem (ISMS) benötigt, das ebenfalls die erforderlichen organisatorischen Maßnahmen berücksichtigt. Zu diesem Zweck hat die EU gerade die Richtlinie Network and Information System (NIS) in der zweiten Version veröffentlicht, die ebenso neue oder erweiterte gesetzliche Anforderungen stellt. Bei der Weiterentwicklung des Gesetzentwurfs wird zu beobachten sein, wie der Gesetzgeber auf die oben genannten und zusätzlichen Herausforderungen eingeht.
Gut gerüstet
Phoenix verfolgt den Ansatz einer 360-Grad-Security, die sichere Produkte als wesentliches Element berücksichtigt. Sichere Produkte werden gemäß IEC 62443-4-1 entwickelt und erfüllen die Anforderungen an Security-Funktionen nach IEC 62443-4-2. Die Behandlung von Schwachstellen geschieht über das PSIRT-Team (Product Security Incident Response Team). Vor diesem Hintergrund ist Phoenix Contact gut aufgestellt hinsichtlich der neuen gesetzlichen Anforderungen. Gleichzeitig bietet das Unternehmen seinen Kunden sichere Applikationslösungen und Dienstleistungen an. Der TÜV Süd hat die entsprechenden Cyber-Security-Prozesse gemäß IEC 62443 als unabhängige Stelle zertifiziert
Der Autor Dr.-Ing. Lutz Jänicke ist Corporate Product & Solution Security Officer bei Phoenix Contact.
Lesen Sie auch: Leistungsfähige Kleinstantriebe für die Robotik
:quality(80)/p7i.vogel.de/wcms/96/a7/96a7e820dab17a1c3b7c6929c60d3ba5/pilt-security-lehrgang.jpeg "pilt-security-lehrgang (Quelle: PeopleImages/E+/Getty Images, © Pilz GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/37/16/3716d454cd92a7c09e3bf633f63321c5/de-2024-02-800-phoenix-contact-aufmacher-930x523.jpeg "Sichere und nachhaltige Digitalisierung in der
Thermoprozesstechnik.
(Bild: Nimit Ketkham/Shutterstock.com)")