Cybersicherheit in der Automatisierungstechnik: Was die EU‑Maschinenverordnung 2023/1230 jetzt verlangt

Cybersicherheit in der Automatisierungstechnik ist kein Add-on mehr, sondern eine zentrale Anforderung der Konformitätsbewertung. Die EU‑Maschinenverordnung 2023/1230 rückt digitale Bedrohungen auf eine Stufe mit mechanischen und elektrischen Risiken: Schon vor dem Inverkehrbringen muss der Hersteller nachweisen, dass Manipulationen am Steuerungssystem keine gefährlichen Zustände hervorrufen können.

Damit verschiebt sich der Fokus: Neben Schutzhauben, Not-Halt-Kreisen und funktionaler Sicherheit zählen jetzt auch sichere Software, robuste Netzwerkarchitekturen, Nachweis der Änderungsverfolgung sowie Prozesse für Updates und Schwachstellenmanagement. Harmonisierte Normen speziell für Cybersecurity an Maschinen existieren noch nicht – akzeptierte Spezifikationen wie IEC/ISA 62443 liefern jedoch belastbare Leitplanken, um die rechtlichen Pflichten fundiert zu erfüllen.

Warum Cybersicherheit in der Automatisierungstechnik jetzt zur Pflicht wird

Früher arbeitete die Maschine eigenständig: lokaler Controller, Bedienpanel, Service vor Ort. Heute kommunizieren Steuerungen über industrielle Netzwerke, bekommen Remote-Updates und senden Produktionsdaten in Edge- oder Cloud-Umgebungen. Diese Vernetzung erhöht die Effizienz – sie erweitert aber auch die Angriffsfläche.

  • Fernzugriff: Unbefugte können bei mangelhafter Absicherung Steuerungslogik lesen, ändern oder ausführen.
  • Parametermanipulation: Veränderungen an Konfigurationen oder Rezepturen beeinflussen Qualität und Sicherheit.
  • Gefährliche Zustände: Überschreiten von Grenzwerten (Geschwindigkeit, Druck, Temperatur) kann Personen- und Sachschäden auslösen.

Die EU‑Maschinenverordnung fordert, dass Hersteller solchen „nichttechnischen“ Eingriffen in die Software- und Kommunikationsschicht vorbeugen. Wenn falsche Daten oder unautorisierte Änderungen zu einem gefährlichen Verhalten führen, greift die Produktverantwortung – selbst dann, wenn der physische Aufbau allen Regeln entspricht.

Rechtlicher Rahmen: EU‑Maschinenverordnung 2023/1230 und Cyberrisiken

Die Verordnung verpflichtet Hersteller, Gefährdungen durch böswillige Handlungen Dritter systematisch zu erkennen und zu beherrschen. Dazu gehören insbesondere unberechtigte Änderungen an sicherheitsrelevanten Funktionen, das Einspeisen falscher Signale sowie die Störung der Kommunikation zwischen Sensoren, Aktoren und Steuerungen.

  • Risikobeurteilung: Digitale Bedrohungen gelten als vernünftigerweise vorhersehbar, sobald eine Maschine vernetzt ist – unabhängig vom Medium (Ethernet, WLAN, Mobilfunk, Feldbus-Gateway).
  • Technische Schutzmaßnahmen: Schutz der Steuerungslogik, Zugriffskontrollen, Härtung der Komponenten, sichere Update-Mechanismen.
  • Nachweispflichten: Protokollieren und nachvollziehbar dokumentieren, wer wann was geändert hat – insbesondere in sicherheitsbezogenen Bereichen.
  • Betriebs- und Wartungsprozesse: Hersteller müssen Wege aufzeigen, wie Betreiber Schwachstellen beheben und Updates sicher einspielen.

Harmonisierte Normen für Cybersecurity an Maschinen fehlen derzeit. Die Verordnung erlaubt jedoch die Nutzung anerkannter Spezifikationen, sofern sie ein angemessenes Sicherheitsniveau plausibel belegen. Hier setzt die Praxis auf die IEC/ISA‑62443‑Familie und ergänzend auf Informationssicherheitsstandards wie ISO/IEC 27001.

Welche Standards helfen, wenn es keine harmonisierte Norm gibt?

Die folgenden Veröffentlichungen haben sich in der industriellen Praxis etabliert und werden von Prüfstellen und Kunden häufig als Referenz akzeptiert:

  1. IEC/ISA 62443 (Industrial Automation and Control Systems Security)
    • Richtet sich an Hersteller, Integratoren und Betreiber. Definiert Security Levels, Zonen‑/Leitungs‑Konzepte, Anforderungen an Prozesse und Technik.
    • Behandelt u. a. sichere Softwareentwicklung, Patch- und Schwachstellenmanagement, Identitäts- und Berechtigungsverwaltung.
  2. ISO/IEC 27001 und zugehörige Leitfäden
    • Managementsystem für Informationssicherheit. Deckt Organisation und Prozesse ab, ergänzt aber die 62443 für den OT-Kontext nicht vollständig.
    • Nützlich für Rollen, Verantwortlichkeiten, Risikobehandlung und kontinuierliche Verbesserung.
  3. Sektorale Leitlinien
    • Branchenverbände und Betreiberinitiativen liefern praxisnahe Vorgaben zu Härtung, Tests und Betrieb – insbesondere in regulierten Branchen.

In der Konformitätsbewertung hilft der Verweis auf konkrete Teile – etwa auf IEC 62443‑3‑3 für Systemanforderungen oder 62443‑2‑1 für das Cyber Security Management System (CSMS) – um die Wirksamkeit der Schutzmaßnahmen schlüssig zu begründen.

Pflichten des Herstellers: Von der Risikoanalyse bis zum Update-Prozess

Hersteller sollten Cybersicherheit als integralen Bestandteil von Entwicklung und Dokumentation verankern. Folgende Punkte bilden das Rückgrat der Nachweiskette:

  1. Risikobeurteilung mit Cyber-Fokus: Bedrohungen, Schwachstellen, potenzielle Auswirkungen und bestehende Kontrollen bewerten. Vernetzung macht Angriffe realistisch – das muss sich in den Szenarien widerspiegeln.
  2. Schutz der Steuerungslogik: Unautorisierte Programmänderungen verhindern (Signieren, Versionieren, Zugriffsschutz), Fail‑Safe‑Verhalten bei Integritätsverletzung sicherstellen.
  3. Härtung und Segmentierung: Dienste reduzieren, Standardpasswörter eliminieren, Netzsegmente trennen, sichere Kommunikationskanäle verwenden.
  4. Änderungs- und Ereignisprotokollierung: Sicherheitsrelevante Aktionen nachvollziehbar aufzeichnen; Manipulationen müssen erkennbar sein.
  5. Sicheres Update- und Schwachstellenmanagement: Patch-Pfade definieren, Integrität von Firmware prüfen, Updates testen und so ausrollen, dass keine neuen Risiken entstehen.
  6. Dokumentation und Betriebsanleitungen: Anforderungen an die sichere Integration und Nutzung beschreiben (z. B. Netzwerkzonen, Rollen, Backup/Restore, Wiederanlauf nach Vorfall).

Nur wenige Maschinenbauer betreiben eigene Pen-Test-Teams oder Protokollanalyse im Haus. Externe Spezialisten können Lücken schneller sichtbar machen und pragmatische Lösungen aufzeigen – vom Architekturreview bis zur Vorbereitung konformer Nachweise.

Cybersicherheit in der Automatisierungstechnik: Architekturprinzipien nach IEC 62443

Ein tragfähiges Sicherheitsniveau entsteht aus einer Kombination aus Technik, Prozessen und Rollen. Auf der Systemebene liefern die Zonen‑/Leitungs‑Konzepte der IEC 62443 einen praxiserprobten Rahmen:

  • Zonierung: Produktions- und Sicherheitsfunktionen in Zonen mit vergleichbaren Anforderungen bündeln; Zwischenzonen (DMZ) für Übergänge einplanen.
  • Leitungen (Conduits): Datenflüsse kontrolliert und dokumentiert führen; nur erforderliche Protokolle freigeben, verschlüsseln und authentifizieren.
  • Least Privilege: Rollen- und Rechtekonzepte konsequent umsetzen; Engineering‑Zugriffe zeitlich begrenzen, Wartungspfad separieren.
  • Remote‑Service abgesichert: Starke Authentisierung, Protokollierung, Jump‑Hosts, Freigabeprozesse; direkte Zugriffe auf Steuerungen vermeiden.
  • Asset‑ und Patch‑Management: Vollständiges Inventar, Versionsstände, Lifecycle‑Plan; Updates geplant und getestet einspielen.

CSMS und Governance für Cybersicherheit in der Automatisierungstechnik (IEC 62443-2-1)

Ein Cyber Security Management System übersetzt die technischen Anforderungen in gelebte Praxis: Rollen, Verantwortlichkeiten, Richtlinien, Schulungen, Reaktionspläne und kontinuierliche Verbesserung. Ohne Governance bleiben Maßnahmen punktuell – mit CSMS werden sie reproduzierbar, auditierbar und wirksam.

Sicherheitsanforderungen an Komponenten nach IEC 62443-4-1/-4-2

Für Hersteller von Geräten, Gateways und Software sind sichere Entwicklungsprozesse Pflicht: Threat Modeling, sichere Codierregeln, Code‑Reviews, Tests, Schwachstellenbehandlung, Signierung, Secure Boot und Mechanismen für vertrauenswürdige Updates. Solche Eigenschaften vermindern die Wahrscheinlichkeit erfolgreicher Angriffe und erleichtern Betreibern den sicheren Betrieb.

Praxisleitfaden: Cybersicherheit in der Automatisierungstechnik in die Konformitätsbewertung integrieren

  1. Scope definieren: Schnittstellen, Kommunikationspfade, Sicherheitsfunktionen, Softwarestände, externe Abhängigkeiten (z. B. Cloud‑Dienste) erfassen.
  2. Risikoanalyse durchführen: Bedrohungen priorisieren, Schutzbedarf ableiten, akzeptables Restrisiko festlegen.
  3. Technische Maßnahmen entwerfen: Zonierung, Zugriffskonzepte, Protokollschutz, Logging, Härtung, Backup/Restore.
  4. Nachweisdokumente erstellen: Architekturübersichten, Risiko- und Testberichte, Änderungs- und Zugriffsnachweise, Update‑Prozeduren.
  5. Wirksamkeit prüfen: Review, Benchmarks gegen IEC 62443, Funktions- und Negativtests, gegebenenfalls unabhängige Assessments.
  6. Übergabe an den Betreiber: Konfigurationsleitfäden, Wartungs- und Incident‑Prozesse, Verantwortlichkeiten und Schulungsbedarf klar beschreiben.

Externe Unterstützung: Wo Experten echten Mehrwert stiften

  • Standardauswahl und Mappings: Relevante 62443‑Teile priorisieren, Bezüge zur Maschinenverordnung herstellen, Lücken schließen.
  • Architekturreview: Zonen/Conduits, Fernwartung, Datenpfade; sichere Alternativen aufzeigen, realistische Maßnahmen planen.
  • Cyber-Risikoanalyse und Tests: Bedrohungsszenarien, Konfigurationsprüfungen, gezielte Funktionstests ohne Produktionsrisiko.
  • Dokumentation: Struktur und Tiefe der Nachweise optimieren, damit Prüfungen effizient und nachvollziehbar ablaufen.

Warum das Thema geschäftskritisch ist

Cybervorfälle verursachen nicht nur Stillstände und Ausschuss. Sie gefährden die Konformität, schwächen das Vertrauen der Kundschaft und können Haftungsfragen auslösen. Die EU‑Maschinenverordnung verlangt explizit, Cyberrisiken zu berücksichtigen – wer das vernachlässigt, riskiert Rückfragen in Prüfverfahren und Regressforderungen nach einem Unfall.

  • Konformität: Nachweisbare Schutzmaßnahmen sind Teil der Bewertung, insbesondere bei höheren Risikokategorien.
  • Markenwirkung: Kunden erwarten sichere Software und transparente Prozesse – Cybersicherheit wird zum Verkaufsargument.
  • Rechtssicherheit: Eine belastbare Dokumentation reduziert Risiken im Streitfall und verkürzt Audits.

Cybersicherheit in der Automatisierungstechnik: Checkliste für den schnellen Einstieg

  • Alle Netz- und Fernzugänge erfassen; unnötige Schnittstellen deaktivieren.
  • Engineering- und Servicezugänge mit starken, individuellen Anmeldedaten und Mehrfaktorauthentisierung schützen.
  • Zonen/Conduits konzipieren; nur erforderliche Protokolle freischalten; Verschlüsselung und Integritätsschutz nutzen.
  • Steuerungslogik versionieren und signieren; nur autorisierte, nachvollziehbare Änderungen zulassen.
  • Logging aktivieren und revisionssicher speichern; Alarme für sicherheitsrelevante Ereignisse definieren.
  • Patch‑ und Update‑Prozess etablieren; getestete Pakete mit Rollback‑Plan bereitstellen.
  • Backup/Restore regelmäßig prüfen; Wiederanlauf nach Zwischenfällen üben.
  • Mitarbeitende schulen; klare Verantwortlichkeiten und Freigabeprozesse festlegen.

FAQ: Cybersicherheit in der Automatisierungstechnik

1. Verlangt die EU‑Maschinenverordnung explizit Schutz vor Cyberangriffen?

Ja. Die Verordnung 2023/1230 fordert, dass Hersteller digitale Bedrohungen in der Risikobeurteilung berücksichtigen und geeignete technische und organisatorische Maßnahmen nachweisen.

2. Gilt das auch für bestehende Anlagen?

Die Pflichten beziehen sich primär auf neue Maschinen. Bei wesentlichen Änderungen oder Integration in vernetzte Systeme sollten Betreiber prüfen, ob zusätzliche Schutzmaßnahmen erforderlich sind.

3. Welche Standards eignen sich als Nachweis?

In der Praxis werden Teile der IEC/ISA 62443, ergänzt durch Aspekte aus ISO/IEC 27001, als belastbare Grundlage akzeptiert. Entscheidend ist die nachvollziehbare Umsetzung und Dokumentation.

4. Wie sichere ich Remote‑Zugriffe auf Steuerungen?

Nur über definierte Wartungspfade, starke Authentisierung, Protokollierung und zeitlich begrenzte Freigaben. Direkte Zugriffe aus dem Internet vermeiden; überwachbare Jump‑Hosts und verschlüsselte Verbindungen nutzen.

5. Wer trägt die Verantwortung: Hersteller oder Betreiber?

Der Hersteller muss eine sichere Konstruktion und geeignete Schutzkonzepte liefern. Der Betreiber verantwortet die sichere Integration und den Betrieb, inkl. Konfiguration, Updates und Zugriffskontrolle.

Oceń post