.jpg "EU-Maschinenverordnung setzt Cybersicherheit auf die Agenda")
Digitalisierung und Künstliche Intelligenz rücken auch Maschinen ins Visier von Cyberkriminellen. Die neue EU-Maschinenverordnung (MVO) möchte die Risiken eingrenzen. Mit welchen Maßnahmen sich Maschinen gegen Cyberangriffe wappnen lassen, erklärt Raphael Vallazza, CEO von Endian, ein Cybersecurity-Hersteller aus Südtirol: „Vernetzte Maschinen und Anlagen sind mittlerweile ein mögliches Ziel von Cyberattacken. Mit der MVO gibt es erstmals einheitliche Vorgaben auf EU-Ebene, um Maschinen und Anlagen besser zu schützen“, sagt er. „Unternehmen sollten ihre Sicherheitskonzepte überprüfen und schnell mögliche Lücken schließen.“
Die Maschinenrichtlinie (MVO) ist ab dem 20. Januar 2027 verbindlich. Sie gilt unmittelbar für alle Unternehmen, die unvollständige oder vollständige Maschinen in der EU herstellen, in Verkehr bringen oder in Betrieb nehmen – eine Überführung in nationales Recht ist nicht erforderlich.
Im Gegensatz zur bisher gültigen Maschinenrichtlinie 2006/42/EG beinhaltet die MVO erstmals Anforderungen an die Cybersicherheit. Die immer engere Verbindung von Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT) hat diesen Schritt erforderlich gemacht. Heute spielt Software eine wichtige Rolle bei der Steuerung von Maschinen, vor allem in den Bereichen Überwachung und Wartung stehen digitale Lösungen im Fokus. Durch diese Vernetzung wurde die OT über das Internet erreichbar und damit letztlich auch für alle Bedrohungen aus dem Cyberraum. Dabei kann eine erfolgreiche Cyberattacke gravierende Folgen haben, insbesondere dann, wenn es sich um einen Angriff auf kritische Infrastrukturen handelt.
Kreis betroffener Unternehmen erweitert
Die Vorgaben der MVO richten sich nicht nur an Maschinenhersteller und -händler, sondern auch an Betreiber, wenn sie die Maschinen wesentlich verändern. Durch die wesentliche Veränderung der Maschine wird der Anwender laut MVO zum Hersteller - mit allen dazugehörigen Pflichten. Maschinenbetreiber sollten deshalb sehr genau prüfen, ob sie zum Kreis der Betroffenen gehören. Beratungsunternehmen können hier unterstützen.
Bis zum Inkrafttreten der MVO müssen die Anforderungen zur Cybersicherheit umgesetzt sein, die im Kapitel „Schutz gegen Korrumpierung“ (Anhang III, 1.1.9) definiert sind.
Netzwerke unterteilen
Eine der Forderungen besagt, dass Maschinen und ihre zugehörigen Produkte so konzipiert sein müssen, dass auch beim Anschluss externer Geräte keine gefährlichen Situationen entstehen – ganz gleich, ob es sich um direkt verbundene Systeme oder Einrichtungen zur Fernwartung handelt.
Damit gehen die Autoren der MVO auf ein sehr grundlegendes Problem ein, das durch die Digitalisierung erst entstanden ist: Haben Maschinen und Anlagen erst mal einen Zugang zum Internet, können potenzielle Angreifer sie über die entsprechenden Schnittstellen erreichen. Gelingt es ihnen, Schadsoftware in ein System einzuschleusen, kann sie sich in einer stark vernetzten Infrastruktur rasch verbreiten und erheblichen Schaden verursachen.
Eine der wichtigsten Maßnahmen für wirksame Cybersicherheit ist deshalb die Segmentierung von Netzwerken. Dafür müssen Netzwerkbereiche mit vergleichbarem Schutzbedarf definiert und über IoT-Security Gateways voneinander abgetrennt werden. In Abhängigkeit vom erforderlichen Schutzniveau kann eine einzelne Maschine, ein Teil davon oder gar ein einzelner Sensor ein eigenes Netzwerksegment darstellen. Diese Mikrosegmentierung ist auch ein wichtiger Baustein der Zero-Trust-Architektur.
Mehrstufige Sicherheit gefragt
Die Anzahl der neuen Schadcodes und Angriffsmethoden entwickelt sich schnell. Eine einzelne Maßnahme reicht deshalb nicht aus, um Sicherheit herzustellen. IoT-Security-Gateways, wie beispielsweise das Endian 4i Edge X, sind deshalb mit mehreren Security-Tools ausgestattet, um für sichere Konnektivität zu sorgen: Eine Firewall schützt die Maschinen vor Kompromittierung mit Schadsoftware, und zwar unabhängig davon, ob der Schadcode direkt aus dem Internet stammt oder über ein infiziertes Gerät ins Netzwerk gelangt. Schafft es ein Angreifer, die Firewall zu umgehen, beispielsweise bei einen Insider-Angriff, wird das Intrusion Prevention/Detection System (IPS/IDS) aktiviert. Bedrohungen kann es in Echtzeit erkennen und geeignete Gegenmaßnahmen starten. Mithilfe der DNS-Filterung lässt sich gezielt steuern, mit welchen Servern die verbundene Maschine kommunizieren darf.
Sicherer Fernzugriff wird Pflicht
Nicht nur die Verbreitung von Schadsoftware, sondern auch der Fernzugriff auf Maschinen und Anlagen birgt erhebliche Sicherheitsrisiken. Wird ein Port für die Fernwartung geöffnet, entsteht automatisch eine potenzielle Angriffsfläche. Cyberkriminelle könnten versuchen, auf diesem Weg Schadsoftware einzuschleusen, Daten zu stehlen oder sie zu verändern. Die MVO schreibt deshalb vor, Fernwartungsszenarien gezielt abzusichern. Das gelingt über den Einsatz eines Virtual Private Network (VPN). Es baut einen sicheren Datentunnel zwischen dem vernetzten Gerät und dem entfernten Server auf und verschlüsselt die Kommunikation. Unbefugte Dritte können damit nicht auf die Daten zugreifen oder sie manipulieren.
Auch eine Fernwartung zum falschen Zeitpunkt kann eine Gefahr darstellen, etwa wenn eine Maschine unerwartet in Bewegung gesetzt wird, während sich Personen in ihrer Nähe befinden. Bei besonders sicherheitskritischen Anlagen sollte daher eine Möglichkeit geschaffen werden, einen Freigabeprozess zu etablieren. Die Fernwartung kann erst dann durchgeführt werden, wenn eine Freigabe vom Maschinenstandort aus erfolgt ist.
Granulare Nutzungsrechte einrichten
Neben den technischen Schutzmechanismen erhöhen auch organisatorische Maßnahmen das Sicherheitsniveau: Die feinstufige Vergabe von Rollen und Berechtigungen ist ein weiterer Schritt, um Fernwartungen abzusichern. Eine zentrale Benutzeroberfläche hilft Administratoren dabei, den Überblick zu behalten, wer Zugriffsrechte für welche Maschinen hat und welche Maßnahmen dort durchgeführt werden dürfen. Berechtigungen sollten sich in Echtzeit ändern oder zu löschen lassen, beispielsweise für den Fall, dass ein Mitarbeiter kündigt oder ein Wechsel des Wartungsunternehmens vorgesehen ist.
Sicherheitssoftware aktuell halten
Um Sicherheitslücken zu vermeiden ist eine kontinuierliche Aktualisierung der Sicherheitssoftware erforderlich. Daher fordert die MVO, sicherheitsrelevante Software über den gesamten Lebenszyklus der Maschine bereitzustellen. Die Möglichkeit zum zentralen Ausrollen von Updates ist entscheidend, um alle vernetzten Gateways gleichzeitig auf den neuesten Stand zu bringen. Potenzielle Schwachstellen lassen sich damit schnell und vor allem zeitgleich schließen.
Zugriffe protokollieren
Die MVO fordert darüber hinaus, Eingriffe in die Software zu protokollieren. Das gibt auch dem Maschinenbetreiber Sicherheit, weil neben ihm noch weitere Akteure regelmäßig Zugriff auf die Maschinen brauchen: Während er selbst Daten auslesen möchte, müssen die Maschinenbauer Wartungen und Updates durchführen. Auch eine Verknüpfung an die Systeme von Zulieferern ist unter Umständen wichtig. Eine Lösung, die Zugriffe aufzeichnet, ist damit ein weiterer Baustein hin zu mehr Cybersicherheit für Maschinen.
Den Überblick behalten
Eine große Herausforderung für Unternehmen ist auch die ständig wachsende Zahl von Geräten in ihren Netzwerken. Einen Überblick zu behalten ist aber zwingende Voraussetzung, um langfristig für Sicherheit zu sorgen. Endian hat für diesen Zweck das Tool „Network Awareness“ entwickelt, das alle vernetzten Geräte anzeigt. Die Darstellung sämtlicher Netzwerkaktivitäten erfolgt in übersichtlichen Dashboards. Ungewöhnlicher Datenverkehr lässt sich darüber schnell erkennen, so dass bei Bedarf gegengesteuert werden kann.
Fazit
Die MVO setzt ein Zeichen für mehr Cybersicherheit in der Industrie und ist eine Reaktion auf die wachsenden Risiken durch vernetzte Maschinen. Unternehmen, die die Anforderungen zeitnah umsetzen, erreichen nicht nur Konformität bis zum Stichtag, sondern machen ihre Anlagen auch fit für eine sichere digitale Zukunft.
