Die neue EU-Maschinenverordnung will jene Risiken eindämmen, die durch die Digitalisierung und den Einsatz Künstlicher Intelligenz entstehen. Sie gilt für Unternehmen, die Maschinen in der EU herstellen, vermarkten oder in Betrieb nehmen. Wie sich Cybersicherheit bei Maschinen mit den Lösungen von Endian erreichen lässt, beschreibt dieser Artikel.
Die Digitalisierung hat IT- (Informationstechnologie) und OT-Technologie (Operational Technology) untrennbar miteinander verwoben. Maschinen und Materialflüsse sind heute weitgehend softwaregesteuert, insbesondere in den Bereichen Überwachung und Wartung sind digitale Lösungen unverzichtbar. Diese Vernetzung bringt auch Risiken mit sich: Durch die Öffnung der OT sind Maschinen und Produktionsanlagen zunehmend Angriffen aus dem Cyberraum ausgesetzt. Eine erfolgreiche Cyberattacke kann gravierende Folgen haben – von Produktionsausfällen, über Umweltschäden bis hin zur Gefährdung von Menschenleben.
Die EU hat sich deshalb entschieden, die Sicherheitsvorschriften für Maschinen zu verschärfen und mit einer neuen EU-Maschinenverordnung (MVO) auch die Risiken abzudecken, die durch den Einsatz digitaler Technologien entstehen. Anders als in der bisherigen Maschinenrichtlinie 2006/42/EG sind in der MVO erstmals Anforderungen an die Cybersicherheit verankert. Die MVO wird ab dem 20. Januar 2027 verbindlich, eine Umsetzung in nationales Recht ist nicht mehr erforderlich.
Mehr betroffene Unternehmen
Die MVO gilt nicht nur für Hersteller und Händler von Maschinen, sondern auch für Betreiber, wenn sie die Maschinen wesentlich verändern. Mit einer wesentlichen Veränderung der Maschinen werden Anwender aus Sicht der MVO zu Herstellern, mit allen dazugehörigen Pflichten. Die tatsächliche Betroffenheit sollten Maschinenbetreiber deshalb genau abklären lassen. Hier können Beratungsunternehmen eine wertvolle Hilfe leisten.
Unter der Überschrift „Schutz gegen Korrumpierung“ definiert die MVO zentrale Cybersicherheitsanforderungen, die betroffene Unternehmen bis zu diesem Stichtag umgesetzt haben müssen.
Maschinen schützen heißt Netzwerke segmentieren
Maschinen und ihre zugehörigen Produkte müssen so konzipiert sein, dass auch beim Anschluss externer Geräte keine gefährlichen Situationen entstehen – unabhängig davon, ob es sich um direkt verbundene Systeme oder Fernwartungseinrichtungen handelt.
Dieser Abschnitt der MVO thematisiert ein zentrales Problem der Digitalisierung in Sachen Cybersicherheit: Sobald Maschinen und Anlagen vernetzt sind, sind sie über die entsprechenden Schnittstellen auch für Angreifer erreichbar. Sollte es ihnen gelingen, Schadsoftware einzuschleusen, so kann sich diese in einer vernetzten Umgebung ungebremst ausbreiten und weitreichende Schäden anrichten.
Zu den wichtigsten Grundlagen für Cybersicherheit in einer digitalisierten Umgebung zählt deshalb die Netzwerksegmentierung. Dabei werden Netzwerkbereiche mit vergleichbarem Schutzbedarf ermittelt und über IoT-Security Gateways voneinander abgetrennt. Administratoren können so den Datenverkehr anhand detaillierter Regelungen steuern. Je nach Bedarf kann eine einzelne Maschine oder ein Teil davon ein eigenes Netzwerksegment bilden.
Vielschichtige Cybersicherheit einsetzen
Endian entwickelt eine Cybersecurity-Plattform, die Endian Secure Digital Platform, mit der sich IT- und OT-Netzwerke verbinden und absichern lassen. Ein Teil der Plattform sind die leistungsstarken IoT-Security-Gateways für Unternehmen jeder Größe, die sich auch für die Netzwerksegmentierung eignen. Die Gateways der Endian 4i Serie sind für den Einsatz in Industrieumgebungen optimiert und mit vielen IT-Sicherheitstools ausgestattet. Eine Firewall verhindert, dass Schadsoftware auf eine Maschine gelangt, unabhängig davon, ob sie direkt aus dem Internet stammt oder über ein kompromittiertes Gerät ins Netzwerk eingeschleust wird. Sollte es einem Angreifer gelingen, die Firewall zu umgehen, etwa bei einen Insider-Angriff, greift das integrierte Intrusion Prevention/Detection System (IPS/IDS) ein. Es erkennt Bedrohungen in Echtzeit und leitet automatisch geeignete Gegenmaßnahmen ein. Über eine Deep Packet Inspection (DPI) Analyse und Filterung lässt sich zudem festlegen, mit welchen Servern und mit welchen Anwendungen die verbundene Maschine kommunizieren darf.
Fernzugriff absichern
Neben der Verbreitung von Schadsoftware über vernetzte Geräte stellt auch der Fernzugriff ein erhebliches Sicherheitsrisiko dar. Sobald ein Port für eine Fernwartung geöffnet wird, entsteht eine potenzielle Angriffsfläche. Cyberkriminelle könnten Lücken nutzen, um Schadsoftware einzuschleusen oder Daten zu stehlen oder sie zu verändern. Die MVO fordert deshalb, die Risiken einer Fernwartung abzusichern.
Ein Virtual Private Network, das auf den Endian 4i Gateways vorinstalliert ist, bietet hier den entscheidenden Schutz. Es verschlüsselt die Kommunikation und leitet sie durch einen sicheren Tunnel, sodass unbefugte Dritte weder auf die verschlüsselten Daten zugreifen noch sie manipulieren können.
Rollen und Berechtigungen festlegen
Neben den technischen Schutzmaßnahmen ist auch eine granulare Vergabe von Rechten und Berechtigungen entscheidend, um bei der Fernwartung die Sicherheit von Software und Maschinen zu wahren. Bei der Endian Secure Digital Platform wird das Rollen- und Rechtemanagement über das Switchboard gesteuert, dem zentralen Management-Tool der Plattform. Über eine zentrale Benutzeroberfläche lässt sich hier genau definieren, wer auf das Gerät zugreifen darf und welche Aktionen dort durchgeführt werden können. Diese Berechtigungen können jederzeit geändert oder gelöscht werden, zum Beispiel wenn ein Mitarbeiter das Unternehmen verlässt oder ein anderer Dienstleister mit der Maschinenwartung beauftragt wird. Zusätzlich ist es möglich, eine Zwei-Faktor-Authentisierung einzurichten, um sicherzustellen, dass sich tatsächlich die richtige Person verbindet. Bei besonders kritischen Maschinen lässt sich zudem ein Genehmigungsprozess einrichten, bei dem eine Fernwartung explizit angefragt und freigegeben werden muss.
Sicherheitssoftware aktuell halten
Jede Software muss aktuell gehalten werden, damit nicht unbeabsichtigte Sicherheitslücken entstehen. Die MVO fordert daher auch, sicherheitskritische Software über den gesamten Lebenszyklus der Maschine bereitzustellen. Auch hier bietet die Endian Secure Digital Platform die passende Lösung: Über das Switchboard lassen sich Updates so steuern, dass alle verbundenen Gateways gleichzeitig aktualisiert werden. Damit ist sichergestellt, dass die Sicherheitssoftware jederzeit aktuell ist und mögliche Sicherheitslücken schnell geschlossen werden.
Zugriffe protokollieren
Die MVO verlangt außerdem, Nachweise für jeden Eingriff in die Software zu speichern. Das ist vor allem deshalb wichtig, weil es unterschiedliche Akteure gibt, die Zugang zu den Maschinen benötigen. Auf der einen Seite steht der Maschinenbetreiber, der beispielsweise Daten auslesen möchte und auf der anderen Seite der Maschinenhersteller, der Wartungen und Updates durchführen muss. Auch die Anbindung an Systeme von Materiallieferanten ist denkbar. Diese Anforderung lässt sich mit der Endian Secure Digital Platform ebenfalls erfüllen, da jeder Zugriff protokolliert und in ein SIEM-System integriert werden kann, um eine umfassende Analyse und Sicherheitsüberwachung zu ermöglichen. Darüber hinaus besteht die Möglichkeit, eine Fernwartungssitzung per Video aufzuzeichnen. Um den Anforderungen der DSGVO gerecht zu werden, muss der Nutzer vorher dazu seine Zustimmung erteilen. Durch die Protokollierung können auch Haftungsfragen geklärt werden, falls es nach einem Zugriff zu Problemen kommen sollte.
Den Überblick behalten
Unternehmen, die ihre Maschinen langfristig und nachhaltig schützen wollen, müssen genau wissen, welche Geräte sich in ihren Netzwerken befinden. Das ist keine leichte Aufgabe, denn mit der digitalen Transformation steigt die Zahl der vernetzten Geräte in Unternehmen ständig und sie lückenlos zu überwachen ist eine Herausforderung für die IT-Security. Endian hat deshalb in der Endian Secure Digital Platform ein Feature etabliert, das sich „Network Awareness“ nennt. Administratoren können ungewöhnlichen Datenverkehr im Netzwerk jederzeit erkennen und gegebenenfalls eingreifen.
| Fazit: |
| Die neue EU-Maschinenverordnung stellt klare Anforderungen an die Cybersicherheit von Maschinen und adressiert die Risiken der digitalen Vernetzung. Besonders der Schutz vor Cyberangriffen durch Netzwerksegmentierung, gesicherte Fernwartung und aktuelle Sicherheitssoftware ist essenziell. Die Lösungen von Endian, insbesondere die Endian Secure Digital Platform, ermöglichen es Unternehmen, diese Anforderungen effizient umzusetzen. Mit IoT-Security-Gateways, Intrusion-Detection-Systemen und einem umfassenden Rechtemanagement bietet Endian eine ganzheitliche Sicherheitsstrategie für vernetzte Maschinen. Unternehmen sollten frühzeitig handeln, um bis 2027 konform zu sein und ihre Produktionsanlagen nachhaltig zu schützen. |