Die Sicherheitsanforderungen steigen – das Know-how auch dank Pilz Security-Consulting

Das Projektteam rund um die Securitymaßnahmen hat viel Arbeit vor sich. Der Industrial Security Consulting Service von Pilz erhöht die Cybersicherheit und sorgt dafür, dass Security-Vorfälle an der Maschine gemildert und abgewehrt werden können.

Beim Betreten der igm Robotersysteme AG in Wiener Neudorf nahe Wien wird eines schnell klar: Profis sind am Werk. Die angebotene Produktpalette erstreckt sich von Teilsystemen rein für das automatische Schweißen bis hin zu Gesamtanlagen, die bestehend aus mehreren Roboterzellen komplette Fertigungslinien bilden. Diese Systeme werden als fertige Turnkey-Lösungen vertrieben oder in bereits bestehende Anlagen integriert. Mit Tochtergesellschaften und Vertriebspartnern in mehr als 20 Ländern stellt sich igm heute als weltweit einziger Hersteller und Lieferant automatisierter Schweiß- und Schneidtechnik, vom Lichtbogen über den Laser bis zum Elektronenstrahl, dar. Als einziger österreichischer Hersteller von Robotern, die speziell für die Lichtbogenschweißung entwickelt werden, steht dem Kunden ein umfangreiches Fachwissen für alle Anwendungen zur Verfügung.

Andreas Willert von Pilz und Ing. Otto Auer von igm sind sich beide einig: Künftig werden Maschinen und Anlagen kein CE erhalten, ohne dass Security-Risiken analysiert worden sind. Es gilt: keine Safety ohne Security. (Bilder: x-technik)

Ing. Otto Auer
verantwortlich für die Bereiche Steuerungs- und Automatisierungstechnik, Control und Automation Engineering bei igm

„Die Angriffe auf die vernetzten Steuerungen nehmen zu. Wir müssen uns entsprechend rüsten und auch unsere Kunden schützen.“

Neue Maschinenverordnung gilt

Ing. Otto Auer, Steuerungs- und Automatisierungstechniker, Control and Automation Engineering-Verantwortlicher bei igm, kommt bei der Begrüßung gleich auf den Punkt: „Wir haben wenig Zeit.“ Gemeint ist dabei nicht der Termin vor Ort. Es geht um die neue Maschinenverordnung (EU) 2023/1230, die ab Jänner 2027 spätestens die derzeit gültige Maschinenrichtlinie 2006/42/EG ersetzten wird. Die Zeit rennt für eine ordnungsgemäße Umsetzung. Doch was beinhaltet die Änderung?

Für Hersteller und andere Wirtschaftsakteure gilt die EU-Maschinenverordnung grundsätzlich ab dem 20. Jänner 2027. Produkte, die davor nach der Maschinenrichtlinie 2006/42/EG in Verkehr gebracht wurden und sich damit in der Handelskette befinden, dürfen weiter – z.B. durch den Händler – auf dem Markt bereitgestellt werden. Dazu gehören nach Artikel 6, Fernabsatz der Marktüberwachungsverordnung (EU) 2019/1020 auch solche Produkte, die bis einschließlich 19. Jänner 2027 nach der Maschinenrichtlinie online angeboten wurden. Bis zum Ende des Stichtages dürfen Maschinen, Sicherheitsbauteile usw. nach der Maschinenrichtlinie 2006/42/EG in Verkehr gebracht werden.

Der Industrial Security Consulting Service setzt sich aus vier aufbauenden Modulen zusammen.

Safety und Security

Ing. Auer und der Pilz Österreich-Experte auf diesem Gebiet, Andreas Willert, haben sich im Vorfeld bereits einige Male intensiv in Gesprächen und Meetings mit dem Ausmaß, das in Hinblick auf die rechtlichen Grundlagen auf igm zukommt, auseinandergesetzt. Beim heutigen Termin unterstützt weiters Christof Weninger, Regional Sales Manager bei Pilz Österreich, mit seinem Know-how. Die drei Experten wissen inzwischen, dass die kommenden zwei bis drei Jahre intensiv werden. Ing. Auer betont: „Im Grunde genommen sind wir bereits so weit, dass wir festgestellt haben, dass es einen eigenen Experten für die Sicherheitsanforderungen bei uns im Haus geben muss.“ Er gibt ein Beispiel: „Vor ein paar Tagen erreichte mich eine Nachricht, dass ich einen angefügten QR-Code scannen muss, um bei einem Kundenprojekt wieder auf alle Informationen zugreifen zu können. Das war natürlich ein Spam, doch für manch einen ist der QR-Code vielleicht kein Spam und in Folge haben wir gleich einmal einen immensen Schaden im Haus.“ Die Tricks, um Unternehmen Schaden zuzufügen, werden immer professioneller. „Vergessen dürfen wir zudem nicht“, so Ing. Auer, „dass wir bei unserem Produktportfolio von schweren Robotern bzw. Robotersystemen sprechen. Gelingt es, die Steuerung dieser zu manipulieren, kann im schlimmsten Fall auch menschlicher Schaden passieren, wenn das System außer Kontrolle gerät.“ Das gilt es immer zu vermeiden.

Erfahrungsaustausch

„Uns ist es natürlich bewusst, dass wir uns täglich mit der Sicherheitslage auseinandersetzen müssen. Mögliche Angriffe passieren ständig – leider.“ Auch die Pilz-Experten können aus dem Nähkästchen plaudern. Vor einigen Jahren wurde Pilz selbst als Unternehmen Opfer eines Cyberangriffs und war schlussendlich für Wochen außer Gefecht gesetzt. „Aus dieser Erfahrung lernen Sie enorm viel“, fasst es Andreas Willert kurz zusammen. Doch was es wirklich hieß, alle Systeme, bis ins Detail nicht mehr nutzen zu können, möchte man sich ungern nochmals vor Augen halten. „Aber“, so Ing. Auer, „für uns war diese Erfahrung ein Grund, dass wir auf die Expertise von Pilz setzen. Wer kann besser die mögliche Gefahrenlage einschätzen als ein Unternehmen, das selbst einen Cyberangriff erlebt hat und durch diese Erfahrungen gestärkt in die Zukunft blickt.“

Vernetzte Steuerungen als Gefahrenpotenzial

Willert betont: „Früher war Industrial Security in Form von IT-Sicherheit Aufgabe der IT. Heutzutage sind eben auch die Produktions- und Industrieanlagen stark mit der IT vernetzt.“ Die Angreifer können somit viel leichter in Automatisierungs- und Steuerungssysteme vordringen und diese manipulieren. Die Safety, also die Maschinensicherheit, ist dabei enorm gefährdet. Alle Mitarbeiter, nicht nur die IT-Profis, müssen sich mit dieser potenziellen Gefahr auskennen und auseinandersetzen. „Immerhin gilt es, den Stillstand zu vermeiden, aber auch die menschliche Sicherheitskomponente nie zu übersehen“, so Willert. Entsprechend bietet Pilz Schulungen an und hat mit Andreas Willert einen eigenen Experten an Bord.

Als Botschafter der Sicherheit weist Pilz seit Beginn der Transformation und Weiterentwicklung der Maschinenrichtlinie zur EU-Maschinenverordnung auf die kommenden gesetzlichen und normativen Änderungen (MVO, NIS2, CRA) und den sich daraus ergebenden Herausforderungen an Hersteller, Integratoren und Betreibern von Maschinen sowie Anlagen hin. „Künftig werden Maschinen und Anlagen kein CE erhalten, ohne dass Security-Risiken analysiert worden sind. Das Motto ist demnach klar formuliert: Keine Safety ohne Security“, so Willert. Dabei ist dies nur ein Teilbereich mehrerer umfassender gesetzlicher Maßnahmenpakete. Willert leitet seit November 2023 die Abteilung Industrial Security bei Pilz Österreich. „Security ist schließlich kein statisches, sondern ein sich dynamisch bewegendes Ziel. Es ist nichts, was man einmal macht und dann einen Haken dahinter setzt“, erklärt er und Ing. Auer stimmt dem zu.

Consulting als wesentliches Kernelement

Der Industrial Security Consulting Service von Pilz setzt genau dort an, wo viele bereits aufhören, sich weiter mit dem wichtigen Thema auseinanderzusetzen: der Analyse. Security-Schwachstellen an der Maschine werden genauestens eruiert, die individuellen schützenswerten Güter (Assets) und Gefährdung bewertet und die Anforderungen sowie Widerstandsfähigkeit gegenüber verschiedener Angreiferklassen nach Leveln beschrieben. In Folge gibt es passende Lösungsschritte und die getroffenen Maßnahmen werden gemeinsam überprüft. Der Industrial Security Consulting Service (ISCS) erhöht somit immens die Cybersicherheit und sorgt dafür, dass die normative und gesetzliche Vorgabe korrekt umgesetzt wird und Security-Vorfälle an der Maschine gemildert und abgewehrt werden können. „Der ISCS setzt sich aus vier aufbauenden Modulen zusammen. Nach Durchführung der einzelnen Schritte ist aufgrund des Moving-Target-Prinzips eine regelmäßige Neuüberprüfung des Status der Maschinen notwendig“, erklärt Willert und sein Kollege Weninger betont: „Nur so kann neuesten Cyberangriffsmethoden oder möglichen Schwachstellen permanent entgegengewirkt werden.“

Herausforderungen sind lösbar

Ing. Auer erklärt zudem nochmals die Herausforderungen. „Es ist faktisch unmöglich, auf einer Steuerung ein einziges Passwort zu kreieren, dass den Sicherheitsanforderung entspricht, obwohl es im gewohnten Fall 150 Mitarbeiter weltweit anwenden.“ Es bedarf externer Unterstützung und dem ständig wachsamen Auge in puncto Sicherheit. „Das Thema ist komplex und bedarf immenser interner Manpower“, betont Ing. Auer nochmals. „Man darf die Herausforderungen keinesfalls unterschätzen. Allein im Projektteam, dass sich nun mit dieser Thematik beschäftigt, sind wir insgesamt acht Mitarbeiter.“ Doch er und sein Team sind sich sicher. Dadurch, dass igm so rechtzeitig in Zusammenarbeit mit den Experten von Pilz die bevorstehenden Schritte angeht und sich gezielt mit den Anforderungen und Gefahren auseinandersetzt, „sind wir auf der sicheren Seite“, so Ing. Auer abschließend. Auch Andreas Willert und Christof Weninger sind sich sicher: „Die NIS2 und die neue Maschinenverordnung sind mit dem Blick auf den zeitlichen Rahmen für jeden umsetzbar. Eines sollte nur klar sein: Ohne Unterstützung wird es schwierig(er).“

Christof Weninger
Regional Sales Manager (CMSE) bei Pilz Österreich

„Eine Risikoanalyse für die Netzwerksicherheit eines Unternehmens ist in jedem Fall das A und O. Die neue Maschinenverordnung ist ein guter Anlass für Maschinenbauer und -betreiber, sich mit dem Thema Industrial Security auseinanderzusetzen.“

Andreas Willert
BSc MSc, Head of Industrial Security bei Pilz Österreich

„Wir haben jahrelange Erfahrungen in puncto Maschinensicherheit. Diese Expertise möchten wir im Rahmen unseres Pilz-Dienstleistungsangebotes gerne weitergeben.“