Mit der zunehmenden Verbreitung von Smart-Home-Geräten und professionellen vernetzten Systemen, hat sich das Thema Cybersicherheit zu einer ernsten Herausforderung für Privatanwender und Unternehmen entwickelt.
Hersteller stehen in der Pflicht, für die Security ihrer Produkte Rechnung zu tragen. Der Cybersecurity Act birgt Chancen, das Thema EU-weit anzugehen. Das könnte auch die Wettbewerbsposition heimischer Hersteller verbessern. Vernetzte Produkte für Smart Living sind inzwischen fester Bestandteil des Alltags. Allerdings wachsen mit der Verbreitung solcher Geräte die Risiken für Privatanwender, wie jüngste Nachrichten zeigen. Auch Unternehmen und Behörden sind einer Vielzahl unterschiedlicher Risiken ausgesetzt. Sie sind Ziel von Hacking-Attacken, bei denen Betriebsgeheimnisse erbeutet werden, oder von Überlastungsangriffen, mit denen der Geschäftsablauf gezielt gestört wird. Die Hersteller von Produkten sind aufgefordert, entsprechende Maßnahmen zu ergreifen, um ihre Systeme gegenüber Angriffen abzusichern. Bisher fehlende transnationale Richtlinien und Zertifizierungen erschweren diese Aufgabe, zumal die Cyberkriminellen längst in internationalen Netzwerken arbeiten. Diese Situation hat die EU-Kommission auf den Plan gerufen: Der Cybersecurity Act soll die digitale Sicherheit in Europa stärken. Er umfasst im Kern zwei wichtige politische Entscheidungen: Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
1. Eine EU-Agentur für Cybersicherheit soll die Mitgliedstaaten dabei unterstützen, Cyberangriffen wirksam vorzubeugen und zu begegnen. Dafür wird das Mandat der bestehenden EU-Agentur für Netz- und Informationssicherheit (ENISA) erweitert und die Agentur mit zusätzlichen finanziellen und personellen Mitteln ausgestattet. Zu den Aufgaben der ENISA gehören bisher jährliche europaweite Cybersicherheitsübungen und eine Verbesserung des europaweiten Informationsaustauschs.
2. EU-weit einheitliche Cybersecurity-Zertifizierungen sollen die Sicherheit von Onlineservices und vernetzten Geräten verbessern. Die EU legt Zertifizierungsschemata für Produkte, Prozesse und Dienste fest. Existiert ein solches für z.B. ein Produkt, dann dürfen nationale Programme für dieses Produkt nicht mehr verwendet werden. Das Manufacturing Execution System (MES) HYDRA optimiert Produktionsprozesse für Fertigungsunternehmen, um Wettbewerbsvorteile zu erzielen. ‣ weiterlesen
MES-Integrator und 360-Grad-Partner für optimierte Fertigung
Die Zertifizierungen sind in allen Mitgliedstaaten der EU gültig, um den Verwaltungsaufwand und die Kosten für die Unternehmen zu senken. Grundsätzlich ist die Zertifizierung freiwillig, aber ein Zertifizierungsschema kann verbindlich werden, wenn das EU-Recht dies erfordert. Die Europäische Kommission wird bis 2023 eine Liste verbindlicher Zertifizierungsschemata vorlegen. Die wichtigste Maßnahme ist der Aufbau des einheitlichen EU-Zertifizierungssystems, das so bisher nicht existiert. Zur Zertifizierung von Prozessen, Produkten und Diensten im Bereich der Informationssicherheit werden heutzutage in den Ländern der EU bei der Mehrzahl der Zertifizierungen unterschiedliche Normen oder Zertifizierungsprogramme verlangt. Dies hat zur Konsequenz, dass z.B. Hersteller von Computerhardware für jedes Land, in dem sie eine Zertifizierung benötigen, jeweils einmal den Zertifizierungsprozess durchlaufen müssen. Der Hersteller muss die Kosten auf das Produkt umlegen, was bedeutet, dass der Käufer die Mehrkosten trägt. Die Zeit, ein Produkt in einem Land in den Markt bringen zu können, wird größer oder es wird auf eine Produkteinführung überhaupt verzichtet, weil die technische Entwicklung weiter voran geschritten ist. Die EU möchte diese Situation ändern und einen gemeinsamen, digitalen Binnenmarkt (Digital Single Market) schaffen, indem einheitliche Kriterien für Cybersicherheit und Anerkennung von Produkten, Prozessen und Diensten gelten. Für Produkte, Prozesse und Dienste werden drei Vertrauensgrade festgelegt. Diese drücken aus, inwieweit z.B. der Hersteller gegenüber dem Käufer oder Anwender Sicherheit versprechen kann. Der Vertrauensgrad ‚grundlegend‘ bedeutet, dass man der in dem Zertifikat oder der Selbsterklärung (z.B. der Konformität) beschriebenen Sicherheit eingeschränkt vertrauen kann und dass Maßnahmen mit dem Ziel getroffen wurden, das Risiko von Zwischenfällen zu senken. Beim Vertrauensgrad ‚werthaltig‘ spricht man von einem wesentlichen Maß an Vertrauen und wesentlich gesenkten Risiken. Der Vertrauensgrad ‚hoch‘ soll den höchsten Grad von Vertrauen darstellen, wobei Maßnahmen zu dem Zweck getroffen wurden, dass Zwischenfälle überhaupt vermieden werden. Um einen Vertrauensgrad zu erreichen, müssen entsprechende Maßnahmen getroffen werden, zu deren Auswahl ein Risikomanagement eingesetzt wird, um die Anwendung, die Umgebung und mögliche Auswirkungen zu betrachten. Zertifizierungsprogramme gründen sich auf Normen, bevorzugt auf internationalen oder harmonisierten. Im Bereich der Industrieautomation ist z.B. die Normenfamilie IEC62443 führend. Für Internet-verbundene Produkte jeglicher Art besteht etwa die Norm ANSI/CAN/UL2900-1. Welche Normen im Rahmen des Cybersecurity Acts zum Einsatz kommen werden, wird sich in der weiteren Entwicklung zeigen. Die Umsetzung ist geregelt. Zertifizierungen zu den Vertrauensgraden „grundlegend“ und „werthaltig“ dürfen nur von akkreditierten, privatwirtschaftlichen Zertifizierungsstellen durchgeführt und nur von ihnen Zertifikate ausgestellt werden – nur in besonders zu begründenden Fällen von anderen. In jedem Land muss eine Behörde für die Überwachung der Zertifizierung vorhanden sein. In Deutschland werden diese Aufgaben von der Deutsche Akkreditierungsstelle (DAkkS) für die Kompetenzprüfung mittels Akkreditierung und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Überwachung der Zertifizierung übernommen. Zertifikate zu dem Vertrauensgrad ‚hoch‘ werden grundsätzlich vom BSI ausgestellt. Die Hersteller sind gefordert, entsprechende Maßnahmen zu treffen. Da diese an vielen verschiedenen Stellen beginnen können, bietet UL alle Dienstleistungen an, die dazu notwendig sind, beginnend bei der Sicherheitsarchitektur eines Produktes bis hin zu der Entsorgung. UL deckt den gesamten ‚Secure Product Development & Lifecycle‘ ab. Der Kunde kann genau das Sicherheitsniveau auswählen, das er benötigt und erreicht damit effektive, also tatsächlich wirksame, und effiziente, also kostengünstige Sicherheit. Ziel müsse es sein, Produkte ohne jede zertifizierte oder erklärte Sicherheit im Handel nicht mehr zu vertreiben. Kunden sollten ihre Kaufentscheidung vom Grad der Sicherheit abhängig machen. Hersteller von minderwertigen Produkten wälzen das Risiko auf den Kunden oder die Allgemeinheit ab. Damit entsteht ein Marktvorteil gegenüber den Anbietern, die Aufwand treiben. Der Cybersecurity Act definiert die Spielregeln: Hersteller, die auf billige und minderwertige Produkte setzen, werden vom Markt verdrängt. Somit bekommen beispielsweise heimischen Hersteller, die den genannten Aufwand treiben, durch den Cybersecurity Act jetzt einen Marktvorteil. Allerdings bildet der Cybersecurity Act zunächst nur das rechtliche Rahmenwerk, das es in der Praxis mit Leben zu füllen gilt.
