Maschinenverordnung, Cyber Resilience Act (CRA) und IEC 62443

Vor dem oben skizzierten Hintergrund stellt sich nun die zentrale Frage: Wo passt der klassische Maschinenbauer in dieses Rollenmodell der IEC 62443? Ist er ein Komponenten-Hersteller, ein Systemintegrator – oder beides? Und sind seine Maschinen als Produkte oder als Systeme im Sinne der Norm zu behandeln?

Wer sich vertieft mit IEC 62443 beschäftigt, kommt rasch zum Ergebnis, dass die Normenreihe nicht primär für Maschinenbauer entwickelt wurde. Diese nehmen darin eine gewisse gemischte Rolle ein, da sie komplexe technische Systeme bauen und ausliefern, aber oft wie Produktlieferanten auftreten:

• Ein Standardmaschinenbauer, der eine Maschine (oder ein Maschinensystem) als serienfähiges Produkt an viele unterschiedliche Kunden verkauft, ohne jede einzelne Installation kundenspezifisch vor Ort zu projektieren, verhält sich größtenteils wie ein Produkt-Hersteller. Er entwickelt die Maschine auf eigenes Risiko, baut standardisierte Komponenten ein (SPS, Antriebe, HMI usw.) und liefert dem Kunden eine fertige Maschine, die dieser selbst in Betrieb nimmt. In IEC 62443-Termini entspricht dies weitgehend der Rolle des Produkt-Herstellers, nur, dass das gelieferte "Produkt" hier kein einzelnes Gerät ist, sondern eine aus vielen Teilen bestehende Maschine. Der Maschinenbauer übernimmt in diesem Fall Verantwortung für die sichere Konstruktion der Maschine als Ganzes, ähnlich wie ein Komponenten-Hersteller für sein Gerät verantwortlich ist. Direkten Kontakt mit dem späteren Betreiber hat er während der Entwicklung meist nicht, abgesehen von allgemeinen Marktanforderungen.
• Ein Sondermaschinenbauer dagegen, der in enger Abstimmung mit einem einzelnen Kunden eine maßgeschneiderte Anlage oder Produktionslinie entwirft, tritt faktisch auch als Integrationsdienstleister auf. Er konzipiert und baut eine einmalige Lösung mit spezifischem Design für den Auftraggeber und integriert ggf. bestehende Kundensysteme oder -anforderungen. Hier entspricht die Tätigkeit weitgehend der Rolle des Systemintegrators. Der Maschinenbauer arbeitet mit dem Betreiber zusammen, um die Sicherheitsanforderungen für diese spezifische Anlage festzulegen und umzusetzen. Es fließen also Betreiber- und Integrator-Perspektiven zusammen. In solchen Fällen kann man den Maschinenbauer durchaus als Integrator im Sinne der IEC 62443 betrachten. Wie oben beschrieben ist diese Zuordnung jedoch nicht absolut zu betrachten, sondern am Spektrum Hersteller -> Integrator eher im Bereich des Integrators zu sehen, was nicht bedeutet, dass nicht trotzdem gewisse Aspekte der Herstellerrolle entsprechend IEC 62443 relevant bleiben.

Komponenten- oder Lösungsansatz? Eine einzelne Maschine lässt sich sicherheitstechnisch weder eindeutig als bloße Komponente noch als vollwertige IACS-Lösung verallgemeinern – es hängt von der Größe und Komplexität der Maschine ab. Einige Beispiele zur Einordnung:

• Eine kompakte Standardmaschine mit nur einer Steuerung und ein paar Sensor/Aktor-Baugruppen könnte man theoretisch als eine komplexe Komponente betrachten. Allerdings greifen die IEC 62443-4-2 Anforderungen für Komponenten hier nur begrenzt, da sie typischerweise für einzelne Geräte gelten (z.B. Anforderungen an eine einzelne Steuerung oder ein Kommunikationsgerät). Die Maschine besteht aber aus mehreren Komponenten und erfüllt als Gesamtheit eine Funktion.
• Viele Maschinen – insbesondere komplexere Fertigungsmaschinen oder Anlagenmodule – kann man besser als eigenständiges System auffassen. Sie verfügen oft über ein internes Netzwerk, mehrere Steuerungseinheiten, Bedienstationen, etc. und sind im Prinzip kleine Automatisierungssysteme. Die technischen Systemanforderungen aus IEC 62443-3-3 wären hier einschlägiger, da sie Sicherheitsaspekte einer gesamten Lösung abdecken (z.B. Benutzer-Management, Protokollierung, Netzwerksegmentierung, Whitelisting, etc.). In der Praxis zeigt sich allerdings: Nicht alle Anforderungen der IEC 62443-3-3 lassen sich 1:1 auf eine einzelne Maschine mitunter direkt anwenden. Hierzu sieht die IEC 62443-3-3 (wie auch eine IEC 62443-4-2) aber das Konzept der „Compensating Countermeasures“ vor. Dieses sieht vor, dass externe Maßnahmen zur Erfüllung der Anforderung für das System/Produkt in begründbaren Fällen herangezogen werden dürfen. Unter diesem Aspekt können Anforderungen der IEC 62443-3-3, wie zum Beispiel die bei höheren Security-Levels verlangte Anforderung nach einem zentralen User-Management oder gemeinsamen Log-Servern für das ganze System – sofern diese Funktionen eine isolierte Maschine evtl. nicht in vollem Umfang selbst bereitstellen kann oder muss – durch eine Schnittstelle auch durch einen externen Dienst erfüllt werden (z.B. einem übergelagerten System).
   

Die IEC 62443 adressiert Maschinenbauer nicht explizit und es gibt Grauzonen. Je nach Szenario kann ein Maschinenhersteller also sowohl als Hersteller als auch als Integrator auftreten – und seine Maschine kann sowohl als Produkt als auch als System angesehen werden. Im Zweifelsfall tendiert die Zuordnung aber eher zur System-Perspektive. Eine Maschine besteht aus mehreren IACS-Komponenten und verhält sich wie ein kleines industrielles Automatisierungssystem, sodass die Betrachtung gemäß IEC 62443-3-3 (Systemanforderungen) naheliegt. Für den Maschinenbauer bedeutet das, er sollte möglichst systemweite Sicherheitsfunktionen vorsehen (z.B. Benutzer- und Rechteverwaltung, Netzwerksegmentierung innerhalb der Maschine, Härtung aller eingebetteten Komponenten etc.), wie es für ein IACS-System gefordert wird. Gleichzeitig muss er auch darauf achten, dass die einzelnen verbauten Komponenten (Steuerungen, HMIs, Router etc.) ausreichende Security-Eigenschaften mitbringen – idealerweise nach IEC 62443-4-2 oder ähnlichen Standards entwickelt sind.

Aus Prozess-Sicht hängt es wiederum von der Geschäftsform ab, welche IEC 62443-Normen anwendbar sind. Ein Hersteller, der Produkte entwickelt und in Serie fertigt, sollte vor allem einen sicheren Entwicklungsprozess nach IEC 62443-4-1 etablieren. Ein Integrator/Anlagenbauer, der kundenspezifisch projektiert, sollte eher die Anforderungen an sichere Integrationsdienstleistungen gemäß IEC 62443-2-4 berücksichtigen. In der Realität werden viele Maschinenbauunternehmen beide Hüte aufhaben: Insbesondere Sondermaschinenbauer benötigen sowohl einen sicheren Entwicklungsprozess (IEC 62443-4-1) als auch kompetente Integrationspraktiken (IEC 62443-2-4), um Security by Design sicherzustellen. Standard-Maschinenhersteller werden primär den Secure Development Lifecycle (SDL) gemäß IEC 62443-4-1 umsetzen, können aber ebenfalls von Integrationsrichtlinien profitieren – etwa, wenn sie ihre Maschinen bei Kunden in Betrieb nehmen oder Serviceleistungen anbieten.

Für die Erfüllung der grundlegenden Anforderungen des Cyber Resilience Acts bleibt abzuwarten, welche Normen hier von Seiten der EU-Kommission entsprechend als harmonisierte EU-Normen im Amtsblatt der Europäischen Union lt. Cyber Resilience Act bzw. lt. Maschinenverordnung aufgenommen werden. Insbesondere letztere sollten dann konkrete Handlungsempfehlungen für die regulierten Produkte, also z.B. Maschinen, enthalten. Aufgrund der breiten Akzeptanz von IEC 62443 ist davon auszugehen, dass die EU-Normen die Security-Welt nicht neu erfinden werden, sondern sich an den Grundkonzepten dieser Standards orientieren werden.

Für Hersteller von Maschinen bedeutet dies, dass sie schwer umherkommen, sich in Abwesenheit harmonisierter EU-Normen, mit den Anforderungen aus den jeweiligen Teilen von IEC 62443 zu beschäftigen, um bereits heute die Weiche für eine Produktentwicklung am Stand der (Security) Technik sicherzustellen. Für die Zukunft der Normenlandschaft bleibt zu hoffen, dass die harmonisierten Normen mit den gesetzlichen Vorgaben abgestimmt werden, um mühsame und ggf. auch kostspielige Zwischenzustände, wie wir sie im Maschinenbau in Hinblick auf IEC 62443 erleben, hinter uns zu lassen und auch im Security-Bereich der aus der Safety-Welt bekannte aber mitunter unterschätzte Komfort von passenden harmonisierten Normen auch möglichst rasch Einzug in die Praxis findet.