Bei der Herstellung von Maschinen oder generell technischen Produkten spielen neben Safety-Anforderungen auch Security-Aspekte eine wichtige Rolle.

Doch was ist eigentlich der Unterschied zwischen ‚Safety‘ und ‚Security‘? ‚Safety‘ bedeutet „Sicherheit“, ‚Security‘ steht für „Sicherung“. Für die Herstellung von Maschinen bedeutet dies: ‚Safety‘ umfasst den Schutz des Menschen vor der Maschine, wohingegen ‚Security‘ den Schutz der Maschine vor dem Menschen umschreibt.

Sind Security-Aspekte für jede Maschine zu beachten?
Sobald eine Maschine in Firmennetzwerken oder direkt mit dem Internet verbunden ist, besteht natürlich grundsätzlich die Möglichkeit, dass Maschinenfunktionen durch Hackerangriffe manipuliert werden. Da viele solcher Angriffe nicht unbedingt gezielt oder böswillig, sondern zufällig passieren, ist das Auftreten solcher Angriffe wahrscheinlicher als oft gedacht.

Security-Aspekte spielen nicht nur im Entwicklungsprozess, sondern auch bei der Inbetriebnahme und im Betrieb einer Maschine eine Rolle.

Im Entwicklungsprozess und hier speziell bei der Risikobeurteilung ist es wichtig zu betrachten, wer die Maschine benutzt und wie die Schnittstelle Mensch-Maschine oder auch Maschine-Maschine (bei miteinander kommunizierenden Maschinen) geartet ist: Wird die Maschine über ein Bedienpanel oder über ein Webinterface / Netzwerk bedient?

Bei der Identifizierung der Gefährdungen muss beurteilt werden, ob auch ein Security-Aspekt der Ursprung einer auftretenden Gefährdung sein kann, z. B. die Manipulation von Daten, die über ein Netzwerk auf die Maschine übertragen werden.

Bei der Integration der Maschine in das Kommunikationsnetzwerk eines Betriebs muss der Maschinenhersteller den Betreiber über die Security-Eigenschaften der Maschine in Kenntnis setzen. Der Betreiber muss sicherstellen, dass die Maschine so in das bestehende Kommunikationsnetzwerk eingebunden wird, dass die zugesicherten Security-Eigenschaften der Maschine auch funktionieren.

Im späteren Betrieb der Maschine können nach Softwareupdates Sicherheitslücken entstehen, die zu Angriffen führen können. Hier gilt es, sich über Softwareupdates und Security-Patches auf dem Laufenden zu halten.

In der aktuell gültigen Maschinenrichtlinie 2006/42/EG werden Security-Aspekte noch nicht explizit aufgeführt. Aber in den grundlegenden Sicherheits- und Gesundheitsschutzanforderungen im Anhang I wird die Sicherheit und Zuverlässigkeit von Steuerungen wie folgt definiert:

1.2.1. Sicherheit und Zuverlässigkeit von Steuerungen

Steuerungen sind so zu konzipieren und zu bauen, dass es nicht zu Gefährdungssituationen kommt. Insbesondere müssen sie so ausgelegt und beschaffen sein, dass

– sie den zu erwartenden Betriebsbeanspruchungen und Fremdeinflüssen standhalten;

– ein Defekt der Hardware oder der Software der Steuerung nicht zu Gefährdungssituationen führt;

– …

In diese Formulierung lassen sich Security-Aspekte durchaus „hineininterpretieren“.

Im Entwurf zur Überarbeitung der aktuellen Maschinenrichtlinie werden bereits Aspekte wie Software als Sicherheitsbauteil und Cyber-Security genauer betrachtet. Daher ist es zu erwarten, dass in der zukünftigen Maschinenprodukteverordnung auch das Thema ,Security‘ expliziter als bisher behandelt werden wird.
Somit wird der Ausspruch „If it’s not secure, it’s not safe“[1] weiter an Bedeutung gewinnen.

[1] Robin Bloomfield, Robert Stroud. Security-Informed Safety ”If it’s not secure, it’s not safe”. Safecomp 2013, September 2013, Toulouse, Frankreich