Handlungsempfehlung zur Fernwartung von Maschinen und Anlagen

Status:

laufend 04/2024

Zielsetzung:

Die Zahl von Maschinen im industriellen Umfeld mit digitalen Schnittstellen ist in den letzten Jahren stetig gestiegen und nimmt immer weiter zu. Aus diesem Grund werden immer mehr Maschinen aus der Ferne überwacht oder gewartet. Dieses ist für Hersteller solcher Maschinen oft einfacher als einen Servicetechniker zu entsenden. Die Möglichkeit eines Zugriffs auf Maschinen von ausserhalb des Betreiberstandortes birgt aber große Risiken, wenn dieser Prozess nicht unter Security Aspekten betrachtet wird. Viele Firmen nutzen bereits jetzt die Möglichkeit Maschinen aus der Ferne zu warten ohne sich des Risikos eines möglichen Hackerangriffs bewusst zu sein. Die Forschungsgruppe Trend Micro Research zeigt im Report vom Januar 2019, dass sich viele Fernsteuerungen von Industriekranen erschreckend leicht von nicht autorisierten Fernbedienungen steuern lassen. Zugleich beobachten wir eine Zunahme von Angriffen auf Industrieanlagen, bei denen nicht nur wirtschaftlicher Schaden, sondern auch lebensbedrohliche Situationen für die Mitarbeitenden herbeigeführt werden. Aus diesem Grund wurde in diesem Projekt der Prozess der Fernwartung und Fernsteuerung von Maschinen unter Security Gesichtspunkten betrachtet und Möglichkeiten der sicheren Fernwartung erarbeitet. Weiterhin sollten diese Erkenntnisse in eine Praxishilfe für die Erstellung einer Gefährdungsbeurteilung von Maschinen einfließen.

Aktivitäten/Methoden:

Das IFA hat daher untersucht, durch welche Maßnahmen bereits bei der Entwicklung und Herstellung gefahrbringende Angriffe erschwert werden können. Es wurde eine Praxishilfe (FBHM-133) für die Erstellung von Gefährdungsbeurteilungen von Anlagen und Maschinen mit Schnittstellen zur Fernwartung oder Fernsteuerung erstellt. Diese Praxishilfe ist besonders auf die Bedürfnisse von Aufsichtspersonen und Betreibende ausgerichtet. Eine weitere Praxishilfe mit Hinweisen zu den aktuell bedeutendsten Ursachen für Sicherheitslücken in der Programmierung für Herstellfirmen konnte nicht erstellt werden.

Ergebnisse:

Die Fernwartung von Maschinen wird von immer mehr Maschinenhersteller angeboten, weil es eine sehr kostengünstige Möglichkeit der Wartung ist. Aufgrund dessen haben bereits einige Normen diese Thematik mit aufgenommen. Die DIN EN ISO 13849 zum Beispiel erlaubt Änderungen an sicherheitsrelevanter Software per Fernwartung nur dann, wenn nach erfolgter Änderung eine lokale Validierung durchgeführt wird. Kann eine Validierung vor Ort nicht sichergestellt werden, dürfen Änderungen an sicherheitsrelevanter Software per Fernwartung nicht möglich sein. Anforderungen an die Security stellt aber kaum ein Standard. Da laut einer IFA-Umfrage gerade Klein- und Mittelständische Maschinenhersteller und Betreiber im Umgang mit der Security Probleme haben, wurden im vorliegenden Projekt möglichst einfache Maßnahmen gegen eine Kompromittierung von Daten herausgearbeitet, die zusammen mit der BGHM, der BG ETEM, der BGN, BGRCI und Phoenix Contact im FBHM-133 veröffentlicht worden sind. Zudem werden die gewonnen Erkenntnisse in die Überarbeitung verschiedener Veröffentlichungen, u.a. dem IFA-Report 02/2017 in einen neuen Anhang O, und Vorträge einfließen. Während der Projektlaufzeit zeigte der Sicherheitsvorfall der Sicherheitslücke Log4Shell ein weiteres Problem in den Unternehmen auf. Werden Sicherheitslücken von Produkten, die unter anderem auch für die Fernwartung verwendet werden, bekannt, ist oft nicht klar, wem diese Sicherheitslücken gemeldet werden sollen. Diese Thematik wird auch von zukünftigen EU-Verordnungen wie z.B. dem Cyber Resiliance Act (CRA) aufgegriffen, indem ein Notfallkontakt für Security-Vorfälle im Unternehmen gefordert wird. Aus diesen Gründen wurde ein IFA-Kurzfilm in Deutsch, Englisch und Japanisch erstellt, der eine Lösung für die Erreichbarkeit des Notfallkontaktes beschreibt. Im Film wird der neue RFC9116 Standard beschrieben, der die Bereitstellung einer "security.txt" auf den Webseiten der Unternehmen thematisiert. Auch die DGUV hat mittler Weile einen solchen Notfallkontakt (https://www.dguv.de/.well-known/security.txt) eingerichtet. Die Ergebnisse des Projekten wurde in Teilen bereits einem breiten Fachpublikum, unter anderem auf dem Weltkongress in Sydney, vorgestellt.

Stand: