"Sicherheitslücken in Steuerungen sind ein ernstes Problem für den Arbeitsschutz."

Menschen und Maschinen arbeiten immer enger zusammen. Eine zuverlässige Kommunikation zwischen beiden, aber auch den Maschinensteuerungen untereinander, ist Grundvoraussetzung für sicheres Arbeiten. Weisen Geräte oder Anlagen digitale Schwachstellen auf, gefährdet dies die Sicherheit der Beschäftigten. Mit dem Ziel, dass Produkte in der EU sicherer werden, veröffentlichte die EU-Kommission den Verordnungsentwurf Cyber Resilience Act. Die DGUV äußerte sich in einer Stellungnahme. DGUV Kompakt sprach mit Jonas Stein, Leiter des Arbeitskreises Security der DGUV, über verschärfte Meldepflichten, kritische Produktklassen und unklare Rechtsbegriffe.

Herr Stein, welche Bedeutung haben digitale Sicherheitslücken für den Arbeitsschutz?

Maschinen und Anlagen waren in der Vergangenheit oft nur innerhalb des Betriebsgeländes erreichbar. Dadurch, dass wir nun zunehmend vernetzt sind, sind die Anlagen auch weltweit digitalen Angriffen ausgesetzt. Im Ruhrgebiet etwa wurde 2014 ein Stahlwerk über das Büronetzwerk angegriffen und der Hochofen konnte nicht mehr kontrolliert werden. 2017 versuchten Hacker eine petrochemische Anlage zur Explosion zu bringen. Vorfälle dieser Art sind schon lange kein theoretisches Konstrukt mehr. Sicherheitslücken in Steuerungen sind ein ernstes Problem für den Arbeitsschutz, denn sie gefährden die Beschäftigten vor Ort.

Wie fügt sich der Cyber Resilience Act in die bisherigen EU-Verordnungen zur digitalen Sicherheit ein?

Der Cyber Resilience Act zielt darauf ab, alle Produkte zu regulieren, die nicht bereits durch bestehende Verordnungen erfasst wurden. Dazu wurde der Begriff "Produkt mit digitalen Elementen" definiert und der erfasst praktisch jede Software und Hardware, die Daten verarbeiten kann.

Der Verordnungsentwurf enthält neue Pflichten für die Hersteller und Betreiber von Produkten mit digitalen Elementen. Welche sind das?

Hersteller sollen etwa für Ihre Produkte Listen der verwendeten Software-Bibliotheken bereitstellen. Mit denen kann man künftig automatisiert feststellen, ob ein Produkt von einer Sicherheitslücke betroffen ist. Außerdem sollen Hersteller einen Notfallkontakt angeben, damit Warnungen schnell die richtige Person im Unternehmen erreichen. Beide Forderungen sind sehr sinnvoll und leicht umzusetzen.

Kritische Produkte mit digitalen Elementen will die EU durch ein Konformitätsverfahren prüfen lassen. Wie kann man sich das vorstellen und wer prüft das?

Das kann man sich wie bei der bekannten CE-Kennzeichnung vorstellen. Für wenig kritische Produkte dürfen Hersteller selbst eine Konformitätserklärung erstellen. Sehr kritische Produkte müssen durch eine dritte Stelle bewertet werden. Dabei ist immer noch unklar, was genau in welchem Umfang geprüft werden soll.

Welche Produkte gelten denn als kritisch, kann man dies ausreichend definieren?

Der Verordnungsentwurf teilt Produkte in eine Standardkategorie und zwei kritische Klassen I und II ein. An Produkte der kritischen Klasse II werden sehr hohe Anforderungen gestellt, wie die Bewertung durch Dritte. Aber die Abgrenzung der Klassen I und II ist problematisch, denn die Zuordnung ist nicht klar definiert. Das wird zu Unsicherheiten führen. Auch werden der Einsatzzweck und das Schutzziel nicht betrachtet.

Haben Sie ein Beispiel?

Nehmen wir mal ein Betriebssystem. Das ist der Klasse II zugeordnet. Der Hersteller muss es also durch Dritte prüfen lassen. Damit haben wir Schwierigkeiten, weil viele Betriebssysteme gar nicht sinnvoll geprüft werden können, da sie sich stetig weiterentwickeln. Teilweise sind sie abhängig von Open-Source-Software. Da gibt es auch nicht den einen Hersteller, der für das Konformitätsverfahren zuständig wäre.

Sobald Hersteller von einer Sicherheitslücke erfahren, fordert die EU eine Meldung bei einer Behörde. Das kritisieren Sie, warum?

Hersteller sollen in nur 24 Stunden umfangreiche Details zur Sicherheitslücke melden. In dieser kurzen Zeit können diese aber oft nicht geschlossen werden. Dafür entsteht bei der Behörde jedoch eine hochbrisante Datensammlung, die für gefährliche Angriffe auf Industrieanlagen missbraucht werden kann. Das muss unbedingt verhindert werden, weil sonst die Gesundheit von Beschäftigten auf dem Spiel steht. Es genügt daher, die zum Angriff notwendigen Details nachzureichen, wenn die Schwachstellen geschlossen wurden.

Sie sprechen auch unklare Begriffe im Entwurf an. Was haben die für Auswirkungen in der Praxis?

Problematisch sind Wörter, die aus "Cyber" zusammengesetzt, aber nie klar definiert werden. Diese Begriffe, werden jetzt schon in Normen und Verordnungen sehr unterschiedlich verwendet. So werden, je nach Quelle, Angriffe per Funk oder USB-Schnittstellen mit dem Begriff Cyber-Security nicht betrachtet. Mal ist "Cyber-Security" ein Zustand, mal eine Tätigkeit und mal ein Produkt. So kann man nicht zusammenarbeiten. Man muss eine Sprache sprechen und dafür nimmt man am besten die in der Wissenschaft gebräuchlichen Begriffe.

Der Verordnungsentwurf muss nun geprüft und verabschiedet werden. Danach haben Wirtschaftsteilnehmende und Mitgliedstaaten zwei Jahre Zeit, sich auf die neuen Anforderungen einzustellen. Ist das genug?

Kritisch ist dieses Zeitfenster für alle Hersteller, die von anderen Produkten abhängig sind. Sie müssen abwarten, welche Bauteile eine Konformitätsbewertung durch Dritte bekommen. Erst dann kann das eigene Produkt überarbeitet und bewertet werden. Das ist in zwei Jahren kaum schaffbar, zumal für die neuen Konformitätsbewertungen erst Ressourcen geschaffen werden müssen.

Weitere Informationen:
Informationen zu Industrial Security
Stellungnahme der DGUV
Informationen zum EU Cyber Resilience Act