Lösungen für den Maschinenbau im Spannungsfeld

Mitte Januar erregte in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seiner Meldung zum millionenfachen Identitätsdiebstahl die Aufmerksamkeit zahlreicher Internetnutzer. Im Rahmen der Analyse von Botnetzen durch Forschungseinrichtungen und Strafverfolgungsbehörden seien rund 16 Millionen kompromittierte Benutzerkonten entdeckt worden, so das BSI, bestehend in der Regel aus einem Benutzernamen in Form einer E-Mail-Adresse und einem Passwort. Auch wenn das BSI zunächst keine Angaben dazu machte, auf welchem Wege diese Informationen abgegriffen wurden, dürfte klar sein, dass mangelndes Sicherheitsbewusstsein der Nutzer kombiniert mit fehlerbehafteter Software eine entscheidende Rolle spielen. Und spätestens seit der Entdeckung des Computerwurms Stuxnet wissen wir, dass auch Maschinen- und Anlagensteuerungen ‚angegriffen‘ werden.

‚Sicherheit = Safety + Security‘ lautet deswegen folgerichtig das Motto der 9. Sicherheit+Automation, bei der am 11. März 2014 neben Entwicklungen im Bereich der Maschinensicherheit (Safety) auch solche rund um das Thema Angriffssicherheit (Security) im Fokus stehen. So geht etwa Klaus Bauer, Leiter Systementwicklung Basistechnologien bei dem schwäbischen Maschinenbauer Trumpf, in der Keynote auf die enge Verbindung von Safety und Security ein und beschreibt beide Aspekte aus dem Blickwinkel einer Maschine – bezüglich des Schutzes des Objekts vor der Umgebung (Security) und des Schutzes der Umgebung vor dem Objekt (Safety). Lassen sich beide Aspekte an einer nichtvernetzten Maschine noch relativ einfach berücksichtigen und umsetzen, wird dies bei vernetzten Anlagen deutlich schwieriger. Etwa dann, wenn die Fernwartung die Verfügbarkeit (Availability) erhöhen soll. Dann entsteht ein Spannungsfeld zwischen Safety, Security und Availability – und dieses gilt es in den Griff zu bekommen.

Als ‚9. Fachkongress mit Ausstellung Sicherheit+Automation 2014 – Safety und Security in der Industrie‘, so der vollständige Titel, liefern die Veranstalter mit dem um den Aspekt der Security erweiterten Themenspektrum Antworten auf aktuelle Fragen rund um die Konstruktion von Maschinen und Anlagen. Erkennbar wird das auch daran, dass neben der Landesmesse Stuttgart, der Pilz GmbH & Co.KG sowie der Konradin Mediengruppe – in der die elektro AUTOMATION erscheint – nun auch mit Belden (Hirschmann Automation und Control) ein weiterer Veranstalter mit an Bord ist. Das trägt nicht zuletzt der in der Praxis zunehmenden Vernetzung der Produktionsmittel Rechnung, zusätzlich befördert durch die Forschungen und Entwicklungen rund um Industrie-4.0-Strategien. Nicht immer muss dabei kriminelle Energie im Spiel sein, denn auch ein versehentlich ausgelöster Anlagenstillstand kostet Zeit und Geld. Bereits hier wird sichtbar, dass Sicherheit auf der einen und Verfügbarkeit auf der anderen Seite durchaus miteinander konkurrieren. Hinzu kommt eine Reihe weiterer Aspekte, von der Datenintegrität bis hin zum Know-how-Schutz, die dann insbesondere im Zusammenhang mit krimineller Energie bedroht sind.

Exemplarisch für die enge Beziehung zwischen Safety und Security steht beispielsweise die Frage, ob es überhaupt sichere Software gibt? Allein der Begriff ‚sichere Software‘ ist schon nicht eindeutig definierbar. Je nach Domäne, Anwendungsfall und zu erfüllender (Sicherheits-)Funktion spricht man der Software (beispielsweise bei der Anwendung entsprechender Sicherheitsnormen wie der IEC 61508) einen bestimmten Safety Integrity Level die Betriebssicherheit betreffend zu. Das darin noch enthaltene Restrisiko wird (vom Menschen) akzeptiert. Bei der Security spricht man analog von einem Evaluation Assurance Level, der die kriminelle Energie berücksichtigt, die notwendig ist, um ein System zu gefährden (Angriffssicherheit). Um Software ‚sicher‘ zu machen, müssen also von Beginn des Produktentstehungsprozesses an entsprechende Maßnahmen getroffen werden und geeignete Methoden zum Einsatz kommen, um beiden Aspekten Rechnung zu tragen. Dabei sind die zu erreichenden Zielwerte – wie etwa Zuverlässigkeit und Verfügbarkeit – voneinander abhängig. Ein Flugzeug sei beispielsweise am sichersten, wenn es am Boden ist, verdeutlicht plakativ Dr. Thomas Liedtke, Business Unit Manager in der Stuttgarter ICS AG und dort verantwortlich unter anderem für die Entwicklung und Organisation des R&D-Bereiches. Im Gegensatz zu Hardwarefehlern seien zudem Softwarefehler nicht zufällig, ihr Auftreten könne in der Regel nicht statistisch vorhergesagt werden; und fehlerhafte (defekte) Software könne nicht wie Hardware einfach ausgetauscht werden. Welches Vorgehen sich in der Praxis bewährt hat, erläutert Liedtke in seinem Vortrag anlässlich der Sicherheit+Automation. Das vollständige Programm der Veranstaltung findet sich übrigens unter der am Ende des Beitrags angegebenen Adresse; gleichzeitig ist hier die Anmeldung möglich.

Einen Blick in die Zukunft des Themas Maschinensicherheit wagen zum Abschluss der Sicherheit+Automation dann Alois Hüning und Berthold Heinke, beide tätig in der Berufsgenossenschaft Holz und Metall, Hauptabteilung Sicherheit und Gesundheit in Düsseldorf. Alois Hüning konzentriert sich zunächst auf die Entwicklung der Rechtsgrundlagen und deren strategischen Auswirkungen: Vorgestellt werden Visionen über die Smart Factory im Jahr 2030 mit ganzheitlichem Risikomanagement und integriertem Energiemonitoring. Dafür benötige man andere ‚offene‘ Rechtsgrundlagen, fordert Hüning. Konkret auf die Technik des Jahres 2030 geht dann sein Kollege Berthold Heinke ein, insbesondere auf die Entwicklung von Schutzeinrichtungen und Sicherheitstechnik. Er stellt technische Möglichkeiten von zukünftigen Realisierungen im Bereich der Sicherheitstechnik vor – und zwar bewusst technische Lösungsmöglichkeiten, für die es heute noch keine Umsetzung gibt, aber vielleicht morgen? Heinke will damit auch Anstöße geben, die Ziele auf neuen Wegen zu erreichen. Ein Besuch in Stuttgart lohnt sich also auf jeden Fall. co

9. Sicherheit + Automation

Messe Stuttgart/ICS

Dienstag, 11. März 2014