Was kommt auf Hersteller und Betreiber zu?
Vorgaben zu AfterSales-Pflichten und KI-Systemen
Doch hat die neue EU-Maschinenverordnung nicht nur Auswirkungen auf Herstellung und Risikoanalyse – auch Nachmarktpflichten finden sich explizit aufgeführt. Sollten Maschinen nicht mehr ‘verordnungskonform’ sein, sind Hersteller unverzüglich dazu aufgefordert, Korrekturmaßnahmen zu ergreifen oder aber Rückrufaktionen einzuleiten bzw. das Produkt vom Markt zu nehmen. Auch die zuständigen nationalen Behörden sind in einem entsprechenden Fall zu unterrichten.
Eine weitere Neuerung betrifft zudem Maschinen, die über Systeme mit sog. ‘selbstentwickelndem Verhalten’ (sprich: KI-Systeme) verfügen. Sie werden künftig zu den Hochrisikomaschinen gerechnet, was das Konformitätsbewertungsverfahren deutlich aufwendiger werden lässt. So werden die Hersteller gemäß der neuen EU-Verordnung eine Baumusterprüfung oder ein umfassendes Qualitätssicherungssystem vorzuweisen haben, um die Konformität von Maschinen mit KI-Software garantieren zu können.
Welche Maßnahmen können Hersteller ergreifen?
Letztlich bleibt es den Herstellern überlassen, welche konkreten Maßnahmen zu ergreifen sind, um den Anforderungen der neuen EU-Verordnung Genüge zu leisten. Als Leitfaden kann jedoch die internationale Normenreihe IEC62443 dienen, die sich mit der IT-Sicherheit von ‘Industrial Automation and Control Systems’ befasst. Hervorzuheben sind hier im Besonderen die Dokumente IEC62443 4-1 (Secure product development lifecycle requirements) sowie 62443 4-2 (Technical security requirements for IACS components). Sie behandeln, welche Aspekte im Hinblick auf einen sicheren Software-Entwicklungsprozess zu beachten sind. Ratsam erscheint zuvorderst eine Bedrohungsmodellierung. Dadurch lässt sich erkennen, auf welchen unterschiedlichen Wegen (etwa über das Bedienterminal, USB-Zugänge oder das Netzwerk) die Maschine angegriffen werden kann. Auf Grundlage eines solchen Modells kann in einem nächsten Schritt das individuelle Risiko bewertet und ein Maßnahmenplan erstellt werden. Dabei gilt es, folgende Aspekte zu betrachten:
- • eine starke Verschlüsselung sämtlicher Netzwerkverbindungen zur Maschine.
- • Einführung eines Identitäts- und Zugangsmanagements, das sicherstellt, dass die Anmeldung ausschließlich berechtigten Personen gestattet ist. Die Sicherheitsparameter müssen zudem so festgelegt sein, dass der Aktionsraum des Benutzers klar umrissen ist. Ein solches Least-Privilege-Prinzip sollte nicht nur für Anwender, sondern auch für die Verbindung mit anderen Maschinen oder Systemen gelten.
- • eine genaue Protokollierung sämtlicher Anmelde- und Abmeldevorgänge durch das installierte Software-Programm. Darüber hinaus müssen alle Modifizierungen der Software protokolliert werden – ganz gleich, ob sie autorisiert (etwa in Form von Updates) oder unautorisiert (schlimmstenfalls durch Hacker-Angriffe) vorgenommen wurden. Die Speicherung der Daten sollte direkt auf der Maschine oder auf einem zentralen Server erfolgen. Auch die Bereitstellung dieser Dokumentation für Prüfstellen oder Behörden ist vom Hersteller jederzeit zu garantieren.
- • ein Vulnerability-Management für alle installierten Software-Programme, im Zuge dessen fortlaufend mögliche Schwachpunkte (schwach geschützte Zugangscodes, riskante Netzwerkverbindungen etc.) identifiziert werden. Aufgrund der neu hinzukommenden After-Sales-Verpflichtungen sollten Hersteller auch logistisch darauf vorbereitet sein, Defizite und Mängel rasch beseitigen zu können.
Auch wenn einige Formulierungen in der neuen EU-Maschinenverordnung unter Umständen Raum für Diskussionen lassen, weisen die Vorgaben zur Cybersecurity in die richtige Richtung. Die Verordnung reagiert auf ein Problem, das die Unternehmen in den kommenden Jahren immer stärker beschäftigen wird, und nimmt Hersteller sowie Betreiber im Kampf gegen Cyberkriminalität in die Pflicht. Zumal auf Hersteller-Seite nun möglichst frühzeitig Vorkehrungen getroffen werden sollten: Diese reichen von einer umsichtigen Risikoanalyse aufgrund von Bedrohungsmodellierungen über verlässliche Verschlüsselungsverfahren und Identitätsprüfungen bis hin zu einem fortlaufenden Vulnerability-Management, das immer auch die Anwender in die Sicherheitsmaßnahmen einbindet. Nur im Schulterschluss von Herstellern und Betreibern kann die Bekämpfung von Cyberkriminalität gelingen. Die Komplexität dieser Aufgabe erfordert ein planvolles Handeln, auch wenn die Verordnung erst Anfang 2027 verbindlich anzuwenden ist.
Das könnte Sie auch interessieren
Vom 22. bis zum 26. April wird Hannover zum Schaufenster für die Industrie. Neben künstlicher Intelligenz sollen insbesondere Produkte und Services für eine nachhaltigere Industrie im Fokus stehen. ‣ weiterlesen
Quantencomputing könnte das Lieferkettenmanagement revolutionieren. Denn es ermöglicht eine schnellere und genauere Analyse komplexer Datensätze, löst bislang unlösbare Optimierungsprobleme und könnte Lieferketten besser absichern. Nikhil Malhotra von Tech Mahindra erläutert die Grundlagen hinter dieser Art zu rechnen und wie dies künftig das Supply Chain Management voranbringen könnte.Anders als im binären System können Zustände in Quantenbits überlagern, damit wächst die Rechenleistung mit jedem dieser Qubits exponentiell. (Bild: ©Gorodenkoff/stock.adobe.com)Quantencomputing (QC) hat das Potenzial, die Wirtschaft in ähnlichem Maße zu verändern, wie es in den vergangenen Jahren durch KI bereits geschehen ist. Einer der ersten und wichtigsten Anwendungsbereiche für Quantencomputer wird in den kommenden fünf Jahren das Lieferkettenmanagement (LKM) sein. Quantencomputer nutzen die Funktionsprinzipien der Quantenmechanik, um Berechnungen durchzuführen und Probleme zu lösen, die für klassische Rechner zu komplex sind. Entscheidend für die Entwicklung von Quantenrechnern sind technische und politische Faktoren: verbesserte Kühltechnologien und Quantenalgorithmen, dazu mehr Investitionen und mehr Anwendungen und damit Erfahrungen mit dieser Technologie.Die logische Struktur und Architektur heutiger Computer besteht aus dem binären System aus Nullen und Einsen – eine universelle Sprache, ein Symbolsystem, in das sich alles übersetzen lässt: von Bild und Ton über Schrift und Sprache bis zu unserem metrischen Zahlensystem. Dieses reicht von der Null bis zur Neun und wird in Deutschland als arabisch bezeichnet, obwohl es in Wahrheit aus Indien stammt. Da es sich bei Null und Eins um Stellen oder Ziffern (Digits) handelt, sprechen wir von Digitalität. Einem Computer-Bit entspricht dabei die Aussage oder die ‘Entscheidung’ des Computers, ob an einer bestimmten Stelle eine Null oder eine Eins stehen muss – damit beispielsweise eine Rechnung aufgeht oder ein Bild richtig wiedergegeben wird.Die Quantenwelt hingegen ist eine Welt der Wahrscheinlichkeit, in der ein Bit gleichzeitig 0 oder 1 sein kann. Erst wenn wir das Bit beobachten, können wir seine wahre Natur erkennen. Ein Quantensystem befindet sich so lange in einem Quantenzustand, wie es nicht klassisch gemessen wird. Erst durch die Messung verlässt es den Geltungsbereich der Quantenmechanik und kollabiert in einen klassischen, eindeutigen Zustand. Diese Erkenntnisse gehen auf die Forschung von Albert Einstein und Werner Heisenberg zurück, die vor mehr als 100 Jahren die Beschaffenheit von Licht untersuchten. Viele erinnern sich heute fasziniert, andere mit Ratlosigkeit an das sogenannte Doppelspaltexperiment aus dem Physikunterricht: Licht erscheint hier entweder in Gestalt von Teilchen (Photonen) oder einer elektromagnetischen Welle – abhängig davon, welche Art der Beobachtung gewählt wird.
So wie Hacker verstärkt künstliche Intelligenz in ihre Angriffe integrieren, dürften auch Security-Ansätze häufiger von KI profitieren. Ob generative KI im Sinn von ChatGPT und Dall-E das Identitäts- und Zugangsmanagement verändern könnte,
behandelt Dirk Decker (Bild) von Ping Identity im Meinungsbeitrag. Vorneweg: Sie wird es – aber in einigen Jahren. ‣ weiterlesen
Das Forschungsprojekt ’KI Marktplatz’ endet. Mit dem Startup AI Marketplace will das Team des von der Technologieinitiative It’s OWL initiierten Projekts jedoch die Arbeit fortsetzen.‣ weiterlesen
Trend Micro hat seinen Sicherheitslagebericht zur Jahresmitte vorgestellt. Demnach wird generative künstliche Intelligenz immer mehr zur Bedrohung. Auch Linux-Systeme werden häufiger angegriffen.‣ weiterlesen
Laut einer aktuellen Studie des TÜV-Verbands waren 11 Prozent der teilnehmenden Unternehmen im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen. Der Krieg in der Ukraine aber auch digitale Trends erhöhen die Risiken. Zu den häufigsten Angriffsmethoden zählen Phishing und Erpressungssoftware.‣ weiterlesen
Welchen Gefahren sind Unternehmen Kritischer Infrastrukturen (KRITIS) derzeit ausgesetzt? Wo liegen ihre größten Herausforderungen? Und welche Rolle spielen Systeme zur Angriffserkennung dabei? Um diese und weitere Fragen zu beantworten, hat das Research- und Beratungsunternehmen Techconsult im Auftrag der Secunet Security Networks AG mehr als 120 Kritis-Unternehmen befragt.‣ weiterlesen
Edge ist nicht gleich Edge: Für unterschiedliche Einsatzzwecke haben Unternehmen die Wahl zwischen mehreren Varianten der dezentralen Datenverarbeitung. Couchbase, Anbieter einer Datenmanagement-Plattform, zeigt die fünf verschiedenen Typen des Edge-Computings. ‣ weiterlesen
Cyberattacken gelten als Bedrohung Nummer 1 für Unternehmen. Umso wichtiger ist es, auf mögliche Vorfälle vorbereitet zu sein. Dadurch kann im Ernstfall der Umgang mit der Krise leichter fallen. Welche Punkte es dabei zu beachten gilt, beleuchten Johannes Fischer und Joshija Kelzenberg von Crunchtime Communications.‣ weiterlesen
INDUSTRIE 4.0 & IIoT-MAGAZIN Leseprobe
Zeitschrift für Industrie 4.0, Internet of Things & Digitale Transformation
