KANBrief 2/17
Industrie 4.0 steht für die vollständige Vernetzung von Menschen, Maschinen und Anlagen. Aufgrund der Interaktionen zwischen diesen Kommunikationspartnern muss nicht nur die funktionale Sicherheit „Functional Safety“, (z. B. Maschinenstopp bei Durchqueren einer Lichtschranke) berücksichtigt werden, um Menschen zu schützen. Die Informationssicherheit („Security“, z. B. Schutz der Roboterprogrammierung vor Manipulationen aus dem Netz) spielt eine ebenso wichtige Rolle.
Der Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit wird in der VDE-AR-E 2802-10-1 Anwendungsregel:2017-04 (Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit am Beispiel der Industrieautomation – Teil 1: Grundlagen) beschrieben. Diese beiden Arten von Sicherheit zu unterscheiden ist sinnvoll, um Zielkonflikte bei der Risikobewertung zu erkennen.
Eine Schädigung von Mensch und Umwelt durch einen Zugriff Dritter, z. B. in Form eines Hackerangriffes, stuften Experten im Rahmen des CEN-Workshops „Functional safety & cybersecurity“ als unwahrscheinlich ein. Wie die jüngsten Ereignisse zeigen, verfolgen kriminelle Hacker vorrangig monetäre Ziele. Dies schließt jedoch eine ungewollte Schädigung von Mensch und Umwelt nicht aus. Zudem kann in Zeiten von Terrorismus nicht ausgeschlossen werden, dass Mensch und Umwelt nicht doch ein primäres Ziel darstellen können.
Rechtliche Fragen
Die Umsetzung von Industrie 4.0 ist maßgeblich von der Akzeptanz der Nutzer abhängig. Diese erwarten, dass die von ihnen verwendeten Produkte und die vernetzten Abläufe, in die sie eingebettet sind, sicher sind. Im Falle eines unbefugten Zugriffes durch Dritte ist für den Nutzer relevant, wer in diesem Fall haftet. Derzeit werfen unbefugte Zugriffe allerdings noch straf- und haftungsrechtliche Grundsatzfragen auf (siehe: Rockstroh/Kunkel, IT-Sicherheit in Produktionsumgebungen, MMR 2/2017; Bräutigam/Klindt: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137). Da technische Normen die Konformitätsvermutung auslösen und den Stand der Technik beschreiben sollen, kann ihnen eine herausragende Bedeutung zukommen. Für die KAN sind daher auch verwaltungsrechtliche Fragen interessant:
Bereits im Juli 2014 hat CENELEC den Guide 32 (“Guidelines for Safety Related Risk Assessment and Risk Reduction for Low Voltage Equipment” (pdf)) veröffentlicht, der gegenwärtig überarbeitet wird. Er fordert dazu auf, Fragen der Informationssicherheit in Normen unter der Niederspannungsrichtlinie zu berücksichtigen. Im Februar 2017 hat das ISO/TC 199 „Safety of machinery“ unter dem Titel „Guidance and consideration of related security aspects“ ein neues vorläufiges Normvorhaben angenommen. Mit dem Fachbericht ISO/TR 22100-4 soll ein Leitfaden entstehen, der den Zusammenhang zwischen der ISO 12100 „Sicherheit von Maschinen“ und den für Maschinen relevanten Aspekten der Informationssicherheit beschreibt.
Techniker und Informatiker enger verzahnen
Derzeit finden vielseitige Aktivitäten zur Normung im Bereich der funktionalen Sicherheit und der Informationssicherheit bei CEN/CENELEC und ISO/IEC statt – allerdings bisher in getrennten Welten. Nicht nur Produktsicherheitsexperten müssen die Informationssicherheit berücksichtigen. Auch umgekehrt sollten Aspekte der funktionalen Sicherheit zukünftig verstärkt ins Bewusstsein von Experten der Informationstechnik treten.
Die Normungsorganisationen sollten gemeinsam daran arbeiten, die Bereiche „Safety“ und „Security“ enger zu verzahnen, um die traditionell unterschiedlichen Sichtweisen miteinander zu vereinen. Nur so können die für den Arbeitsschutz relevanten Aspekte frühzeitig und erfolgreich berücksichtigt werden. Zusätzlich sind rechtliche Aspekte zeitnah und transparent zu regeln, damit der Wandel zur Industrie 4.0 gelingen kann.
Sebastian Korfmacher korfmacher@kan.de Corrado Mattiuzzo mattiuzzo@kan.de