KANBrief 2/17

Aspekte der Sicherheit im Wandel zur Industrie 4.0

© elenabsl/fotolia.com

Industrie 4.0 steht für die vollständige Vernetzung von Menschen, Maschinen und Anlagen. Aufgrund der Interaktionen zwischen diesen Kommunikationspartnern muss nicht nur die funktionale Sicherheit „Functional Safety“, (z. B. Maschinenstopp bei Durchqueren einer Lichtschranke) berücksichtigt werden, um Menschen zu schützen. Die Informationssicherheit („Security“, z. B. Schutz der Roboterprogrammierung vor Manipulationen aus dem Netz) spielt eine ebenso wichtige Rolle.

Der Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit wird in der VDE-AR-E 2802-10-1 Anwendungsregel:2017-041 beschrieben. Diese beiden Arten von Sicherheit zu unterscheiden ist sinnvoll, um Zielkonflikte bei der Risikobewertung zu erkennen.

Eine Schädigung von Mensch und Umwelt durch einen Zugriff Dritter, z. B. in Form eines Hackerangriffes, stuften Experten im Rahmen des CEN-Workshops „Functional safety & cybersecurity“ als unwahrscheinlich ein2. Wie die jüngsten Ereignisse zeigen, verfolgen kriminelle Hacker vorrangig monetäre Ziele. Dies schließt jedoch eine ungewollte Schädigung von Mensch und Umwelt nicht aus. Zudem kann in Zeiten von Terrorismus nicht ausgeschlossen werden, dass Mensch und Umwelt nicht doch ein primäres Ziel darstellen können.

Rechtliche Fragen

Die Umsetzung von Industrie 4.0 ist maßgeblich von der Akzeptanz der Nutzer abhängig. Diese erwarten, dass die von ihnen verwendeten Produkte und die vernetzten Abläufe, in die sie eingebettet sind, sicher sind. Im Falle eines unbefugten Zugriffes durch Dritte ist für den Nutzer relevant, wer in diesem Fall haftet. Derzeit werfen unbefugte Zugriffe allerdings noch straf- und haftungsrechtliche Grundsatzfragen auf3,4. Da technische Normen die Konformitätsvermutung auslösen und den Stand der Technik beschreiben sollen, kann ihnen eine herausragende Bedeutung zukommen. Für die KAN sind daher auch verwaltungsrechtliche Fragen interessant:

  • Wie weit reicht die Verantwortung des Inverkehrbringers im Rahmen des Produktsicherheitsgesetzes bzw. der europäischen Binnenmarktvorschriften? Diese decken nur die bestimmungsgemäße Verwendung und (vernünftigerweise) vorhersehbare Fehlanwendung des Anwenders ab, nicht aber einen Missbrauch durch einen kriminellen Akt.
  • Brauchen wir also zusätzliche Regelungen? Oder könnten mögliche individuelle kriminelle Eingriffe von außen als eine Art „verseuchtes Netz“ verallgemeinert und als vorhersehbare Umgebungsbedingung betrachtet werden, so wie Klimaeinflüsse oder Störungen im Stromnetz? Dies wäre dann vom Binnenmarktrecht abgedeckt.
  • Davon wiederum hängt die Antwort auf Fragen ab wie: Wäre eine harmonisierte Norm beispielsweise unter der Maschinenrichtlinie noch als vollständig zu betrachten, wenn sie Eingriffe Dritter von außen auf ein vernetztes Produkt nicht (zufriedenstellend) behandelt? Könnte die Marktüberwachung gegen ein Produkt vorgehen, das zum Zeitpunkt des Inverkehrbringens nicht ausreichend gegen Zugriffe von außen gesichert ist?

Bereits im Juli 2014 hat CENELEC den Guide 325 veröffentlicht, der gegenwärtig überarbeitet wird. Er fordert dazu auf, Fragen der Informationssicherheit in Normen unter der Niederspannungsrichtlinie zu berücksichtigen. Im Februar 2017 hat das ISO/TC 199 „Safety of machinery“ unter dem Titel „Guidance and consideration of related security aspects“ ein neues vorläufiges Normvorhaben angenommen. Mit dem Fachbericht ISO/TR 22100-4 soll ein Leitfaden entstehen, der den Zusammenhang zwischen der ISO 12100 „Sicherheit von Maschinen“ und den für Maschinen relevanten Aspekten der Informationssicherheit beschreibt.

Techniker und Informatiker enger verzahnen

Derzeit finden vielseitige Aktivitäten zur Normung im Bereich der funktionalen Sicherheit und der Informationssicherheit bei CEN/CENELEC und ISO/IEC statt – allerdings bisher in getrennten Welten. Nicht nur Produktsicherheitsexperten müssen die Informationssicherheit berücksichtigen. Auch umgekehrt sollten Aspekte der funktionalen Sicherheit zukünftig verstärkt ins Bewusstsein von Experten der Informationstechnik treten.

Die Normungsorganisationen sollten gemeinsam daran arbeiten, die Bereiche „Safety“ und „Security“ enger zu verzahnen, um die traditionell unterschiedlichen Sichtweisen miteinander zu vereinen. Nur so können die für den Arbeitsschutz relevanten Aspekte frühzeitig und erfolgreich berücksichtigt werden. Zusätzlich sind rechtliche Aspekte zeitnah und transparent zu regeln, damit der Wandel zur Industrie 4.0 gelingen kann.

Sebastian Korfmacher korfmacher@kan.de     Corrado Mattiuzzo mattiuzzo@kan.de

1 Zusammenhang zwischen funktionaler Sicherheit und Informationssicherheit am Beispiel der Industrieautomation – Teil 1: Grundlagen
2 www.kan.de/service/wir-berichten-fuer-sie/detailansicht/workshop-functional-safety-cybersecurity-bei-cen-am-1632017
3 Rockstroh/Kunkel, IT-Sicherheit in Produktionsumgebungen, MMR 2/2017
4 Bräutigam/Klindt: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137
5 CENELEC Guide 32:2014-07 “Guidelines for Safety Related Risk Assessment and Risk Reduction for Low Voltage Equipment”
ftp://ftp.cencenelec.eu/CENELEC/Guides/CLC/32_CENELECGuide32-DE.pdf

Kommission Arbeitsschutz und Normung (KAN)
Geschäftsstelle
Alte Heerstraße 111
53757 Sankt Augustin

Tel. +49 2241 231-3471
Fax: +49 2241 231-3464
E-Mail: info@kan.de
Web: www.kan.de

Impressum - Datenschutz - Sitemap
Twitter - Xing - LinkedIn
© 2018 - Kommission Arbeitsschutz und Normung (KAN)