Workshop "Functional safety & cybersecurity" bei CEN am 16.3.2017

Die Europäische Normungsorganisation CEN veranstaltete am 16.03.2017 einen Workshop zum Thema „Functional safety & cybersecurity“ in Brüssel. Auch die KAN-Geschäftsstelle zählte neben Vertretern aus der Wirtschaft zu den Teilnehmern.

Im Rahmen dieser Veranstaltung mit rund 130 Teilnehmern soll ein besseres Verständnis für die Standardisierungsanforderungen der Industrie geschaffen werden. Diese werden für die „Roadmap“ der Normung im Bereich „Functional safety & cybersecurity“ richtungsweisend sein. Der Workshop“ wurde in drei Abschnitte gegliedert:

  1. Expertenvorträge
  2. Diskussionen zu vorgegebenen Fragen in kleinen Gruppen
  3. Offene Diskussion mit Experten zu den in Punkt 2 erarbeiteten Antworten.

Im Rahmen der Expertenvorträge kristallisierte sich heraus, dass eine Standardisierung für „Functional safety & cybersecurity“ zwingend notwendig ist. Nur dann können Kunden darauf vertrauen, dass sogenannte „IoT-devices“ (Internet of Things) die notwendigen Sicherheitsaspekte gegen Hackerangriffe beinhalten. Zusätzlich muss transparent sein, wie persönliche Nutzerdaten mit anderen Geräten interagieren.

In Zukunft muss der Fokus auf geschützte Steuerungssysteme gelegt werden, damit Hacker Maschinen und Anlagen nicht außer Betrieb setzen oder gar zerstören können. Laut Experten ist dabei jedoch nicht eine Verschlüsselung die Lösung, sich gegen Hackerangriffe zu schützen. „Informationen“ und „Daten“, die in das System eingespeist werden, müssen mit geeigneten Mitteln analysiert werden. Das System selbst soll dabei aus mehreren Ebenen bestehen. So müssten Hacker mehrere Sub-Systeme umgehen. So wird im Falle eines Hackerangriffes vermieden, dass das gesamte System auf einen Schlag abgeschaltet oder gesteuert werden kann.

Die Experten haben dabei auch kleine und mittelständische Unternehmen im Fokus, da entsprechende Maßnahmen auch für diese wirtschaftlich umzusetzen sein müssen.

Die Teilnehmenden diskutierten, dass Mitarbeiter entsprechend sensibilisiert und geschult werden müssen, da diese einen wesentlichen Einfluss auf die Sicherheit der Unternehmen ausüben können.

Ein zukünftiger Standard dürfe ebenfalls nicht auf eine spezielle Technologie verweisen. Vielmehr sollen Standards Methoden und Prozesse beschreiben, um flexibel auf neue Technologien reagieren zu können.

Zusätzliche Diskussionspunkte zu 2) stellen „Cybersecurity labels“ und die genaue Bedeutung von „Cybersecurity“ dar. Um das Vertrauen der Kunden zukünftig in Produkte erhöhen zu können, wird über die Einführung von sogenannten „Cybersecurity labels“ diskutiert. Diese werden jedoch nicht als sinnvoll erachtet. Der Grund hierfür liegt in der Schnelllebigkeit von Sicherheitsmechanismen und der damit fehlenden Aussagekraft von Gütesiegeln.

Experten haben derzeit noch nicht dasselbe Verständnis über die eigentliche Bedeutung von „Cybersecurity“. Der eine Teil versteht unter „Cybersecurity“ den Schutz von Daten. Der andere Teil versteht hingegen unter „Cybersecurity“ den Schutz von Steuerkonsolen, sodass Maschinen und Anlagen nicht missbraucht werden können.

Der Workshop hat gezeigt, dass die Mehrheit der Experten den Aspekt „Safety“ vernachlässigt. Dies liegt vor allem daran, dass „Security“-Experten die Meinung vertreten, dass Hackerangriffe nicht verwendet werden, um Menschen zu verletzen oder gar zu töten. Die Experten sind der Auffassung, dass Hackerangriffe dazu verwendet werden, um möglichst viel Geld auf kriminelle Art und Weise erlangen zu können. Dies kann beispielsweise durch die Lahmlegung von Maschinen und Anlagen geschehen. Im Anschluss erfolgt eine Erpressung: Die Maschine wird gegen einen gewissen Betrag wieder freigegeben.


Fazit

Für den Arbeitsschutz ist die Annahme, dass Hacker ihre Ziele nur nach monetären Chancen auswählen, nicht beruhigend. Im Falle eines Angriffes kann der Hacker z.B. zusätzlich, in einer unbeabsichtigten Kettenreaktion, Mensch und Umwelt schädigen.

Deshalb sollten Systeme, Maschinen und Anlagen so gestaltet werden, dass im Falle eines erfolgreichen Hackerangriffes eine absichtliche Fehlanwendung von Maschinen und Systemen nicht möglich ist. Dies sollte somit zwangsläufig auf geeignete Art in der Normung verankert werden.

In den nächsten Wochen findet die Ergebnisauswertung des „Workshops“, sowie die weitere Planung der Vorgehensweise in Bezug auf die Roadmap für die Standardisierung von „Functional safety & cybersecurity“ durch den Veranstalter (CEN) statt. Die KAN wird Sie über die weitere Vorgehensweise von CEN informieren.

Kommission Arbeitsschutz und Normung (KAN)
Geschäftsstelle
Alte Heerstraße 111
53757 Sankt Augustin

Tel. +49 2241 231-3471
Fax: +49 2241 231-3464
E-Mail: info@kan.de
Web: www.kan.de

Impressum - Datenschutz - Sitemap
Twitter - Xing - LinkedIn
© 2017 - Kommission Arbeitsschutz und Normung (KAN)