Hannover: Welche Maßnahmen der IT-Sicherheit sind in Bezug auf die Entwicklungs-, Herstellungs- und Betreiberprozesse zu treffen? Diese Frage stellen sich derzeit zahlreiche Hersteller, Integratoren und Betreiber funktional sicherer Produkte. Das Problem: Die gültigen Vorschriften wie das Produktsicherheitsgesetz, die Betriebssicherheitsverordnung oder die Medizinprodukte-Richtlinie betrachten bislang nur Fragen der Funktionalen Sicherheit (Safety), jedoch kaum oder gar nicht die der Informationssicherheit (Security). Ein integrierter Sicherheitsansatz liegt zurzeit weder als Norm noch als Richtlinie vor. TÜV NORD will diese Lücke schließen, mit der Security4Safety (S4S) Risikoanalyse. Diese verfolgt einen ganzheitlichen Ansatz für smarte Produktsicherheit entlang der gesamten Wertschöpfungskette
„Die herkömmliche Funktionale Sicherheit wurde bisher von der Informationssicherheit getrennt betrachtet“, sagt Matthias Springer, Projektleiter Security4Safety bei TÜV NORD CERT. Diese Trennung diente dazu Rückwirkungsfreiheit zu erreichen, also unterwünschte Nebenwirkungen auszuschließen, die Einfluss auf die Sicherheit von Personen, Equipment und Umwelt haben könnten. Die Entwicklungs-, Herstellungs- und Betreiberprozesse im Zeitalter von Industrie 4.0 machen die strikte Trennung von Safety und Security jedoch nicht mehr möglich; vielmehr widersprechen sich die verankerten Sicherheitsziele. „Auf der einen Seite steht das Ziel, dass die Maschine in sich sicher ist, auf der anderen Seite steht der Schutz vor Manipulationen von außen, die auf die Entwicklungs-, Fertigungs- oder Serviceprozesse einwirken könnten. Plakativ gesagt, stellen Sie sich eine Notausgangstür vor. Nach dem Safety-Gedanken müssen die Menschen bei Gefahr ins Freie gelangen. Aus Security-Sicht müsste die Tür aber zugemauert sein, damit niemand von außen in das Gebäude eindringt“, so Springer. Es komme also darauf an, einen für Security- und Safety-Anforderungen gangbaren Weg zu finden.
Vor diesem Hintergrund haben Springer und sein Team eine S4S-Risikoanalyse entwickelt, die einen anforderungsgerechten ganzheitlichen Ansatz einer Gefährdungs- und Bedrohungsanalyse auf allen logischen Ebenen (Prozesse, Systeme, Komponenten) verfolgt sowie alle schützenswerten Eigenschaften (Assets) von Industrie 4.0 berücksichtigt. „In Anlehnung an bestehende Vorgehensweisen der Gefährdungs- und Risikobeurteilung aus EN ISO 12100, EN 62443-3-2 oder VDI/VDE 2182 wird ein systematischer, strukturierter und kontinuierlicher Ansatz verwendet, um die Eigenschaften der Prozesse, Systeme und Komponenten bewerten zu können“, so Springer. Das innovative Risikomanagement betrachtet in drei Phasen die Risikobeurteilung und Ableitung von Maßnahmen, die Umsetzung der getroffenen Regelungen sowie deren Verifizierung und Validierung. Das Phasenmodell soll dazu beitragen, Kunden in unterschiedlichen Umsetzungs- und Implementierungsphasen zu begleiten, unabhängig vom Know-how und Entwicklungsstadium ihrer smarten Produkte. „Nur so lassen sich das Risiko umfassend bewerten, der Stand der Technik bestätigen und die Sorgfaltspflicht beim Inverkehrbringen sicherheitsgerichteter Produkte im Zeitalter von Industrie 4.0 einhalten“, sagt Matthias Springer. Mit dem Konzept Security4Safety von TÜV NORD findet eine ganzheitliche Betrachtung der Sicherheit statt, die die Welten der IT-Security und der Funktionalen Sicherheit vereint.
Über die TÜV NORD GROUP
Die TÜV NORD GROUP ist mit über 10.000 Mitarbeitern einer der größten technischen Dienstleister. Mit ihrer Beratungs-, Service- und Prüfkompetenz ist sie weltweit in 70 Ländern aktiv. Zu den Geschäftsbereichen gehören Industrie Service, Mobilität, IT und Bildung. Mit Dienstleistungen in den Bereichen Rohstoffe und Aerospace hat der Konzern ein Alleinstellungsmerkmal in der gesamten Branche. Leitmotiv: „Excellence for your business.“