(Foto: © DALL.E / perfectpixelhunter_123RF / okapidesign)
Dezember 2024
Cybersicherheit spielt in der Aufzugswelt seit geraumer Zeit eine große Rolle. Bislang gibt es keine aufzugsspezifische harmonisierte Norm für Cybersicherheit. Viele Aufzugs- und Komponentenhersteller wissen nicht, wie sie diesem Thema begegnen sollen.
Trotz dieser Unsicherheit gibt es aber für Komponenten-Hersteller Möglichkeiten, das eigene Portfolio auf kommende, weitere regulatorische Anforderungen vorzubereiten.
Von Katrin Schwickal
Was macht das Thema Cybersicherheit so komplex? Cybersicherheit hat viele Facetten und es gibt bereits unzählige Dokumente, Leitfäden, Richtlinien, Standards etc. ohne Verbindlichkeit. Um nur einige wichtige Dokumente zu nennen: EU Cyber Resilience Act, ISO 27001, IEC 62443, ISO 8102 Teil 20, BSI, MVO, AI-Act ... etc. Unter der Annahme, dass künftig Vorgaben zur Cybersicherheit verpflichtend werden, stellen sich also die Fragen: Was ist der erste Schritt und wie kann ich mein Portfolio auf Cybersicherheit vorbereiten, ohne zu wissen, welche Vorgaben gelten werden?
Es steht natürlich außer Frage, dass auch Menschen und Prozesse eine sehr wichtige Rolle spielen. In diesem Artikel liegt der Fokus jedoch auf dem Bauteil, das vor Kompromittierung geschützt werden muss – sei es, dass sie versehentlich oder absichtlich geschieht.
IT oder OT?: In aller Kürze und mit aller Unschärfe: Geht es von einem elektronischen Gerät zum anderen, nennt man es IT. Geht es von einem elektronischen Gerät zu einer Maschine (an der Menschen interagieren), nennt man es OT. Inhaltlich gibt es viele Gemeinsamkeiten, jedoch auch wichtige Unterschiede. Sprechen wir von Aufzugsanlagen, beziehen sich die Anforderungen auf OT.
Gehen wir davon aus, dass die Cybersicherheit für eine bestehende Komponente analysiert wird und nicht für ein komplettes neues Bauteil. Normative Grundlage dieser Analyse ist die Normenreihe der IEC 62443, da sie zum einen ein sehr umfassendes Regelwerk zur "OT-Security" (siehe Kasten "IT oder OT") darstellt und zum anderen in ihren Teilen den Produktlebenszyklus unter Berücksichtigung verschiedener Akteure beinhaltet. In mehreren Schritten kann damit eine Abschätzung zur Cybersicherheit für das eigene Portfolio getroffen werden.
Schritt 1: Listen Sie die hergestellten Komponenten inkl. aller Varianten auf, wählen Sie anschließend eine Komponente aus, mit der die Analyse beginnt.
Schritt 2: Danach kann z. B. die Tabelle B.2 der IEC 62443-4-2 verwendet werden, drucken Sie sie am besten aus. In der IEC-Reihe werden Ihnen sieben sogenannte Foundational Requirements (FRs) begegnen, die als "Grundanforderungen" bezeichnet werden können. Arbeiten Sie alle FRs Punkt für Punkt durch.
Security Level (SL):
SL beschreiben die Anforderungen an die Cybersicherheit einer Komponente. Muss gegen besonders fähige und motivierte Angreifer geschützt werden, ist ein hohes SL zu wählen, für weniger versierte genügt ein geringeres SL. Die IEC 62443er Reihe kennt SL 1 bis SL 4. Für den Bereich Aufzugsanlagen enthält die ISO 8102-20 konkrete Vorgaben, welche Komponenten welche SL erfüllen müssen.
Diese FRs bestehen aus weiteren Unterpunkten, den CRs (Component Requirements). Mit der Erfüllung einer CR ist auch die Erfüllung eines Cyber-Sicherheitsniveaus, dem sogenannten Security Level (siehe Kasten "Security Level"), verbunden. CRs können weitere Requirement Enhancements (RE) enthalten, deren Anforderungen erfüllt werden müssen, wenn SL 2 bis 4 erreicht werden muss/soll.
Wollen Sie anstelle einer einzelnen Komponente ein ganzes Aufzugssystem betrachten, können Sie mit der Tabelle B.2 der IEC-Reihe der IEC 62443-3-3 für Systeme arbeiten. Hier gibt es anstelle von CRs System Requirements (SRs).
Schritt 3: Mithilfe der Tabelle kann der Ist-Zustand der ausgewählten Komponente analysiert werden. Dabei kann es hilfreich sein, wenn Produktspezialisten und Programmierer alle Anforderungen Schritt für Schritt durcharbeiten. Beide Seiten kennen nicht immer die Begrifflichkeiten des anderen, haben aber so die Möglichkeit, schnell fundierte Ergebnisse über bereits vorhandene Cybersicherheitsmaßnahmen zu liefern.
Harmonisierung und Zertifizierung: Jeder Hersteller hat die Möglichkeit, seine Produkte bereits jetzt nach diversen Cybersicherheitsnormen zertifizieren zu lassen, um einen offiziellen Nachweis für sein cybersicheres Produkt zu bekommen.
Gut zu wissen: Nur für harmonisierte Normen werden Zertifizierungsstandards durch Akkreditierungsstellen (z.B. DAKKS) festgelegt. Deshalb sollten Hersteller überlegen, ob eine Zertifizierung nach einer noch nicht harmonisierten Norm für sie sinnvoll ist. Während die IEC 62443 in Teilen harmonisiert ist und es hierfür akkreditierte Stellen gibt, kann eine Zertifizierung nach ISO 8102-20, da sie nicht harmonisiert ist, nach selbst festgelegten Standards der jeweiligen Organisation erfolgen.
Wurden die rund 50 CRs mit den Merkmalen der bestehenden Komponente abgeglichen, ist eine erste Aussage möglich, welche Security Levels in welchen CRs erreicht werden können. Würde sich der Status Quo aktueller Drafts durchsetzen, wären die SLs der ISO 8102-20 für Aufzugsanlagen ein guter Benchmark, der erfüllt werden sollte. Weiterhin ergibt sich daraus auch eine Abschätzung über den Aufwand der noch offenen, nicht erfüllten Punkte.
Wie geht es jetzt weiter? Die Auseinandersetzung mit der Komponente oder einem ganzen System ist keine abschließende Arbeit, sondern vielmehr ein möglicher erster Schritt. Wie bereits erwähnt, sind auch Prozesse und Menschen ein elementarer Bestandteil der Cybersicherheit. Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung behandelt z. B. die IEC 62443-4-1. Hersteller, die sich weiter mit dem Thema beschäftigen wollen, müssen entsprechende Prozesse dokumentieren, etablieren und leben.
Unabhängig davon, welche Regulatorien sich am Ende durchsetzen werden, bekommen Sie mit dieser Analyse eine gute Einschätzung der Cybersicherheit Ihrer Komponente bzw. Systems. Zusätzlich können Sie so auch die auf Sie zukommenden Entwicklungskosten ermitteln.
Die Autorin ist Operational Excellence Manager bei Riedl Aufzüge.
Digitalpaper
Kommentar schreiben