Schlagwort: EU-Maschinenverordnung

A Pragmatic Guide to Maschinenverordnung

Veröffentlicht am von bho

Mit der neuen Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 verpflichtend gilt, wird Cybersicherheit zur gesetzlichen Pflicht für Maschinenhersteller.

Die zentrale Botschaft: „Keine funktionale Sicherheit ohne Cybersicherheit.“

Dieser Leitfaden zeigt, wie die Anforderungen in der Praxis umgesetzt werden können – mit einem strukturierten Konzept, basierend auf der Normreihe IEC 62443, ergänzt durch konkrete Werkzeuge, Prozesse und Dokumentationen.

Ziele

  • CE-Konformität durch Cybersicherheitsmaßnahmen sicherstellen
  • Robuste OT-Sicherheitsarchitektur etablieren
  • Erfüllung der gesetzlichen Anforderungen
  • Nachvollziehbare Dokumentation für Audits und Behörden bereitstellen

Relevante MVO-Abschnitte

  • Schutz gegen Korruption (Anhang III, Abschnitt 1.1.9)
  • Sicherheit von Steuerungssystemen (Anhang III, Abschnitt 1.2.1)
  • Technische Dokumentation (Anhang IV, Teil A)

Ablauf und Meilensteine

Das ist zu machen:

  1. Mit dem Gesetzestext vertraut machen
  2. Asset-Inventar erstellen
  3. Risikobewertung durchführen
  4. Maßnahmen definieren und umsetzen
  5. Dokumentation und Nachweispflicht

Bausteine

1. Asset-Inventar

Man kann nur Schützen was man kennt.

  • Inventarliste mit allen sicherheitsrelevanten Komponenten erstellen

2. Risikobewertung

First-things-first. Nicht zu kompliziert denken oder overengineeren. Welche Bedrohungen oder Maßnahme machen für euch am meisten Sinn. Oft fällte eine gleich was an, was einen unter den Nägeln brennt. Das sind die Findings die man benötigt! Und immer daran denken: Security ist ein Prozess.

  • Bedrohungskatalog erstellen
  • Bewertung nach Wahrscheinlichkeit und Auswirkung (vor allem bezüglich Safety)
  • Daraus ergibt sich eine Priorisierung der notwendigen Maßnahmen

Beispiele für den Bedrohungskatalog:

BedrohungAngriffsvektorMaßnahme
Unautorisierter NetzwerkzugriffDirekter Zugriff auf kritische Komponenten durch flache NetzeZugangsbeschränkung durch Firewall mit Deny-by-Default, Implementierung von Firewall-Regeln
Standard-PasswörterAusnutzung von nicht geänderten herstellerseitigen ZugangsdatenSofortiges Ändern aller Default-Credentials, zentrale und sicher Verwaltung
Leicht zugängliche USB-SchnittstellenRansomware-Infektion für externes MediumMedienkontrolle, Schnittstellen deaktivieren

3. Maßnahmen

Technische Maßnahmen

Vorgehensweise nach Defense in Depth (Security by Design & Default). Wir errichten eine Festung mit mehreren Schutzbarrieren. Fällt die erste Mauer, ist trotzdem nicht gleich die ganze Burg eingenommen.

  • Anlagen- und physische Sicherheit
  • Netzwerksicherheit
  • Systemsicherheit
Quelle: siemens.com

Organisatorische Maßnahmen

  • Zuständigkeiten definieren
  • Prozesse definieren oder anpassen

Personelle Maßnahmen

  • Awareness-Trainings
  • Know-how aufbauen

4. Dokumentation und Nachweispflicht

Alle Maßnahmen und Entscheidungen nachvollziehbar dokumentieren.

Erkenntnisse aus der Praxis

  1. OT hat andere Prioritäten – das ist auch bezüglich Security sehr wichtig zu betrachten
  2. Safety ≠ Security – Checksummen allein reichen nicht aus
  3. Dokumentation ist Pflicht – jede Maßnahme muss nachvollziehbar sein
  4. Frühzeitig starten – Cybersicherheit gehört in die Planungsphase
  5. Aufwand skalieren – MVO ist Pflicht, IEC 62443 kann je nach Projektumfang selektiv angewendet werden

Fazit

Die Maschinenverordnung ist kein reines Compliance-Thema – sie ist eine Chance, OT-Sicherheit zu professionalisieren und Vertrauen bei Kunden aufzubauen.

Mit einem klaren Konzept, strukturierten Prozessen und technischer Umsetzung kann Cybersicherheit im Maschinenbau praxisnah und auditfähig realisiert werden.