8-2024

Weitere Magazine

Info

Cybersecurity Produktionsanlagen brauchen Cybersecurity Compliance Risiken mit Automatisierung reduzieren der Verpackung und Logistik sind vernetzte Geräte und Steuerungen heute nicht mehr wegzudenken. Hinzu kommt die gesamte Infrastruktur, die ein modernes Industrieunternehmen am Leben hält: Router, Access Points, Drucker, Scanner, automatische Flurförderfahrzeuge und vieles mehr. Auch Softwareund Hardwareprodukte sowie damit verbundene Cloud-Lösungen gehören zum CRA. IoT und Cybersecurity: Vernetzte Geräte unter dem Schutz des Cyber Resilience Acts © putilov_denis/AdobeStock Durch den Cyber Resilience Act (CRA) der EU wird das zukünftige Geschäftsmodell der Herstellung, des Verkaufs und der Inbetriebnahme von Anlagen und Geräten mit digitalen Komponenten massiv beeinflusst. Betroffen sind digitale Produktionsanlagen, Montagelinien, CNC-Fräsmaschinen und alle anderen Geräte und Anlagen mit digitalen Komponenten – Router, Access Points, Handscanner, autonome Flurförderzeuge, Drucker und vieles mehr. Autor: Jan C. Wendenburg CEO ONEKEY GmbH https://onekey.com/ Neu ist auch die persönliche Verantwortlichkeit von Managern – CEOs, Verwaltungsräten, CIOs und CISOs. Für Hersteller und Verkäufer solcher Geräte sind regelmäßige Eigenkontrollen und ein umfassender Überblick über aktuelle Anforderungen und zukünftige Änderungen unerlässlich, um hohe Bußgelder zu vermeiden. Zertifizierungen können hier einen Vertrauensvorsprung schaffen. Tools, die ein automatisiertes Self-Assessment ermöglichen und die Einhaltung gängiger Standards wie den CRA konsequent überwachen, bieten Unterstützung auf dem Weg zur Zertifizierung. Cybersicherheitsgesetz Das Europäische Parlament hat die geplante „Verordnung über horizontale Anforderungen an die Cybersicherheit von Produkten mit digitalen Komponenten“ – das Cybersicherheitsgesetz – angenommen. Die endgültige Verabschiedung der Verordnung durch den Rat der Europäischen Union wird nur noch als Formsache betrachtet. Der CRA wird künftig die Cybersicherheitsanforderungen für Produkte mit digitalen Elementen regeln. Mit der Annahme des CRA stellt die Kommission klar, dass die Erfüllung der Cyber security-Anforderungen von Produkten eine zentrale Voraussetzung für die Wirtschaftstätigkeit im Binnenmarkt der EU ist. Für Hersteller und Verkäufer von Produkten mit digitalen Elementen ist von Bedeutung, dass der CRA eine Verordnung ist und somit ohne nationalen Umsetzungsakt unmittelbar in allen europäischen Mitgliedsstaaten anwendbar ist. Der Anwendungsbereich umfasst alle Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem anderen Gerät oder Netzwerk beinhaltet. Digitale Fertigungstechnik in der Industrie In der Industrie gilt bereits seit mehr als zehn Jahren die digitalisierte Fertigung als entscheidendes Zukunftsszenario für die Wirtschaft – ebenfalls bekannt unter dem Begriff der „Industrie 4.0“. Der Prozess ist weit fortgeschritten und umfasst praktisch alle Geräte, die für den Einsatz in der industriellen Fertigung entwickelt und gebaut werden. Produktionsmaschinen sind längst vernetzt, CNC-Fräsmaschinen ohne eigene Chips und Firmware nicht mehr nutzbar – selbst in Security by Design Mit der CRA wird erstmals das Prinzip „Security by Design“ im europäischen Technikrecht eingeführt. Das Konzept gilt nicht nur zum Zeitpunkt des Inverkehrbringens. Die CRA-Konformität eines Produkts mit digitalen Elementen muss künftig während des gesamten Produktlebenszyklus gewährleistet sein. Jedes Firmware-Update, jede Änderung an einem Gerät oder einer Anlage birgt das Risiko, eine neue, noch nicht erkannte Schwachstelle einzuschleusen. Erweiterte Produktdokumentation Derzeit werden die regulatorischen Vorgaben des CRA weiter konkretisiert, um für die verschiedenen Kritikalitätsklassen von Produkten mit digitalen Komponenten die zu erfüllenden Anforderungen an die Cybersicherheit sowie die den Nutzern bereitzustellenden Informationen und Anleitungen festzulegen. © Evgenia/AdobeStock 18 PC & Industrie 8/<strong>2024</strong>
Cybersecurity Darüber hinaus wird künftig eine erweiterte Produktdokumentation verpflichtend vorgeschrieben, um Geräte mit digitalen Komponenten herzustellen und zu vertreiben. Software-Lieferschein wird verpflichtend Die CRA-Pflichten betreffen primär Hersteller, aber auch Importeure und Händler. Der CRA soll dazu dienen, die digitale Lieferkette im EU-Binnenmarkt zu schützen. Zu diesem Zweck müssen die Unternehmen künftig auch eine Materialliste aufstellen, in der alle Software bestandteile eines Gerätes oder einer Anlage aufgeführt sind. Diese Stückliste muss über den definierten Produktlebenszyklus jederzeit gepflegt und aktualisiert werden – einer der ersten Ansätze, bei denen eine Automatisierung sinnvoll ist, um Arbeitsaufwand und Fehleranfälligkeit zu minimieren. Automatisierung Moderne Software-as-a-Service- Werkzeuge können eine SBOM automatisch erstellen und gleichzeitig eine direkte Risiko analyse der enthaltenen Softwarekomponenten durchführen. Dabei werden häufig gefährliche Zero-Day-Schwachstellen entdeckt, die bereits seit Jahren unerkannt in Softwarebausteinen schlummern. Hier arbeiten Sicherheitsspezialisten und Hacker an einem gemeinsamen Ziel: diese Schwachstellen zu finden. Meist reicht ein verwundbares Gerät in einem Netzwerk aus, um das gesamte Netzwerk zu infiltrieren und Daten zu stehlen, Systeme zu manipulieren oder anderweitig zu schädigen. Lebensdauer Die Anforderungen der CRA betreffen Risikobewertungen für Design, Entwicklung, Herstellung, Lieferung und Wartung von Produkten mit digitalen Elementen, Meldepflichten für Cybersicherheitsrisiken sowie Schwachstellen management und Patches. Hersteller, aber auch Branchenverbände, sind künftig verpflichtet, die typische und branchenübliche Lebensdauer ihrer Produkte zu ermitteln – in der Regel liegt diese nach dem CRA bei mindestens fünf Jahren. Allerdings ist die Nutzungsdauer von Anlagen, die in der Industrie eingesetzt werden, häufig Prozess des Product Compliance Lifecycle unter Anwendung des Compliance Wizards von ONEKEY. © ONEKEY länger: Industrie unternehmen sind daher gefordert, die IT-Sicherheit und -Integrität dieser Geräte im Blick zu behalten und Compliance- Richtlinien zu entwickeln, die das Ziel einer kontinuierlichen Sicherheitsplanung beinhalten. Bußgelder und persönliche Haftung Die Strafen für Verstöße – entdeckte Schwachstellen, Zero- Day-Lücken und Ähnliches – sind drastisch und können bis zu 15 Millionen Euro oder 2,5 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Die Umsetzungsfrist für die betroffenen Akteure beträgt grundsätzlich 36 Monate nach Inkrafttreten des CRA: Der Zeitdruck, sich auf die kommenden Bestimmungen vorzubereiten, ist groß. Zudem betreffen die Sanktionen nicht nur das Unternehmen selbst, sondern können sich auch auf das Management erstrecken. Während für viele Unternehmen die Bedingungen rund um die zukünftigen Compliance-Anforderungen auf Basis des Cyber Resilience Acts noch unklar sind, haben erste Unternehmen bereits reagiert und entsprechende Maßnahmen eingeleitet. Umsetzung Erste Unternehmen automatisieren ihre Sicherheitsprozesse: Ein mittelständischer Maschinen- und Anlagenbauer, der für seine Produkte modernste vernetzte Steuerungstechnik von anderen Unternehmen bezieht und integriert, hat sich aktiv um die Einhaltung der strengen EU-Vorgaben bemüht. Dabei analysiert er die digitalen Komponenten seiner Produkte im Detail und führt umfassende Risikobewertungen durch. Zu diesem Zweck setzt das Unternehmen eine Product Cybersecurity & Compliance Plattform ein, die es ermöglicht, alle eingesetzten Software-Komponenten automatisiert zu prüfen. So identifiziert der Maschinenbauer sowohl aktuelle als auch mögliche zukünftige Schwachstellen, sogenannte Zero- Day-Exploits. Als wichtigen Baustein seiner Cyber sicherheitsstrategie erstellt und aktualisiert das Unternehmen zudem eine SBOM (Software Bill of Materials), die einen transparenten Überblick über alle eingesetzten Softwarekomponenten bietet. Compliance Wizard Mit einem in der Plattform integrierten Compliance Wizard kann der Maschinenbauer zusätzlich seine Produkte nach zahlreichen Compliance-Standards oder -Gesetzen, wie etwa dem Cyber Resilience Act, überprüfen. Das Self Assessment automatisiert komplexe Prozesse deutlich und macht Cyber Security-Compliance auch im Mittelstand und weniger IT-affinen Branchen wie Maschinen- und Anlagenbau möglich. Reporting Ein Reporting liefert dem Unternehmen alle relevanten Daten für eine Zertifizierung durch eine unabhängige Prüfstelle nach aktuellen und zukünftigen Standards: Neben dem EU Cyber Resilience Act sind dies IEC 62443-4-2, ETSI EN 303 645 und UNECE R1 55. Im Fall des mittelständischen Maschinenund Anlagenbauers hat das Verfahren nicht nur die Unsicherheit im Umgang mit den neuen Richtlinien beseitigt, sondern auch die Kosten für die Cybersicherheit seiner Produkte deutlich gesenkt. Aufgedeckte Schwachstellen konnten bereits geschlossen werden und stellen kein Risiko mehr dar: Damit bieten die Produkte einen deutlichen Mehrwert am Markt und verschaffen dem Hersteller einen Wettbewerbsvorteil durch die frühzeitige Umsetzung der kommenden Cybersicherheitsregelungen. ◄ Schwachstelle in der Softwarelieferkette: Einstiegspunkt für Hacker © Maksim Kabakou/ AdobeStock PC & Industrie 8/<strong>2024</strong> 19
Seite 1 und 2: August 8/2024 Jg. 27 KI in der Indu
Seite 3 und 4: Editorial Ein Plädoyer für reale
Seite 5 und 6: Datenstrategie im Zeitalter der Kü
Seite 7 und 8: Aktuelles Automatisierung 4.0 Objek
Seite 9 und 10: Titelstory nehmen müssen daher sic
Seite 11 und 12: Künstliche Intelligenz Fazit Mit d
Seite 13 und 14: Künstliche Intelligenz digitale Um
Seite 15 und 16: Künstliche Intelligenz KI und Robo
Seite 17: Künstliche Intelligenz Bild 2: KI
Seite 21 und 22: Quantencomputing Bild 2: Innenleben
Seite 23 und 24: IPCs/SBCs/Module/Embedded Modul-Pla
Seite 25 und 26: IPCs/SBCs/Module/Embedded Für hart
Seite 27 und 28: Erweiterbare Box-PCs mit Intel Core
Seite 29 und 30: IPCs/SBCs/Module/Embedded Leistungs
Seite 31 und 32: IPCs/SBCs/Module/Embedded Industrie
Seite 33 und 34: Panel-PCs für anspruchsvolle indus
Seite 35 und 36: Bordbegleiter aller Daten Steckverb
Seite 37 und 38: Komponenten/Stromversorgung Bild 6:
Seite 39 und 40: Komponenten/Stromversorgung Schlank
Seite 41 und 42: Messung von Fluideigenschaften Komp
Seite 43 und 44: Gehäuse für Raspberry Pi 5 Kompon
Seite 45 und 46: Stromversorgung Bild 2: Konstantstr
Seite 47 und 48: Stromversorgung Umschaltung zwische
Seite 49 und 50: Rückkehr zum Mond und Reise zum Ma
Seite 51 und 52: Schnell und bereit für die Zukunft
Seite 53 und 54: Bedienen & Visualisieren Erweiterun
Seite 55 und 56: Kommunikation Anbindung an die OPC
Seite 57 und 58: September 9/2023 Jg. 27 PROFINET Se
Seite 59 und 60: November 11/2023 Jg. 27 Software/To
Seite 61 und 62: Oktober 10/2023 Jg. 27 Sicherheit S
Seite 63 und 64: Ultra-kompakt, robust, lüfterlos C

8-2024

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?