Komplexität managen: Sicherheit in modernen Anlagen

In überwachungsbedürftigen Anlagen ist neben dem Management der funktionalen Sicherheit die Cybersecurity von entscheidender Bedeutung. Die wachsende technische Komplexität und die zunehmende Vernetzung der Anlagen sind dabei eine enorme Herausforderung. Gefragt ist hier ein ganzheitliches Management, das beide Sicherheitsdisziplinen gleichermaßen im Fokus hat. 

Bei der Automatisierung von Prozessen kommen immer mehr vernetzte Geräte und Systeme zum Einsatz und ermöglichen eine präzisere Steuerung von Anlagen sowie die Verarbeitung und Analyse großer Datenmengen. Mit der zunehmenden Verbreitung und Vernetzung computergesteuerter Elemente steigt auch das Risiko, dass deren fehlerhaftes Arbeiten oder Ausfallen schwerwiegende Folgen haben kann. Mögliche Worst-Case-Szenarien durch technisches Versagen sind beispielsweise auftretende Sicherheitsrisiken für Menschen, Umwelt, Anlagen und Prozesse sowie Produktionsausfälle oder die Gefährdung der Cybersicherheit. Besonders dort, wo die Funktionssicherheit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen von Bedeutung ist, müssen Hersteller und Betreiber Maßnahmen implementieren, um Störungen und Ausfälle zuverlässig zu verhindern. So müssen beispielsweise Sicherheitsventile- und -klappen nicht nur im Normalbetrieb, sondern insbesondere im Notfall zuverlässig arbeiten. Maßnahmen, die dies gewährleisten, sind beispielsweise die Analyse und das angemessene Management des Risikos, eine Architektur mit redundanten Sicherheitsmechanismen, Back-up-Systeme, Tests und Validierungen in regelmäßigen Intervallen sowie präventive Wartung. 

Management der funktionalen Sicherheit ist das A und O

Elektrische, elektronische oder programmierbare elektronische (E/E/PE) Komponenten sind heute zunehmend im Einsatz, wenn es darum geht, die Sicherheit überwachungsbedürftiger Anlagen zu gewährleisten. Zu Störungen kann es dabei vor allem aufgrund systematischer Fehler kommen. Die zugehörigen Normen fordern daher  die Implementierung eines Functional Safety Management Systems (FSMS), das solche Fehler verhindern soll. Maßgebliche Grundlagen sind hier, neben der übergeordneten DIN EN 61508, auch die branchenspezifischen  DIN EN 61511 und VDI/VDE 2180  (Prozessindustrie) sowie DIN EN 62061 und DIN EN ISO 13849 (Sicherheit  von Maschinen). 

Das Management der funktionalen Sicherheit umfasst den gesamten Lebenszyklus sicherheitsgerichteter Systeme – von der Konzeption und Bewertung über die kontinuierliche Optimierung bis hin zur Außerbetriebnahme. „Um eine effektive Integration der funktionalen Sicherheit in die Managementprozesse zu gewährleisten, sollten Betreiber bewährte Maßnahmen ergreifen“, erklärt Markus Pflüger, Geschäftsführer TÜV AUS-TRIA Deutschland GmbH und Mitglied des Erfahrungsaustauschkreises der Zugelassenen Überwachungsstellen (EK ZÜS). „Dazu gehören beispielsweise regelmäßige Risikoanalysen, das Befolgen von Branchenstandards und -richtlinien, das Implementieren von Redundanzen, Fehlererkennung und Zugriffskontrollen. Das Sicherheitsbewusstsein sollte durch kontinuierliche Schulungen gefördert und eine Sicherheitskultur im Unternehmen geschaffen werden. Darüber hinaus sollte die Effektivität dieser Sicherheitsmaßnahmen durch regelmäßige Prüfungen und Audits sichergestellt werden.“ Tim Reitzle, Sachverständiger GTÜ sowie Mitglied der ad hoc AG Cybersicherheit des EK ZÜS ergänzt: „Der Betreiber kann Prozesse definieren, um den Anforderungen der funktionalen Sicherheit gerecht zu werden und sie optimal in sein Management zu integrieren. Dazu gehören zum Beispiel Auswahlkriterien für Bauteile bei Neuanlagen oder Umbauten, aber auch Prozesse, die eine Wartung und Prüfung der Komponenten während des Betriebs vorsehen.“

Cybersecurity vs. physische Funktionalität?

Im Zeichen der fortschreitenden Digitalisierung und Industrie 4.0 sind heute mehr und mehr Anlagen vernetzt und erlauben die Fernwartung, Steuerung und Überwachung via Remote-Zugriff. Damit steigt die Gefahr, dass unautorisierte Dritte Zugang zu kritischen Infrastrukturen erhalten. So rückt als zusätzlicher Sicherheitsaspekt neben der funktionalen auch die Cybersicherheit verstärkt in den Fokus. Entsprechend fordert die 2023 veröffentlichte Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1, dass zumindest sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen) vor Cyberangriffen zu schützen sind, wenn sie über Datenschnittstellen verfügen und in der Lage sind, vernetzt zu kommunizieren. Ebenfalls relevant im Hinblick auf die Cyber-
security sind dieISO-2700xer-Reihe sowie die IEC 62443er-Reihe. Die ISO 27001 steht dabei für klassische 
IT-Security, unabhängig von der Branche und der Größe des Unternehmens. Sie definiert, was bei der Implementierung, Überwachung und Pflege eines Informationssicherheitsmanagementsystems (ISMS) zu beachten ist. Die IEC 62443 ist für Hersteller, Betreiber sowie Integratoren von industriellen Automatisierungs- und Steuerungssystemen relevant.

Um überwachungsbedürftige Anlagen effektiv zu schützen, ist ein optimales Zusammenspiel von physischer Funktionalität und diesen Anforderungen an Cybersecurity entscheidend. Bei der Umsetzung stehen jedoch teilweise widersprüchliche Intentionen im Fokus. So gilt es bei der physikalischen Sicherheit beispielsweise den Remote-Zugriff auf Sicherheitssysteme zu ermöglichen, um eine effiziente Steuerung, Überwachung und Fernwartung zu gewährleisten. Unter dem Aspekt größtmöglicher Cybersecurity hingegen wäre es sinnvoll, den Zugang zu den IT-Systemen weitestgehend zu beschränken. 

Regelwerke und Maßnahmen  dynamisch anpassen

Diese zum Teil gegensätzlichen Ziele beim Management der funktionalen Sicherheit und der Cybersecurity gilt es, künftig optimal miteinander zu verbinden. „Durch die immer stärker werdende Implementierung von programmierbaren Steuerungen werden neue Angriffsflächen für Sabotage durch Cyberangriffe geschaffen. Diese relativ neue Herausforderung ist aktuell bei Herstellern, Betreibern und bei Prüfern aller Rechtsgebiete ein Thema mit hoher Relevanz“, unterstreicht Tim Reitzle. Und Markus Pflüger erklärt: „Die Systeme werden durch die voranschreitende Digitalisierung und die Einbindung von Künstlicher Intelligenz (KI) in verschiedenen Industriezweigen zunehmend komplexer und miteinander verbunden. Diese wachsende Komplexität von Systemen und Technologien ist aus meiner Sicht künftig die größte Herausforderung im Management der funktionalen Sicherheit.“

Um diesen Herausforderungen gerecht zu werden, sollte ein ganzheitliches Management funktionale Sicherheit und Cybersecurity immer gemeinsam im Blick haben. Zugleich ist es entscheidend, dass Regelwerke und Maßnahmen mit der hohen Dynamik in der Digitalisierung schritthalten und beständig an die neue Entwicklung angepasst werden. Angesichts der wachsenden Komplexität der Technik wie auch der Regelwerke kommt der Prüfung durch unabhängige Stellen eine immer größere Bedeutung zu. Sachverständige 
und Zugelassene Überwachungsstellen sind durch beständige fachliche Weiterbildung und das Anpassen 
von Prüfleistungen in besonderem Maße gefordert.