Maschinensicherheit im Kontext von KI und Security – Cyber Resilience Act und Maschinenverordnung: Herausforderungen und Chancen neuer Regularien
Künstliche Intelligenz (KI) stellt den Maschinenbau im Allgemeinen und die Funktionale Sicherheit von Maschinen und Anlagen im Besonderen vor neue Herausforderungen. In diesem Interview beleuchten Frank Bauder, Head of Competence Center Services bei Leuze, und Carsten Gregorius, Manager Strategic Product Marketing Safety bei Phoenix Contact, wie KI das Verhalten von Maschinen beeinflusst und welche Rolle die Risikobeurteilung spielt. Zudem wird den Themen Security, den normativen Rahmenbedingungen und dem Zusammenspiel von neuer Maschinenverordnung (MVO) und Cyber Resilience Act (CRA) im Kontext der Maschinensicherheit auf den Grund gegangen. Welche Herausforderungen und Chancen ergeben sich für Hersteller und den Produktionsstandort Deutschland/Europa?
GIT SICHERHEIT: Herr Bauder, Herr Gregorius, bevor wir auf den Einfluss von KI auf die Funktionale Sicherheit eingehen, stellt sich zunächst die Frage, was KI genau ist und welche Arten es gibt.
Frank Bauder: Geprägt wurde der Begriff der „Künstlichen Intelligenz“ bereits in den 50er-Jahren des letzten Jahrhunderts, insbesondere durch den Mathematiker und Informatiker Alan Turing. Danach war es eine ganze Zeit still um das Thema und erst Ende der 80er-Jahre wurden erste kommerzielle Anwendungen sichtbar. Seither hat die KI nach und nach Einzug in viele Bereiche unseres Lebens gehalten, zuletzt insbesondere durch den Chatbot ChatGPT. Definiert wird „KI“ als Fähigkeit von Maschinen, Aufgaben autonom auszuführen, wobei diese angepasst an neue Situationen reagieren und aus Erfolg und Misserfolg lernen. Dieses Verhalten ähnelt dem menschlichen Lernen. Heute sind vier Teilbereiche am häufigsten anzutreffen: „Machine Learning“, „Künstliche neuronale Netze“, „Deep Learning“ und „Natural Language Processing“.
Alle Beiträge der Serie
Wie beeinflusst KI den Maschinenbau gegenwärtig und welche Entwicklungen sind hier in den kommenden Jahren zu erwarten?
Carsten Gregorius: Der Einfluss von KI auf den Maschinenbau ist schon heute deutlich wahrzunehmen. Maschinelles Lernen wird beispielsweise genutzt um Produktionsprozesse zu optimieren indem Fertigungsabläufe permanent analysiert und verbessert werden. Weiterhin ermöglicht KI auch „Predictive Maintenance“, indem Daten analysiert werden und Prognosen für die Ausfallwahrscheinlichkeit bereitgestellt werden. Hierzu können beispielsweise digitale Zwillinge genutzt werden, um bei verschleißbehafteten Komponenten wie Relais einen rechtzeitigen Austausch einzuplanen und damit Produktionsstillstände zu minimieren.
Aber auch bei der sicherheitsgerichteten Konstruktion von Maschinen sowie der dynamischen Integration von Anlagenkomponenten verspricht die Anwendung von KI viele Möglichkeiten. In diesem Zusammenhang sei auf das Forschungsprojekt „AutoS²“ unter Federführung des Fraunhofer IOSB-INA hingewiesen.
Ein weiterer wichtiger Aspekt, auf den die Nutzung von KI maßgeblichen Einfluss hat, ist das Thema Security. Wie sieht der normative Rahmen hierzu aus?
Carsten Gregorius: Das Thema „Security“ hat mittlerweile breiten Einzug in das europäische Rahmenregelwerk gehalten. Insbesondere durch den Cyber Resilience Act (CRA) wird eine große Mehrheit von industriellen Produkten erfasst, die für die Automation von morgen von entscheidender Bedeutung sind. Unter den Anwendungsbereich fallen Produkte, die „digitale Elemente“ verwenden oder als Softwareprodukt in Verkehr gebracht werden. Ab dem Stichtag 11. Dezember 2027 (entspricht 36 Monate nach Inkrafttreten) sind alle Anforderungen aus dem CRA vor dem erstmaligen Inverkehrbringen eines Produktes zu berücksichtigen. Weiterhin ist der Behandlung von Schwachstellen über den gesamten Lebenszyklus Rechnung zu tragen.
Gestützt wird die Anwendung des CRA durch die Verwendung von Normen, die gerade in der Entwicklung sind und bis zum Stichtag harmonisiert sein sollen. Hierbei entstehen jeweils drei sogenannte "horizontale Normen" und "vertikale Normen". Vorteil ist die sogenannte Konformitätsvermutung bei Anwendung dieser Normen. Aber auch andere europäische Regelwerke greifen das Thema „Security“ auf: So hat beispielsweise die neue Maschinenverordnung (MVO) unter dem Kapitel „Schutz gegen Korrumpierung“ entsprechende Schutzziele bei Maschinen und Sicherheitsbauteilen definiert. Einen ähnlichen Ansatz findet man auch in der Funkanlagen-Richtlinie (RED).
Wie wirkt sich das Zusammenspiel von Maschinenverordnung (MVO), Cyber Resilience Act (CRA) sowie weiterer Regularien wie KI-Verordnung auf den Maschinenbau aus?
Frank Bauder: Für Hersteller von Maschinen ergeben sich durch die Maschinenverordnung (MVO) einige neue Aspekte. Die Themen Security und KI werden in der MVO konkret thematisiert. Danach hat der Maschinenhersteller Maßnahmen zu treffen, damit sich z. B. aus einem Angriff auf Datenschnittstellen an seiner Maschine keine negativen Einflussmöglichkeiten auf die Maschinensicherheit (= Funktionale Sicherheit) ergeben. Weiterhin beschreibt die MVO nun Anforderungen an autonome Maschinen, die z. B. Verfahren zum „self evolving behaviour“ nutzen – also sich selbst weiterentwickeln können. Wichtig für den Maschinenbau ist die Tatsache, dass die Umsetzung dieser Anforderungen durch neue Konzepte z. B. bei der Durchführung der Risikobeurteilung Zeit brauchen. Es ist also erforderlich, zeitnah zu starten.
Welche Herausforderungen sehen Sie bei der Umsetzung von KI und Security in der Funktionalen Sicherheit?
Frank Bauder: Security und Funktionale Sicherheit gehören aus meiner Sicht eng zusammen. Die Herausforderung liegt in der Tatsache, dass im Maschinenbau bisher während der Konstruktion eine Risikobeurteilung durchgeführt wurde. Bei bestimmungsgemäßer Verwendung der Maschine, der Beachtung der Warn- und Sicherheitshinweise und der Restrisiken war somit ein sicherer Betrieb über die gesamte Lebenszeit möglich. Speziell Cybersecurity benötigt Konzepte, die Bedrohungs-Szenarien „von innen“ und „von außen“ berücksichtigen. Wichtig zu verstehen ist, dass nicht nur die Komponentenlieferanten und die Maschinenhersteller, sondern auch die Betreiber eine aktive Rolle spielen. Die Zusammenarbeit zwischen Hersteller und Betreiber wird also über den reinen Kauf hinausgehen.
KI stellt eine Herausforderung in Richtung Funktionaler Sicherheit und Datenschutz dar. Bei Anwendungen mit KI ist das Einsatz-Szenario sehr detailliert zu beschreiben. Die Risikobeurteilung muss auf Basis dieser Szenarien erweitert werden. Die geeignete Auswahl der Trainingsdaten für die KI anhand der Umgebungsbedingungen stellt die nächste Herausforderung dar. Es muss sichergestellt sein, dass die KI in Anwendungen mit Funktionaler Sicherheit nicht „improvisiert“. Zurzeit entstehen Systeme, in der die KI in Anwendungen mit Funktionaler Sicherheit lernt, bevor sie in der realen Anwendung eingesetzt wird. Hierdurch ist das Einsatz-Szenario eindeutig beschreibbar, die Reaktionen der KI sind vorhersehbar.
Welche Maßnahmen sollten Unternehmen ergreifen, um die Funktionale Sicherheit und Security ihrer Maschinen zu gewährleisten?
Carsten Gregorius: Spätestens mit der neuen MVO, die ab dem 20. Januar 2027 greift, müssen Maschinenhersteller den Security-Aspekt im Kontext der Funktionalen Sicherheit bereits berücksichtigen. Hierbei steht insbesondere eine sorgfältige Bedrohungsanalyse im Vordergrund aus der dann der „Security-Kontext“ definiert und weitere Maßnahmen abgeleitet werden. Als eine wichtige Norm in diesem Zusammenhang sei auf die in der Entwicklung befindliche Norm prEN 50742 hingewiesen, die wertvolle Hinweise zur Anwendung der spezifischen Anforderungen aus der MVO geben wird. In Hinblick auf den CRA sollte dieser Themenkomplex jedoch ganzheitlich betrachtet werden.
Da der gesamte Prozess sehr aufwändig sein kann und zum Teil zunächst ein Know-how-Aufbau stattfinden muss, verbleibt bis zum Stichtag nicht mehr viel Zeit. Maschinenhersteller müssen daher jetzt reagieren und das Thema auf die Tagesordnung setzen. Der VDMA hat sich dieser Herausforderung ebenfalls angenommen und unter dem Projekt „Supply Chain Security“ eine praxistaugliche Dokumentenreihe veröffentlicht, die den Austausch von Security-Anforderungen zwischen den Marktteilnehmern standardisieren und damit erleichtern soll.
Welchen Einfluss haben die genannten Richtlinien und Verordnungen der EU ihres Erachtens auf den Produktionsstandort Deutschland/Europa?
Frank Bauder: Es bestehen Risiken für den Wirtschaftsstandort, wenn Verordnungen den technischen Fortschritt stoppen und in der globalen Sicht andere Wirtschaftsräume z. B. in Amerika oder Asien hier einfacher forschen und entwickeln können. Weiterhin erzeugen Verordnungen oft zusätzliche Bürokratie beispielsweise durch erweiterte Dokumentation oder zusätzlich erforderliche Zulassungen und Genehmigungen.
Grundsätzlich schaffen aber Verordnungen zunächst den rechtlichen Rahmen für die sichere Anwendung und den sicheren Betrieb. Auf dieser Grundlage werden Harmonisierung und Standardisierung möglich. Das bietet für Europa und Deutschland die Chance auf einen fairen Wettbewerb.
Kernanforderungen an die Cyber-Sicherheit digitaler Produkte entlang ihres gesamten Lebenszyklus – von der Planung bis zur Wartung
