Schutz gegen Korrumpierung und Cybersicherheit im Maschinenbau

Am 05. Dezem­ber 2025 wurde der lang erwar­te­te Norm­ent­wurf der prEN 50742 fer­tig gestellt. Wir schau­ten für Sie in den Norm­ent­wurf und zei­gen Ihnen die wich­tigs­ten Eck­punk­te, die sich in die­ser Ent­wurfs­pha­se abzeichnen.

Der Schutz gegen Kor­rum­pie­rung wird im Norm­ent­wurf defi­niert als „beab­sich­tig­te oder unbe­ab­sich­tig­te Modi­fi­ka­ti­on von Maschi­nen­da­ten, die poten­zi­ell zu gefahr­brin­gen­den Situa­tio­nen füh­ren kann.“

Bei den in der Norm defi­nier­ten Metho­den und Anfor­de­run­gen geht es um die Sicher­heits­aus­wir­kun­gen von Mani­pu­la­tio­nen. Ein voll­stän­di­ger Schutz gegen Cyber­ri­si­ken kann wei­ter­ge­hen­der zu gestal­ten sein, wenn man z.B. die Ver­füg­bar­keit für die Pro­duk­ti­on als Schutz­ziel ein­be­zieht. Die neue Norm beschäf­tigt sich also mit dem Min­dest­schutz, der für die Erfül­lung der gesetz­li­chen Anfor­de­run­gen und somit für eine CE-Kennzeichnung nach EU-Maschinenverordnung 2023/1230 vor­aus­sicht­lich ab 2027 zwin­gend not­wen­dig sein wird.

Der von der Indus­trie bean­trag­te Auf­schub der Anfor­de­run­gen im Bereich KI und Cyber-Security wird aktu­ell kon­tro­vers dis­ku­tiert. Mit einem zöger­li­chen Vor­ge­hen gehen die Her­stel­ler erheb­li­che Risi­ken ein.

Die prEN 50742 for­dert einen risi­ko­ba­sier­ten Ansatz, bei dem sind sowohl Sicher­heits­ri­si­ken als auch Bedro­hungs­ri­si­ken zu berück­sich­ti­gen. Diese erge­ben sich aus dem Ver­wen­dungs­zweck der Maschi­ne und dem Sicherheitskontext.

Inhalte der Norm prEN 50742

Der Norm­ent­wurf beinhaltet:

• die Wahl­mög­lich­keit der Anwen­dung der Nor­men­rei­he EN 62443 (Approach B) oder der Ver­fah­ren der Norm prEN 50742 (Approach A),
• einen eige­nen Risi­ko­min­de­rungs­pro­zess, des­sen Basis die Risi­ko­be­ur­tei­lung nach EN 12100 bil­det, da nur so die Sicher­heits­ri­si­ken ermit­telt wer­den können,
• für Approach A die Ermitt­lung eines geeig­ne­ten SRSL (safety-related-security-Level) unter Berück­sich­ti­gung der erwar­te­ten Angriffs­häu­fig­keit und der Skills der Angreifer,
• zu erfül­len­de Anfor­de­run­gen für die SRSL 0-3
• die Analyse der Bedro­hun­gen bzw. Gefähr­dun­gen mit dem STRIDE-Modellierungsansatz (Spoo­fing, Tam­pe­ring, Repu­dia­ti­on, Infor­ma­ti­on Dis­clo­sure, Deni­al of Ser­vice, Ele­va­ti­on of Pri­vi­le­ge), wofür prak­ti­sche Bei­spie­le gege­ben werden,
• die Infor­ma­ti­on über die ver­blei­ben­den Rest­ri­si­ken durch sicher­heits­re­le­van­te Benut­zer­hin­wei­se ana­log der DIN EN 12100 für beide Approaches.

Was bedeuten die Empfehlungen in der Norm für laufende Entwicklungen?

Die Analyse nach dem STRIDE-Bedrohungsmodell ist ein Aspekt, den die künf­ti­gen Anwen­der bereits jetzt umset­zen kön­nen. Dies erleich­tert aus Sicht von IZP die spä­te­re Prü­fung der Maß­nah­men gegen die Nor­m­an­for­de­run­gen. Damit wer­den die Kos­ten von Nach­bes­se­run­gen bzw. den Auf­wand der Nach­do­ku­men­ta­ti­on bei Erschei­nen der end­gül­ti­gen Norm minimiert.

Das STRIDE-Bedrohungsmodell kann auch mit gän­gi­ger Soft­ware (z.B. SAFEXPERT) als Erwei­te­rung der Gefähr­dungs­lis­te abge­bil­det wer­den. Die Ermitt­lung der rele­van­ten SRSL könn­te hin­ge­gen in der Sicher­heits­an­for­de­rungs­spe­zi­fi­ka­ti­on (s.a. DIN EN 13849-1, Abschnitt 5) doku­men­tiert werden.

Maschi­nen­bau­er, wel­che die Anfor­de­run­gen der seit Jah­ren ver­füg­ba­ren Nor­men­rei­he EN 62443 bei der Beur­tei­lung des Designs Ihrer Sys­te­me berück­sich­ti­gen und Cyber­ri­si­ken sys­te­ma­tisch ana­ly­sie­ren und behan­deln, dürf­ten bereits jetzt ver­gleichs­wei­se gut auf­ge­stellt sein. Sie könn­ten anhand des Norm­ent­wur­fes zunächst vor­prü­fen, in wie­weit sie die künf­ti­gen Anfor­de­run­gen für Sys­te­me und Kom­po­nen­ten schon erfül­len. Die Norm ver­weist hier auf spe­zi­fi­sche Anfor­de­run­gen (FR, SR) und zu erfül­len­de Security-Level-Capability SL-C.

Das künf­ti­ge Vor­ge­hen ent­spre­chend der EN 50742 (Approach A) erscheint fokus­sier­ter. Dies redu­ziert den Gesamt­auf­wand für eine CE-Kennzeichnung vor allem für klei­ne­re Unter­neh­men und ein­fa­che­re Anwen­dun­gen. Die fina­le Ver­öf­fent­li­chung der Norm wird aber noch eini­ge Zeit dau­ern, da der Ent­wurf der­zeit in der Kom­men­tie­rungs­pha­se ist.

Weitere Informationen

Der eng­lisch­spra­chi­ge Norm­ent­wurf kann unter dem unten ange­ge­be­nen Link erwor­ben werden.

Für wei­te­re Fra­gen rund um das Thema Risi­ko­be­ur­tei­lun­gen im Bereich Maschi­nen­si­cher­heit ste­hen wir Ihnen gerne zur Verfügung.

Norm­ent­wurf prEN 50742:2025 (E)

Mehr zu Risikobeurteilungen

Mehr zu funk­tio­na­ler Sicherheit