Der August 2022 wird als Meilenstein für die Aufzugs- und Fahrtreppenbranche in die Geschichte eingehen. Ab diesem Monat konnten Hersteller weltweit die Norm ISO 8102-20 herunterladen und sicher sein, dass bei der Fertigung gemäß den darin festgelegten Spezifikationen die Cybersicherheit ihrer Produkte von Anfang an sorgfältig berücksichtigt wird.
Die ISO 8102-20 fasst drei Jahre Arbeit zahlreicher Branchenverbände, Experten und einzelner Hersteller in 34 bahnbrechenden Seiten zusammen. KONE war nicht nur passiver Mitläufer – drei leitende Teammitglieder waren in der Arbeitsgruppe vertreten, und KONE-Fachexperte Ari Kattainen leitete diese.
„Ich bin ursprünglich kein Cybersicherheitsexperte, sondern eher auf den Bereich der funktionalen Sicherheit ausgerichtet“, sagt Kattainen, „daher war es unglaublich interessant, an der Erstellung dieses neuen Cybersicherheitsstandards mitzuwirken. Mein Hauptziel war es, die verschiedenen Experten in der Arbeitsgruppe effektiv zusammenzubringen, damit eine wirklich gute Atmosphäre und ein guter Dialog herrschten.“
Vorteile für Kunden, Endnutzer und die Umwelt
Die Einhaltung der neuen ISO-Norm – mittlerweile eine Priorität für KONE – ist nicht nur eine Möglichkeit, den Kunden zu zeigen, dass ihre Systeme noch viele Jahre lang über erstklassige Cybersicherheit verfügen werden, sondern bedeutet auch, dass Endnutzer einen effizienten, reibungslosen Service genießen können.
„Cybersicherheit ist wie ein Fundament“, sagt Kattainen. „Sie bedeutet, dass wir Produkte, die mit der Außenwelt verbunden sind, sicher nutzen können. Und ohne diese Verbindung zur Außenwelt ist der Personenfluss nicht so effizient.“
Der Cybersicherheitsschutz, den die neue Norm mit sich bringt, stellt sicher, dass bei Verbindungen zur Fernaktualisierung von Systemen das Risiko von Eingriffen von außen minimiert wird. „Man öffnet kein Portal, durch das jemand eindringen, das System hacken und auf irgendeine Weise stören kann“, sagt Kevin Brinkman, Senior Director of Codes bei der America's National Elevator Industry, Inc. (NEII).
Dies hat auch positive Auswirkungen auf die Umwelt. Sichere Systeme, die aus der Ferne aktualisiert werden können, bedeuten, dass KONE die Anzahl der Besuche reduzieren kann, die ein Techniker zur Wartung eines Aufzugs oder einer Rolltreppe vor Ort durchführen muss.
Was für Kattainen – ebenso wie für seine Kollegen aus der KONE-Arbeitsgruppe, Jussi Valkiainen, Leiter für Produkt- und Anwendungssicherheit, und Mika Katara, IoT-Sicherheitsmanager – besonders interessant war, war nicht nur zu sehen, was für den neuen Standard erforderlich war, sondern auch, warum dies erforderlich war. „Das hebt die Sache wirklich auf die nächste Stufe“, sagt er.
Die Rolle von Standards in der Cybersicherheit verstehen
Laut Valkiainen ist es die zunehmende Verbreitung von Smart Cities und die zunehmende Vernetzung, die den Bedarf an einem neuen internationalen Standard für Cybersicherheit bei Aufzügen, Rolltreppen und Fahrsteigen geweckt hat.
„Vor etwa fünf oder sechs Jahren“, erklärt er, „hielten Digitalisierung und Vernetzung Einzug in unsere Branche, und vielen Herstellern wurde bewusst, dass wir mit der Einführung der Vernetzung auch Cybersicherheitsrisiken einführten. Wir brauchten einen Weg, uns davor zu schützen.“
Doch welche Risiken? Kattainen kann beispielsweise mehrere Worst-Case-Szenarien aufzählen – Bedrohungen, die die Arbeitsgruppe bei ihren „War-Gaming“-Simulationen, bei denen sie überlegte, wogegen sie sich schützen müsse, in Betracht ziehen musste.
Diese reichten von einem Hacker, der es auf das Notruftelefon eines Aufzugs abgesehen hat, bis hin zu einer Denial-of-Service-Attacke, bei der ein „böswilliger Akteur“ Aufzugskabinen lahmlegen und Lösegeld fordern könnte.
Der neue Standard hilft Herstellern, sich vor solchen Risiken zu schützen und damit auch den Reputationsschaden zu vermeiden, der entstehen könnte, wenn eine Sicherheitsverletzung zu negativer Publicity führt, betont Kattainen.
Marktteilnehmer setzen sich gemeinsam für die Sicherheit von Produkten ein
Der neue Standard zeigt deutlich, dass die Branche das Thema Cybersicherheit äußerst ernst nimmt.
„Es gab zwar bereits Cybersicherheitsstandards für andere Branchen, aber nichts, was speziell auf die Besonderheiten der Aufzugsbranche zugeschnitten war“, sagt Kevin Brinkman vom NEII. „Wir dachten, ein Standard würde dabei helfen, also erstellte das NEII zunächst eine Reihe von Leitlinien als Ausgangspunkt, und dann wandten wir uns unter anderem an die Internationale Organisation für Normung, die European Lift Association und die CEA – die Chinese Elevator Association.“
Die ISO unterstützte die Idee einer neuen internationalen Norm, und es wurde eine Arbeitsgruppe eingerichtet, um dies zu untersuchen. „Ari hat als Koordinator hervorragende Arbeit geleistet“, bemerkt Brinkman, „und er hat dafür gesorgt, dass die Kommentare und Gedanken aller relevanten Parteien berücksichtigt wurden.“
„Wir hatten eine sehr gute Expertengruppe und konnten zügig vorankommen“, sagt Brinkman. „Wir hatten in weniger als drei Jahren eine neue Norm, was ziemlich ungewöhnlich ist. Die Teilnehmer mögen zwar Konkurrenten gewesen sein, aber wenn es um Sicherheit geht und darum, sicherzustellen, dass die Produkte, die sie auf den Markt bringen, für den Kunden und den Mechaniker, der daran arbeiten muss, zuverlässig und sicher sind, sprechen wir mit einer Stimme.“
Die bestehende Norm IEC 62443 bietet einen guten Ausgangspunkt
Bei der Erstellung der neuen Norm musste die Arbeitsgruppe nicht bei Null anfangen – eine bestehende IEC-Norm bot eine solide Grundlage, auf der sie aufbauen konnte.
„Wir wollten das Rad nicht neu erfinden“, sagt Valkiainen. „Wir haben schon recht früh beschlossen, uns auf die Norm IEC 62443 zur Cybersicherheit industrieller Steuerungssysteme zu stützen und die Anforderungen für Steuerungssysteme von Aufzügen und Fahrtreppen im Wesentlichen daraus abzuleiten.“
KONE war bereits bestens mit der Norm IEC 62443 vertraut, da das Unternehmen seine Aufzüge der DX-Klasse gemäß deren Anforderungen entwickelt hatte. Tatsächlich hat KONE kürzlich eine höhere Zertifizierungsstufe für IEC 62443-4-1 erhalten und ist vom „Reifegrad“ ML2 auf ML3 aufgestiegen.
Dies bedeutet, so Valkiainen, dass KONE nun über einen dokumentierten Nachweis verfügt, alle in der IEC 62443-4-1 vorgeschriebenen Schritte im Entwicklungsprozess durchgeführt zu haben. Dies ist ein weiteres Beispiel für das Engagement von KONE für Cybersicherheit auf Weltklasseniveau.
Kurzes Glossar zur Cybersicherheit
- Phishing: Ein betrügerischer Versuch, eine Person dazu zu verleiten, sensible Informationen preiszugeben, indem man sich als vertrauenswürdige Instanz ausgibt, häufig per E-Mail.
- Malware: Bösartige Computersoftware, die darauf ausgelegt ist, Computersysteme zu beschädigen, zu stören oder sich unbefugten Zugriff darauf zu verschaffen.
- Ransomware: Eine Form von Malware, die den Zugriff der Nutzer auf ihre Dateien oder Geräte sperrt und eine Zahlung verlangt, um den Zugriff wiederherzustellen.
- IoT: Internet der Dinge – das Netzwerk miteinander verbundener Geräte (wie Smart-Home-Geräte, Wearables, industrielle Sensoren), die über das Internet kommunizieren und Daten austauschen.
- Sicherheitslücke: Eine Schwachstelle oder ein Fehler in einem System, Netzwerk oder einer Anwendung, die von Angreifern ausgenutzt werden könnte.
- OT: Operational Technology (Betriebstechnik) bezeichnet die Hardware und Software, die zur Überwachung und Steuerung physischer Geräte, Prozesse und Infrastrukturen in Branchen wie der Fertigung und dem Transportwesen eingesetzt wird.
