Dr.-Ing. Thomas Tauchnitz, Chefredakteur Industry des atp magazins, erklärt, warum eine freie Werkstättenwahl für Wartungsarbeiten essenziell ist.

Ein Stück aus dem Irrenhaus
Dieses Mal habe ich eine fast unglaubliche Erzählung für Sie. Eine polnische Eisenbahngesellschaft setzt Züge des Herstellers X ein. Eine vorgeschriebene Wartung wurde bei einem Unternehmen Y ausgeführt. Erstaunlicherweise ließen sich die Züge nach der Wartung nicht mehr starten. X und Y beauftragten daraufhin eine auf IT-Probleme spezialisierte Firma Z (manche nennen so etwas Hacker), und die fand heraus, dass die Software eine Wegfahrsperre durch einen nicht dokumentierten „Killswitch“ ausgelöst hatte. Nach Auskunft der Firma Z wurde der Killswitch aufgrund der Wartung durch einen Drittanbieter aktiviert, dessen Werkstätten durch „Geofencing“ lokalisiert wurden.

Hersteller X wollte so erzwingen, dass die Wartung nur bei ihm erfolgen kann. Dies wurde aber nicht vertraglich transparent gemacht, sondern durch versteckte Software. Kartellrechtlich erscheint mir das mehr als fraglich. Und um der schlechten Geschichte eine weitere draufzusatteln, droht jetzt der Hersteller X mit dem Rechtsweg. Einerseits bat er das Amt für Schienenverkehr, den Vorgang mit dem Ziel zu überprüfen, die betroffenen Züge aus dem Verkehr zu nehmen – schließlich sei ja eine Veränderung gegenüber der Zulassung vorgenommen worden. Und andererseits droht er, die „Hacker“ zu verklagen. Nähere Details finden Sie hier und ausführlich hier.

Relevant für die Automation?
Diese Geschichte zeigt, welche Blüten das „Digital Rights Management“ (DRM) haben kann. Ist das relevant für die Automation? Aktuell definitiv nicht, das würde kein Hersteller wagen. Aber denkbar wäre es: Wir setzen Sensoren und Aktoren von vielen Herstellern ein und lassen sie häufig durch neutrale Fachwerkstätten warten. Böswillige Hersteller könnten versuchen, das zu verhindern. Und auch wir haben Zulassungen, die man dann in Frage stellen könnte. Zum Glück ist das noch nicht aktuell, aber jederzeit möglich. Wir sollten die Augen offen halten und kraftvoll reagieren, wenn einzelne Hersteller mit solchen Tricks kommen.

Wobei wir uns langfristig schon mit ähnlichen Fragen beschäftigen müssen, aber aus anderen Gründen. Bei erkannten Sicherheitslücken fordert die europäische DSGVO (Datenschutz-Grundverordnung) eine Fehlerbehebung beispielsweise durch Patches. Der geplante EU Cyber-Resilience Act legt fest, dass bestimmte Herstellergruppen mindestens 5 Jahre lang Security-Patches bereitstellen müssen.

Was ist aber, wenn Betreiber das Thema einfach ignorieren und die Geräte weiterbetreiben nach dem Motto „kaufen, einbauen und vergessen“? Oder wie ist es mit Geräten, für welche die Hersteller eine maximale Betriebsdauer angeben? Schalten die sich dann von selbst ab? Wie können die Betreiber ihre Pflichten umsetzen, ohne dafür neues Personal einzusetzen?

In jedem Fall steht fest: da kommt neue Arbeit auf uns zu, die wir systematisch und effizient angehen sollten.

Dr.-Ing. Thomas Tauchnitz
Chefredakteur Industry atp magazin
atp@TAUTOMATION.consulting