Ein neuer internationaler Standard ISO 22984 enthält Richtlinien für Unternehmen, die physischen und Cyber-Bedrohungen oder anderen produktbezogenen Bedrohungen ausgesetzt sind. Sie soll helfen, widerstandsfähigere Produkte und damit verbundene Dienstleistungen zu entwickeln und die Verbraucher zu schützen.
Der Standard führt Organisationen dazu, die richtigen Schritte zu unternehmen, um geeignete organisatorische, technische und gerichtliche Maßnahmen zu ermitteln und anzuwenden, erklärte die ISO. Steffen Zimmermann (Deutschland), Projektleiter für die Entwicklung von ISO 22384: „Die zunehmende Vernetzung der Weltwirtschaft, die zunehmende Verfügbarkeit komplexer Herstellungsprozesse und protektionistische Bemühungen führen zu einer wachsenden Motivation und Fähigkeit für produktbezogene Bedrohungen.
Innovative, wettbewerbsfähige oder marktführende Hersteller seien physischen und digitalen Angriffen auf allen Ebenen ausgesetzt. Produkte wie medizinische Geräte, IoT-Sensoren oder sogar komplexe Maschinengeräte seien zunehmend dem Risiko ausgesetzt, überarbeitet, gehackt oder sogar in IoT-Botnetze integriert zu werden. Als Beispiel für ein gefälschtes medizinisches Gerät mit Fehlfunktion nennt er Notfallbeatmungsgeräte, die häufig bei COVID-19-Patienten eingesetzt werden. “ Diese spezifischen Fälschungen können keinen ausreichenden Luftdruck liefern, der dazu führen kann, dass Patienten an unzureichendem Sauerstoffgehalt sterben. Außerdem erfüllen die Röhrchen nicht die Materialanforderungen für medizinische Zwecke.“
Die zunehmende Vernetzung der Weltwirtschaft, die zunehmende Verfügbarkeit komplexer Herstellungsprozesse und die globale digitale Transformation führen zu einer wachsenden Motivation und Fähigkeit für produktbezogene Cyber-Bedrohungen. Sie betreffen die gesamte Lieferkette – Hersteller, Händler, Dienstleister und Verbraucher – in vielerlei Hinsicht. Von Gefahren für HSSE (Gesundheit, Sicherheit, Schutz und Umwelt) über den Verlust von Arbeitsplätzen und Steuern bis hin zu Umsatzrückgängen und Reputationsschäden für Unternehmen, die erfolgreiche Angriffe auf ihr Produktportfolio verzeichnen. Nachahmer können sogar OEMs überholen und sie schließlich aufkaufen.
Von betroffenen Organisationen ergriffene Maßnahmen seien häufig reaktiv, unkoordiniert oder widersprechen sich sogar gegenseitig. Für einen nachhaltigen Ansatz ist es erforderlich, heißt es in der Erklärung, eine etablierte, projektorientierte Methodik zur Bewertung von Bedrohungen, Risiken und Gegenmaßnahmen im Zusammenhang mit der Produktsicherheit zu befolgen, die während des gesamten Produktlebenszyklus auftreten.
ISO 22384 unterstützt Organisationen bei der Einrichtung eines Prozesses zur Risikobewertung und zur Auswahl und Kombination einzelner Maßnahmen zur Entwicklung eines Produktschutzplans. Die Norm enthält Richtlinien zur Bewertung von Bedrohungen, Risiken und Gegenmaßnahmen im Zusammenhang mit der Produktsicherheit, indem ein Schutzplan entwickelt, seine Umsetzung unterstützt und seine Wirksamkeit überwacht wird. Auch Änderungen etwa des Produktlebenszyklus, der Lieferkette, der Herstellung, des Datenmanagements, der Markenwahrnehmung und der Kosten werden berücksichtigt, um den Schutzplan entsprechend anzupassen.