Cybersicherheit
Überwachungsbedürftige Anlagen und Cybersicherheit
Worum geht es?
Cyberkriminalität ist allgegenwärtig. Wirtschaftsunternehmen und Verwaltungen sind häufige Ziele. Cyberkriminalität macht weder vor Landesgrenzen noch vor verschlossenen Türen halt und kann überall dort zuschlagen, wo Digitalisierung und Vernetzung stattfinden – also in nahezu allen Lebensbereichen und somit auch bei überwachungsbedürftigen Anlagen. Die Zahl der Cyberangriffe hat in der jüngeren Vergangenheit stark zugenommen und wird weiter ansteigen. Die immer stärkere Vernetzung von Anlagen und deren Komponenten bietet Cyberangriffen eine immer größere Angriffsfläche.
Wie gefährden Cyberangriffe Anlagen?
Ein Cyberangriff ist der Zugriff auf und die Manipulation von Mess-, Steuer- und Regeltechnik durch Unbefugte. Manipulierte Software kann das Verhalten der Anlage verändern.
Die Bandbreite der denkbaren Auswirkungen ist groß. Hier einige Beispiele:
- Ein Aufzug kann gestoppt oder seine Fahrgeschwindigkeit verändert werden.
- Messeinrichtungen wie Thermometer oder Manometer können falsche Werte liefern.
- Notrufeinrichtungen werden abgeschaltet.
- Die Anlage wird in einen kritischen Zustand versetzt oder Komponenten werden abgeschaltet, ohne dass die Person im Leitstand es bemerkt.
- Es wird ein kritischer Zustand der Anlage angezeigt, der gar nicht vorhanden ist.
Wie ist der aktuelle Stand?
Cybersicherheit kann diesen Gefahren entgegenwirken und ist eine gesamtgesellschaftliche Aufgabe. Deshalb hat das Bundesministerium für Arbeit und Soziales eine Grundlage erarbeiten lassen: die Technische Regel für Betriebssicherheit (TRBS) 1115-1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.
Sie richtet sich an Betreiberinnen und Betreiber und ist vor allem für die Arbeitssicherheit und den Gesundheitsschutz der Beschäftigten bei der Verwendung von Arbeitsmitteln einschließlich überwachungsbedürftiger Anlagen relevant. Diese Anforderungen regelt die Betriebssicherheitsverordnung (BetrSichV) und das Gesetz über überwachungsbedürftige Anlagen (ÜAnlG). Hierbei muss auch berücksichtigt werden, dass Gefährdungen durch Cyberbedrohungen entstehen können.
Ausgearbeitet wurde die TRBS 1115-1 im Ausschuss für Betriebssicherheit gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS). Sie wurde am 22. März 2023 von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) veröffentlicht.
Für die Anlagenprüfung sind die ZÜS zuständig. Diese haben auf Basis der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cybersicherheit von Anlagen hinsichtlich ihrer Prüfungen formuliert.
Welche Auswirkungen hat die TRBS 1115-1?
Jede Betreiberin bzw. jeder Betreiber einer überwachungsbedürftigen Anlage (Aufzugsanlage, Anlage in explosionsgefährdeten Bereichen, Druckanlage) hat nun weitere Verpflichtungen. So muss sie bzw. er im Rahmen der Gefährdungsbeurteilung (GBU) auch Gefährdungen identifizieren und bei Bedarf Gegenmaßnahmen festlegen und umsetzen, die durch potenzielle Cyberbedrohungen entstehen können, wenn ein Cyberangriff Arbeitnehmende oder Dritte (Personen im Gefahrenbereich) gefährdet. Die TRBS 1115-1 beschreibt die Vorgehensweise, um das umzusetzen. Es ist zu dokumentieren, dass Cyberbedrohungen entsprechend der TRBS 1115-1 behandelt werden.
Nicht betroffen sind Anlagen mit mechanisch oder analog aufgebauten Sicherheitsfunktionen (nicht kompromittierbar). Wenn keine digitalen Daten verarbeitet werden, laufen Cyberangriffe ins Leere und können keinen Schaden anrichten.
Was müssen Betreiberinnen und Betreiber von überwachungsbedürftigen Anlagen tun?
- Sich schnellstmöglich mit den Regelungen vertraut machen.
- Gefährdungsbeurteilungen aktualisieren.
- Falls erforderlich, Maßnahmen zur Cybersicherheit festlegen und umsetzen.
- Maßnahmen zur Cybersicherheit regelmäßig an die neueste Bedrohung bzw. die neuesten Entwicklungen anpassen (Management der Cybersicherheit).
Welche Aufgaben haben die ZÜS?
Die zugelassenen Überwachungsstellen, beispielsweise die GTÜ Anlagensicherheit GmbH, sind im Rahmen ihrer Prüfungen nach Betriebssicherheitsverordnung (BetrSichV) vor Inbetriebnahme, nach prüfpflichtiger Änderung und wiederkehrend zu einer Prüfung verpflichtet, ob die Betreiberin bzw. der Betreiber einer überwachungsbedürftigen Anlage Cyberbedrohungen entsprechend der TRBS 1115-1 im Sinne eines sicheren Anlagenbetriebs ausreichend behandelt.
Hierzu prüft die ZÜS die Dokumentation der Anlagenbetreiberin bzw. des Anlagenbetreibers.
Um die zur Prüfung notwendigen Mindestinformationen zu dokumentieren, kann die Betreiberin bzw. der Betreiber eine durch die ZÜS abgestimmte Dokumentationstabelle nutzen oder eine inhaltlich mindestens gleichwertige Dokumentation vorlegen.
Sollte die Vorgehensweise nicht der TRBS 1115-1 entsprechen, vermerkt die ZÜS das in der Prüfbescheinigung.
Liegt die Verpflichtung ausschließlich bei der Betreiberin bzw. beim Betreiber und nicht auch beim Anlagenhersteller?
Die Rechtslage ist eindeutig: Die Anlagenbetreiberin bzw. der Anlagenbetreiber oder die Arbeitgeberin bzw. der Arbeitgeber ist für den sicheren Betrieb einer Anlage verantwortlich.
Natürlich hat der Hersteller oder auch der Montagebetrieb die Grundpflicht, in allen Belangen sicherzustellen, dass die Anlage gemäß ihrer Bestimmung sicher betrieben werden kann. Derzeit berücksichtigen europäische Richtlinien und das nationale Produktsicherheitsrecht, die vom Hersteller zu beachten sind, allerdings keine Cybergefährdungen.
Ist der aktuelle Stand festgeschrieben?
Ja, die TRBS 1115-1 gilt in der beschriebenen Anwendung. Die Cybersicherheit ist jedoch ständig in Bewegung und muss auch mit der technischen Entwicklung digitaler Systeme Schritt halten. Die GTÜ Anlagensicherheit GmbH geht daher davon aus, dass weitere oder detailliertere Regelungen folgen werden. Cybersicherheit wird uns auch in Zukunft kontinuierlich begleiten.
Die GTÜ Anlagensicherheit GmbH wird Sie auf dieser Seite kontinuierlich über die weiteren Entwicklungen hinsichtlich der Prüfungen durch die ZÜS informieren und freut sich über eine gute Zusammenarbeit.