Cybersicherheit im Anlagenbetrieb – Diese Anforderungen sind zu erfüllen
Autor: Luca Cremer | 26. April 2023
Überwachungsbedürftige Anlagen wie Dampfkessel oder Tankstellen sind durch die zunehmende Vernetzung anfällig für Cyberangriffe, die schwerwiegende Folgen haben können. Was Betreiber und Sachverständige bei der Formulierung von Cybersicherheitsanforderungen beachten müssen, erfahren Sie hier.
In der heutigen Welt sind sog. Überwachungsbedürftige Anlagen, wie z. B. Dampfkessel, Rohrleitungen, Aufzugsanlagen, Anlagen in explosionsgefährdeten Bereichen sowie Anlagen für entzündbare Flüssigkeiten (z. B. Tankstellen), anfällig für Angriffe auf die Cybersicherheit. Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von Automatisierungssystemen verursachen erfolgreiche Angriffe einen immer größeren (wirtschaftlichen) Schaden.
Die Überprüfung dieser Anlagen durch externe Sachverständige erfolgt regelmäßig aufgrund des hohen Risikos für Gesundheit und Leben, das von ihnen ausgehen kann. Um die Schutzmaßnahmen der Cybersicherheit umzusetzen und zu überprüfen, wurde die Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ veröffentlicht. Die Anforderungen gelten als ein wichtiger Meilenstein, um die digitale Sicherheit von überwachungsbedürftigen Anlagen auf ein höheres Level zu bringen. Betreiber und Sachverständige können die Technische Regel als Leitfaden nutzen, um die Vorgaben in der Praxis umzusetzen.
Die neuen Regelungen sind aufgrund der zunehmenden Digitalisierung und Vernetzung von technischen und industriellen Anlagen im Internet der Dinge entstanden. Kriminelle Hacker haben nicht nur Netzwerke und Computersysteme von Unternehmen im Visier, sondern auch immer öfter Anlagen und Arbeitsmittel, die über digitale Schnittstellen oder eine Verbindung zum Internet verfügen. Viele Anlagen sind heute mit speicherprogrammierbaren Steuerungen ausgestattet, die über verschiedene Schnittstellen aktualisiert oder programmiert werden können. Dabei besteht die Gefahr, dass Schadsoftware über diese Schnittstellen in die Anlagen gelangt und sie kompromittiert oder sich im Netzwerk der Organisation ausbreitet. Die neuen Regelungen sollen das Schutzniveau vor Cyberangriffen erhöhen.
Gefährdungsbeurteilung durch ZÜS-Sachverständigen Pflicht
Um die Arbeitssicherheit zu gewährleisten, wurden die Regelungen im Ausschuss für Betriebssicherheit gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht. Die ZÜS haben auf Grundlage dieser Regelungen grundlegende Anforderungen an die Cybersicherheit der Anlagen und ihrer Prüfung formuliert. Betreiber von Anlagen sollten sich an diesen Vorgaben orientieren und die nötigen Maßnahmen ergreifen, um sich vor Cyberangriffen zu schützen.
Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund von Cyberbedrohungen ermittelt und bewertet hat. Wenn der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen hat, liegt ein Mangel vor. Bei den überwachungsbedürftigen Anlagen ist mittlerweile ebenso zu prüfen, ob die installierte, cyberkritische Software mit den Angaben in den technischen Unterlagen übereinstimmt.
Verantwortung von Betreibern
Betreiber von Anlagen müssen dafür sorgen, dass sicherheitsrelevante Änderungen an Soft- und Hardware der ZÜS mitgeteilt werden. Es liegt in ihrer Verantwortung, dass die installierte Software den Angaben in den technischen Unterlagen entspricht und dass Sicherheitslücken vermieden werden. Die Prüfsachverständigen halten bei jeder Prüfung die aktuellen Software-Stände fest, um sicherzustellen, dass alle sicherheitsrelevanten Änderungen berücksichtigt wurden.
Um die Cybersicherheit von Anlagen langfristig zu gewährleisten, sollten Betreiber von Anlagen ebenso eine umfassende Cybersicherheitsstrategie entwickeln und umsetzen. Diese sollte alle Aspekte der Cybersicherheit berücksichtigen und regelmäßig überprüft und aktualisiert werden. Dazu gehört auch die regelmäßige Überprüfung und Aktualisierung von Software, um Sicherheitslücken zu schließen.
Eine Cybersicherheitsstrategie sollte nicht nur einmalig erstellt werden, sondern regelmäßig überprüft und aktualisiert werden. Denn die Technologien und Bedrohungen im Bereich der Cybersicherheit entwickeln sich ständig weiter. Daher sollten Betreiber von Anlagen ihre Strategie regelmäßig überprüfen und gegebenenfalls anpassen, um sicherzustellen, dass sie den neuesten Entwicklungen und Bedrohungen entspricht.
Darüber hinaus ist ein weiterer wichtiger Aspekt bei der Vorbeugung von Cyberangriffen an Anlagen die Sensibilisierung von Mitarbeitern und Nutzern von Anlagen. Denn auch sie können einen großen Einfluss auf die Sicherheit von Anlagen haben. Mitarbeiter und Nutzer sollten über potenzielle Cyberbedrohungen informiert werden, um Risiken zu minimieren und mögliche Angriffe zu verhindern.
Sicherheit durch Zusammenarbeit
Cybersicherheit ist heutzutage von großer Bedeutung, besonders wenn es um Anlagen wie Aufzüge, in Druck- oder in explosionsgefährdeten Bereichen geht. Betreiber von Anlagen müssen sicherstellen, dass potenzielle Cyberbedrohungen identifiziert werden und entsprechende Maßnahmen ergriffen werden, um mögliche Cyberattacken zu vermeiden.
Betreiber von Anlagen müssen sicherstellen, dass sie alle notwendigen Vorkehrungen treffen, um potenzielle Cyberbedrohungen zu erkennen und zu verhindern. Zusammen mit den Experten der ZÜS können Betreiber von Anlagen eine sichere und zuverlässige Anlagenumgebung schaffen, die vor den Gefahren von Cyberangriffen geschützt ist.
Ihre Cybersicherheit ist auch uns ein wichtiges Anliegen. Wenn Sie Unterstützung brauchen, um Ihre genauen Anforderungen zu definieren, kontaktieren Sie uns gerne: hier unverbindliche Anfrage stellen