Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen
Auf Ihrem Prüfbericht haben Sie möglicherweise diesen geringen Mangel gefunden: "Eine Dokumentation zur Cybersicherheit nach TRBS 1115 Teil 1 lag nicht vor."
Dieser geringe Mangel ersetzt den Hinweis „Eine Dokumentation zur Behandlung von Cyberbedrohungen wurde nicht vorgelegt.", der seit Anfang des Jahres 2023 von allen ZÜSen verwendet wurde.
In den vergangenen Jahren ist die Bedrohung durch Cyberkriminalität an die Spitze der Gründe für ungewollte Unterbrechungen in Unternehmen vorgerückt. Die Cyber-Security ist ein unverzichtbarer Bestandteil der Anlagensicherheit geworden.
Aus diesem Grund hat das Bundesministerium für Arbeit und Soziales (BMAS) bereits 2019 eine „Empfehlung zum Umgang mit Risiken durch Angriffe auf die Cybersicherheit von sicherheitsrelevanten MSR-Einrichtungen“ (Empf. 1115) herausgegeben.
Die Zugelassenen Überwachungsstellen (ZÜS) tragen dieser Entwicklung Rechnung, indem sie seit Anfang des Jahres 2023 bei Prüfungen überwachungsbedürftiger Anlagen hinterfragen, ob im Rahmen der Gefährdungsbeurteilung auch die Möglichkeit einer Bedrohung durch Cyberattacken betrachtet wurde.
Sollte das nicht erfolgt sein, wurde der Betreiber bis zum 30.06.2023 mit dem Hinweis, auf diesen Umstand aufmerksam gemacht.
Im März 2023 ist die Empfehlung als Technische Regel Betriebssicherheit (TRBS) 1115-1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ auf der Seite der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAuA) veröffentlicht worden und somit für Betreiber verbindlich anzuwenden.
Aus diesem Grund formulieren die Zugelassenen Überwachungsstellen auf Basis des EK-ZÜS-Beschluss B-002 bei ihren Prüfungen seit dem 01.07.2023 einen „geringen Mangel“, wenn der Betreiber nicht glaubhaft machen kann, dass er das Thema Cyberbedrohung in der Gefährdungsbeurteilung behandelt hat.
Dies gilt für erstmalige und wiederkehrende Anlagenprüfungen von Aufzugsanlagen, Druckanlagen, Anlagen im explosionsgefährdeten Bereich sowie Prüfungen zur Erlaubnis nach §18 Abs. 3 BetrSichV.
Die Umsetzung weiterer Schritte bei den Prüfungen erfolgt sukzessive und wird über öffentliche Beschlüsse des EK ZÜS kommuniziert. Wir werden aktuelle Informationen an dieser Stelle für Sie bereitstellen.
Bewertung der Cybersicherheit an Aufzugsanlagen
Als Betreiber von Aufzugsanlagen müssen Sie die Gefahren durch Cyberbedrohungen im Rahmen der Gefährdungsbeurteilung betrachten.
Gern stellen wir Ihnen kostenfrei eine Hilfestellung mit Beispiel zur Bewertung der Cybersicherheit Ihrer Aufzugsanlagen zur Verfügung.
Holen Sie sich hier die kostenfreie Checkliste. Einfach ausfüllen und vor Ort ablegen! Damit kommen sie Ihrer Betreiberverantwortung nach.
Haben Sie Fragen zum Umgang mit Cyberbedrohungen?
Ihre Verantwortung ist die Planung oder Instandhaltung der Sicherheitseinrichtungen?
Sie wollen regelkonform und kostenbewusst auf die steigenden Cyberrisiken reagieren?
Dann fragen Sie sich vielleicht, ob und welche zusätzlichen Maßnahmen notwendig sind.
Nehmen Sie Kontakt zu uns auf und lassen Sie uns gemeinsam über Ihre aktuellen Herausforderungen sprechen. So gewinnen Sie schnell und unabhängig einen Überblick über den Status ihrer Cybersicherheit. Überprüfen Sie auf diese Weise, welche Anforderungen bereits erfüllt sind und wo weitere administrative oder technische Maßnahmen erforderlich sind.
TÜV NORD ist ein anerkannter und zuverlässiger Partner für Prüf- und Zertifizierungsleistungen. Unsere Prüfer verfügen über fundiertes Wissen zur funktionalen Sicherheit von Automatisierungseinrichtungen und sind in Bezug auf die aktuell geltenden Security Anforderungen geschult. Hierdurch ist eine umfassende Validierung gewährleistet. Der Vorteil liegt auf der Hand: unsere Sachverständigen begleiten und unterstützen die Entwicklung Ihres Unternehmens. Der Ergebnisbericht liefert Ihnen ein objektives und wertvolles Feedback zur Umsetzung der Cybersicherheit in Ihrem Unternehmen.
Wichtige Begriffe für Sie erklärt
Cybersicherheit ist das Vorhandensein des erforderlichen Schutzes von schutzbedürftigen OT-Einrichtungen vor Cyberbedrohungen, soweit deren Informationstechnik durch Cyberbedrohungen kompromittiert werden kann und sie dem Schutz von Beschäftigten und anderen Personen im Gefahrenbereich dienen.
Maßnahmen der Cybersicherheit (CS-Maßnahmen) sind Maßnahmen zum Schutz vor Cyberbedrohungen.
MSR-Einrichtungen sind Einrichtungen, die dem Messen physikalischer Größen und dem auf dieser Grundlage erfolgenden Regeln oder Steuern von Arbeitsmitteln dienen. MSR-Einrichtungen können betrieblichen und/oder sicherheitstechnischen Zwecken dienen.
Hinweis: In anderen Regelwerken werden MSR-Einrichtungen auch als PLT- oder PLS-Einrichtungen bezeichnet.
Schutzbedürftige OT-Einrichtungen ist der Sammelbegriff für
- sicherheitsrelevante MSR-Einrichtungen von überwachungsbedürftigen Anlagen (Zone A gemäß Namur NA 163),
- nicht sicherheitsrelevante MSR-Einrichtungen (z. B. PLT-Betriebseinrichtungen), bei denen durch die Kompromittierung ihrer Funktion, auch unter Berücksichtigung von Wechselwirkungen mit anderen Anlagenteilen, eine relevante Gefährdung von Beschäftigten und anderen Personen im Gefahrenbereich verursacht werden kann (innerhalb oder außerhalb der Zone B gemäß EmpfBS 1115)
- die Sicherheit relevanter Einrichtungen, die keine MSR-Einrichtungen sind (z. B. Notrufeinrichtungen, Notbefehlseinrichtungen), im Folgenden autarke Sicherheitseinrichtungen genannt,
die durch Cyberbedrohungen kompromittiert und in ihrer Funktion beeinträchtigt werden können (Angriffsziele).
Die Umgebung sind IT/OT-Komponenten und Systeme, die weder direkt noch indirekt der schutzbedürftigen OT-Einrichtung zuzuordnen sind, aber mit dieser in Verbindung stehen (z. B. Betriebsdateninformationssystem, Visualisierung des Sicherheitsfunktion-Zustands, Service-IT für z. B. Patchmanagement, Domain Control und Virenschutz, Internet) und daher als Angriffswege dienen können.
OT kann verschiedene Bedeutungen haben, aber im Zusammenhang mit Technologie steht es normalerweise für "Operations-Technologie", was die Hardware, Software und Prozesse umfasst, die für die Überwachung und Steuerung von industriellen Systemen und Anlagen verwendet werden. Es wird auch oft als Gegensatz zu "Informationstechnologie" (IT) verwendet, die sich eher auf die Verarbeitung und Verwaltung von Daten und Informationen konzentriert.
Cyberbedrohung ist die intendierte Bedrohung der datentechnischen Integrität von überwachungsbedürftigen Anlagen, einschließlich der Verfügbarkeit ihrer sicherheitsrelevanten MSR-Einrichtungen mit Methoden und Werkzeugen der Informationstechnik.
Sicherheitseinrichtungen sind gemäß TRBS 1201 Einrichtungen zur Verhinderung von unzulässigen oder instabilen Betriebszuständen von Arbeitsmitteln. Dazu können auch MSR-Einrichtungen zählen.
Sicherheitsrelevante MSR-Einrichtungen sind gemäß TRBS 1201 Mess-, Steuer- und Regeleinrichtungen an Arbeitsmitteln inkl. überwachungsbedürftigen Anlagen, die deren sicherer Verwendung dienen. Sie bestehen aus Sensor-, Aktor- und Logikeinheiten sowie zugehörigen Verbindungseinrichtungen und unterliegen üblicherweise auch Anforderungen an ihre funktionale Sicherheit.
Kompromittierung ist der unberechtigte datentechnische Zugriff auf eine schutzbedürftige OT-Einrichtung mit dem Ziel der Manipulation der Funktion.
Als schutzbedürftige Systeme werden die schutzbedürftige OT-Einrichtung und der Teil ihrer Umgebung bezeichnet, für die CS-Maßnahmen erforderlich sind.
