Cybersicherheit wird Pflicht: Kritische Anlagen müssen bald auch Schutz vor digitalen Angriffen beweisen

Die zunehmende Vernetzung sorgt dafür, dass sich Kriminellen immer mehr potenzielle Ziele für Cyberangriffe bieten. Neben der IT-Infrastruktur ganzer Unternehmen, Institutionen oder Organisationen sind zunehmend auch einzelne überwachungsbedürftige Anlagen gefährdet. Um dieser Sorge zu begegnen, wird ab 1. Juli 2023 auch die Bewertung der Cybersicherheit von Aufzugsanlagen, Druckanlagen oder Anlagen mit einer Explosionsgefährdung bei wiederkehrenden Prüfungen oder vor der Inbetriebnahme verpflichtend.

Überwachungsbedürftige Anlagen wie Aufzüge, Druckanlagen oder Tankstellen sollen künftig besser vor Cyberangriffen geschützt werden, denn durch die zunehmende Digitalisierung und Vernetzung solcher Anlagen steigt die Gefahr von unerwünschten Zugriffen von außen. Mit dem Erscheinen der Technischen Regel Betriebssicherheit (TRBS) 1115-1 steht die Betrachtung der Cybersicherheit bei diesen Anlagen künftig mit im Prüfkatalog.

„Unsere Sachverständigen der zugelassenen Überwachungsstelle (ZÜS) werden bereits ab 1. Juli 2023 das Vorhandensein von sicherheitstechnischen Maßnahmen zur Cybersicherheit für sicherheitsrelevante Mess,- Steuer- und Regelungseinrichtungen (MSR) oder Einrichtungen, die für den sicheren Betrieb des Arbeitsmittels relevant sind, bei ihren Prüfungen an den überwachungsbedürftigen Anlagen mit bewerten“, kündigt Cybersecurity-Experte Sascha Dörfel vom TÜV Thüringen an. „Das könnten dann auch Regeleinrichtungen sein, welche die bestimmungsgemäße Betriebsweise absichern und deren Funktion bei Veränderung von Parametern zu einer Gefährdung im Gefahrenfeld führen könnten“, präzisiert Sascha Dörfel.

Doch was bedeutet das für den Betreiber? „Stellen wir fest, dass sicherheitstechnische Maßnahmen an der überwachungsbedürftigen Anlage festgelegt werden müssten, diese aber nicht vorhanden sind, dann sprechen wir ab Juli 2023 einen geringfügigen Mangel für die entsprechende Anlage aus“, erklärt Sascha Dörfel. Der Cybersecurity-Experte geht davon aus, dass viele Betreiber darauf nicht oder nur unzureichend vorbereitet sind und die Mängelquoten an den Anlagen steigen werden.

Die erst jüngst veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 zur „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ stellt die Grundlage für die neuen Prüfanforderungen dar. Danach sind Betreiber verpflichtet, auf Basis einer aktuellen Gefährdungsbeurteilung entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umzusetzen und zu erhalten.

Da die Technische Regel 1115-1 vor allem für die Arbeitssicherheit relevant ist, wurde sie im Ausschuss für Betriebssicherheit gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (BAUA) veröffentlicht. Die für die Prüfungen zuständigen ZÜS haben auf Grundlage der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cybersicherheit der Anlagen und ihrer Prüfung formuliert.