12. Februar 2026
TRBS 1115, Anlagentechnik, Anlagensicherheit, Cyberangriff, Gefährdungsbeurteilung, Cybersicherheit, GBU
Digitale Eingriffe, reale Risiken: Was die TRBS 1115 Teil 1 jetzt von Betreibern verlangt
Digital vernetzte MSR-Technik ist Standard. Und genau deshalb ist Cybersicherheit längst kein isoliertes IT-Thema mehr. Die entscheidende Frage lautet nicht: Ob etwas passiert. Sondern: Was wäre, wenn? Die TRBS 1115 Teil 1 - in ihrer aktuellen Fassung am 15.01.2026 veröffentlicht - rückt das Thema Cybersicherheit daher verbindlich in den Kontext der Gefährdungsbeurteilung. Überall dort, wo digitale Eingriffe sicherheitsrelevante Funktionen beeinflussen können.
Was bedeutet das konkret für Betreiber überwachungsbedürftiger Anlagen? Was ändert sich mit der TRBS 1115 Teil 1-Version 2026? Wann gilt eine MSR-Einrichtung als cybersicherheitsrelevant? Woran scheitern Betreiber in der Praxis am häufigsten? Wo liegen typische Schwachstellen?
Komplexe Fragen. Einfache Antworten: Unser Kollege Sebastian Mann, TÜV Thüringen-Sachverständiger für Cyber Security, bringt Licht ins Regelwerk. Klar, anwendungsnah und ohne juristischen Nebel.
Lesezeit: 7 Minuten
Die TRBS 1115 Teil 1 hat diese Perspektive deutlich geschärft. Cybersicherheit ist darin kein optionaler Zusatz mehr, sondern integraler Bestandteil der Gefährdungsbeurteilung. Sobald sicherheitsrelevante MSR-Einrichtungen digital beeinflusst werden können - sei es über Netzwerke, Fernzugriffe oder Konfigurationsschnittstellen - müssen mögliche Gefährdungen systematisch betrachtet werden. Mit der Version 2026 wurde die Regel weiter konkretisiert. Der Anwendungsbereich ist klarer gefasst, angrenzende IT- und OT-Komponenten werden ausdrücklich mitgedacht, Fehlanwendungen und missbräuchliche Handlungen berechtigter Personen sind explizit berücksichtigt.
Parallel dazu übersetzt der EK-ZÜS-Beschluss B-002 rev 5 die Anforderungen in prüfbare Maßstäbe für zugelassene Überwachungsstellen (ZÜS). Der Beschluss ist eine verbindliche Vorgabe des Erfahrungsaustauschkreises zugelassener Überwachungsstellen (EK ZÜS): Es werden einheitliche Prüfstandards für überwachungsbedürftige Anlagen (z.B. Aufzüge, Druckanlagen) in Deutschland festgelegt, die dann von ZÜS-Sachverständigen bei Prüfungen Anwendung finden. Ab April 2026 gilt: Cybersicherheitsmaßnahmen müssen nachvollziehbar geplant, fachkundig abgeleitet, dokumentiert und auf Wirksamkeit überprüft sein.
Sebastian Mann: Weil der Gesetzgeber sehr klar gemacht hat, dass Cybersicherheit kein separates IT-Thema ist, sondern Teil des Arbeitsschutzes. Sobald eine sicherheitsrelevante MSR-Einrichtung digital beeinflusst werden kann, muss ich mich fragen, ob dadurch eine Gefährdung für Menschen entstehen kann. Und genau das ist der Kern der Gefährdungsbeurteilung. Es geht also nicht darum, ob ein Angriff wahrscheinlich ist, sondern ob er prinzipiell möglich ist und welche Folgen er hätte. Diese Logik zieht sich heute durch die TRBS 1115 Teil 1. Gerade bei überwachungsbedürftigen Anlagen ging es bisher vor allem um den Schutz von Menschen vor Gefahren, die von Technik ausgehen. Im Zuge der Digitalisierung wird nun auch der Schutz der Technik vor Gefahren, die von Menschen ausgehen, betrachtet. Implizit geht es dabei natürlich auch wieder um den Schutz von Menschen, da manipulierte Technik Gefahren hervorrufen kann.
Sebastian Mann: Die Regel ist deutlich praxisnäher geworden. Zum einen wird klarer beschrieben, welche Einrichtungen überhaupt betrachtet werden müssen – und das sind eben nicht nur klassische sicherheitsrelevante MSR, sondern auch Notruf- oder Notbefehlseinrichtungen, bestimmte angrenzende IT- und OT-Komponenten und sogar MSR, die auf den ersten Blick nicht sicherheitsrelevant erscheinen. Zum anderen wird jetzt viel deutlicher gesagt, dass auch Fehlanwendungen oder missbräuchliche Handlungen berechtigter Personen eine Rolle spielen können. Und ganz wichtig: Mit dem neuen Anhang gibt es endlich konkrete Beispiele und Erläuterungen, die Unternehmen bei der Umsetzung wirklich helfen.
Sebastian Mann: Das lässt sich eigentlich recht einfach beantworten. Immer dann, wenn eine Einrichtung digitale Schnittstellen hat und man sich vorstellen kann, dass jemand darüber eingreift, muss man genauer hinschauen. Wenn durch so einen Eingriff zum Beispiel eine Sicherheitsfunktion blockiert wird, falsch auslöst oder Parameter verändert werden, dann reden wir über Cybersicherheitsrelevanz. Ob das Ganze über ein großes Netzwerk läuft oder nur über ein Konfigurationsgerät spielt dabei erst einmal keine entscheidende Rolle.
Sebastian Mann: Der Beschluss ist im Grunde die Übersetzung der TRBS in die Prüfpraxis der zugelassenen Überwachungsstellen, wie dem TÜV Thüringen. Er legt fest, wie die ZÜSen Cybersicherheitsmaßnahmen bewerten sollen. Das bedeutet: Es wird nicht mehr nur gefragt, ob irgendetwas „gemacht“ wurde, sondern ob es nachvollziehbar geplant, dokumentiert, fachkundig festgelegt und umgesetzt worden ist. Für Betreiber heißt das ganz klar, dass Cybersicherheit prüfbar geworden ist und zwar ähnlich strukturiert wie andere sicherheitstechnische Themen auch. Ab April 2026 findet der Beschluss Anwendung, wenn der TÜV-Prüfer ins Haus kommt.
Sebastian Mann: Das ist die Frage, die wir regelmäßig von unseren Kunden hören. Die Antwort ist relativ einfach: Es gibt keine vorgeschriebene Form der Dokumentation der abgeleiteten Cybersicherheitsmaßnahmen. Das hilft natürlich nicht weiter. Es gibt sicherlich verschiedene Möglichkeiten. Eine Orientierung gibt der Anhang 1 des EK-ZÜS-Beschluss B-002 rev 5. Dort gibt es eine Schritt-für-Schritt-Anleitung, die genutzt werden kann - aber nicht muss. Ebenso denkbar ist eine Anlehnung an etablierte Standards wie ISA/IEC 62443, BSI-Standard 200, BSI IT-Grundschutz oder BSI ICS-Security-Kompendium.
Sebastian Mann: Sehr häufig sehen wir, dass es zwar technische Maßnahmen gibt, aber keine saubere Herleitung. Es fehlt dann zum Beispiel eine Bedrohungsanalyse oder eine klare Beschreibung, welchen Sollzustand man eigentlich erreichen wollte. Ganz häufig erleben wir, dass als einzige Maßnahme ein Zutrittsschutz etabliert ist. Abgeschlossene Schaltschränke, Türen und Firmengelände reichen aber als alleinige Cybersicherheitsmaßnahmen in vielen Fällen nicht aus. Ein weiteres Thema sind Fernzugriffe, die historisch gewachsen sind und nie richtig geregelt wurden. Und oft sind organisatorische Maßnahmen, wie Zuständigkeiten oder Unterweisungen, entweder unvollständig oder gar nicht dokumentiert. Eine große Herausforderung stellt die Möglichkeit der drahtlosen Parametrisierung bspw. via Bluetooth dar. Hier sehen wir regelmäßig Nachlässigkeiten in der Absicherung wie z.B. fehlende oder schlechte Passwörter.
Was bedeutet das konkret für Betreiber überwachungsbedürftiger Anlagen? Was ändert sich mit der TRBS 1115 Teil 1-Version 2026? Wann gilt eine MSR-Einrichtung als cybersicherheitsrelevant? Woran scheitern Betreiber in der Praxis am häufigsten? Wo liegen typische Schwachstellen?
Komplexe Fragen. Einfache Antworten: Unser Kollege Sebastian Mann, TÜV Thüringen-Sachverständiger für Cyber Security, bringt Licht ins Regelwerk. Klar, anwendungsnah und ohne juristischen Nebel.
Lesezeit: 7 Minuten
AUF DEN PUNKT
|
Wenn technische Sicherheit digital angreifbar wird: Cybersicherheit überwachungsbedürftige Anlagen
Überwachungsbedürftige Anlagen standen lange unter einer klaren Prämisse: Technik darf Menschen nicht gefährden. In der Vergangenheit lag der Schwerpunkt dabei eher auf konventionellen, um nicht zu sagen mechanischen Komponenten. Nunmehr rückt jedoch auch die zunehmende Digitalisierung verstärkt in diesen Fokus. Woraus sich heute eine zusätzliche Frage ergibt: Was passiert, wenn digitale Steuerungen angreifbar sind, wenn sie manipuliert werden?Die TRBS 1115 Teil 1 hat diese Perspektive deutlich geschärft. Cybersicherheit ist darin kein optionaler Zusatz mehr, sondern integraler Bestandteil der Gefährdungsbeurteilung. Sobald sicherheitsrelevante MSR-Einrichtungen digital beeinflusst werden können - sei es über Netzwerke, Fernzugriffe oder Konfigurationsschnittstellen - müssen mögliche Gefährdungen systematisch betrachtet werden. Mit der Version 2026 wurde die Regel weiter konkretisiert. Der Anwendungsbereich ist klarer gefasst, angrenzende IT- und OT-Komponenten werden ausdrücklich mitgedacht, Fehlanwendungen und missbräuchliche Handlungen berechtigter Personen sind explizit berücksichtigt.
Parallel dazu übersetzt der EK-ZÜS-Beschluss B-002 rev 5 die Anforderungen in prüfbare Maßstäbe für zugelassene Überwachungsstellen (ZÜS). Der Beschluss ist eine verbindliche Vorgabe des Erfahrungsaustauschkreises zugelassener Überwachungsstellen (EK ZÜS): Es werden einheitliche Prüfstandards für überwachungsbedürftige Anlagen (z.B. Aufzüge, Druckanlagen) in Deutschland festgelegt, die dann von ZÜS-Sachverständigen bei Prüfungen Anwendung finden. Ab April 2026 gilt: Cybersicherheitsmaßnahmen müssen nachvollziehbar geplant, fachkundig abgeleitet, dokumentiert und auf Wirksamkeit überprüft sein.
- Was bedeutet das für Betreiber in der Praxis?
- Wo liegen typische Schwachstellen?
- Und wie lässt sich Cybersicherheit strukturiert und prüffest in bestehende Sicherheitskonzepte integrieren?
TRBS 1115 Teil 1: Cybersicherheit als Teil der Gefährdungsbeurteilung
Warum ist Cybersicherheit für sicherheitsrelevante MSR-Einrichtungen heute kein „Nice-to-have“ mehr, sondern explizit Teil der Gefährdungsbeurteilung?Sebastian Mann: Weil der Gesetzgeber sehr klar gemacht hat, dass Cybersicherheit kein separates IT-Thema ist, sondern Teil des Arbeitsschutzes. Sobald eine sicherheitsrelevante MSR-Einrichtung digital beeinflusst werden kann, muss ich mich fragen, ob dadurch eine Gefährdung für Menschen entstehen kann. Und genau das ist der Kern der Gefährdungsbeurteilung. Es geht also nicht darum, ob ein Angriff wahrscheinlich ist, sondern ob er prinzipiell möglich ist und welche Folgen er hätte. Diese Logik zieht sich heute durch die TRBS 1115 Teil 1. Gerade bei überwachungsbedürftigen Anlagen ging es bisher vor allem um den Schutz von Menschen vor Gefahren, die von Technik ausgehen. Im Zuge der Digitalisierung wird nun auch der Schutz der Technik vor Gefahren, die von Menschen ausgehen, betrachtet. Implizit geht es dabei natürlich auch wieder um den Schutz von Menschen, da manipulierte Technik Gefahren hervorrufen kann.
Was sich mit der Version 2026 ändert
Wenn Cybersicherheit damit integraler Bestandteil der Gefährdungsbeurteilung ist, stellt sich die Frage nach der Ausgestaltung in der aktuellen Regelung. Was hat sich mit der Version 2026 der TRBS 1115 Teil 1 konkret verändert?Sebastian Mann: Die Regel ist deutlich praxisnäher geworden. Zum einen wird klarer beschrieben, welche Einrichtungen überhaupt betrachtet werden müssen – und das sind eben nicht nur klassische sicherheitsrelevante MSR, sondern auch Notruf- oder Notbefehlseinrichtungen, bestimmte angrenzende IT- und OT-Komponenten und sogar MSR, die auf den ersten Blick nicht sicherheitsrelevant erscheinen. Zum anderen wird jetzt viel deutlicher gesagt, dass auch Fehlanwendungen oder missbräuchliche Handlungen berechtigter Personen eine Rolle spielen können. Und ganz wichtig: Mit dem neuen Anhang gibt es endlich konkrete Beispiele und Erläuterungen, die Unternehmen bei der Umsetzung wirklich helfen.
Ab wann wird es cybersicherheitsrelevant?
Die erweiterte Betrachtung wirft in der Praxis eine zentrale Abgrenzungsfrage auf und viele Betreiber sind unsicher: Ab wann ist eine sicherheitsrelevante MSR-Einrichtung überhaupt cybersicherheitsrelevant?Sebastian Mann: Das lässt sich eigentlich recht einfach beantworten. Immer dann, wenn eine Einrichtung digitale Schnittstellen hat und man sich vorstellen kann, dass jemand darüber eingreift, muss man genauer hinschauen. Wenn durch so einen Eingriff zum Beispiel eine Sicherheitsfunktion blockiert wird, falsch auslöst oder Parameter verändert werden, dann reden wir über Cybersicherheitsrelevanz. Ob das Ganze über ein großes Netzwerk läuft oder nur über ein Konfigurationsgerät spielt dabei erst einmal keine entscheidende Rolle.
Von der Regel in die Prüfpraxis
Neben der TRBS selbst prägt ein weiteres Dokument die betriebliche Realität erheblich. Wie passt dazu der EK-ZÜS-Beschluss B-002 rev 5?Sebastian Mann: Der Beschluss ist im Grunde die Übersetzung der TRBS in die Prüfpraxis der zugelassenen Überwachungsstellen, wie dem TÜV Thüringen. Er legt fest, wie die ZÜSen Cybersicherheitsmaßnahmen bewerten sollen. Das bedeutet: Es wird nicht mehr nur gefragt, ob irgendetwas „gemacht“ wurde, sondern ob es nachvollziehbar geplant, dokumentiert, fachkundig festgelegt und umgesetzt worden ist. Für Betreiber heißt das ganz klar, dass Cybersicherheit prüfbar geworden ist und zwar ähnlich strukturiert wie andere sicherheitstechnische Themen auch. Ab April 2026 findet der Beschluss Anwendung, wenn der TÜV-Prüfer ins Haus kommt.
Welche Vorgehensweisen akzeptiert werden
Für Betreiber entscheidend ist weniger die Theorie als die konkrete Bewertung im Prüfprozess. Welche Vorgehensweisen akzeptiert die ZÜS bei der Prüfung?Sebastian Mann: Das ist die Frage, die wir regelmäßig von unseren Kunden hören. Die Antwort ist relativ einfach: Es gibt keine vorgeschriebene Form der Dokumentation der abgeleiteten Cybersicherheitsmaßnahmen. Das hilft natürlich nicht weiter. Es gibt sicherlich verschiedene Möglichkeiten. Eine Orientierung gibt der Anhang 1 des EK-ZÜS-Beschluss B-002 rev 5. Dort gibt es eine Schritt-für-Schritt-Anleitung, die genutzt werden kann - aber nicht muss. Ebenso denkbar ist eine Anlehnung an etablierte Standards wie ISA/IEC 62443, BSI-Standard 200, BSI IT-Grundschutz oder BSI ICS-Security-Kompendium.
Typische Schwachstellen in der Praxis
Die Anforderungen sind definiert. Doch wo liegen aktuell die größten Defizite? Was sind typische Schwachstellen, die Sie aktuell in Prüfungen sehen?Sebastian Mann: Sehr häufig sehen wir, dass es zwar technische Maßnahmen gibt, aber keine saubere Herleitung. Es fehlt dann zum Beispiel eine Bedrohungsanalyse oder eine klare Beschreibung, welchen Sollzustand man eigentlich erreichen wollte. Ganz häufig erleben wir, dass als einzige Maßnahme ein Zutrittsschutz etabliert ist. Abgeschlossene Schaltschränke, Türen und Firmengelände reichen aber als alleinige Cybersicherheitsmaßnahmen in vielen Fällen nicht aus. Ein weiteres Thema sind Fernzugriffe, die historisch gewachsen sind und nie richtig geregelt wurden. Und oft sind organisatorische Maßnahmen, wie Zuständigkeiten oder Unterweisungen, entweder unvollständig oder gar nicht dokumentiert. Eine große Herausforderung stellt die Möglichkeit der drahtlosen Parametrisierung bspw. via Bluetooth dar. Hier sehen wir regelmäßig Nachlässigkeiten in der Absicherung wie z.B. fehlende oder schlechte Passwörter.
Bewertung von Mängeln
Entscheidend ist letztlich also die sicherheitstechnische Relevanz einer Schwachstelle. Wie wird im Rahmen der Prüfung zwischen geringfügigem, erheblichem und gefährlichem Mangel unterschieden?Sebastian Mann: Das hängt stark davon ab, welche Auswirkungen eine Schwachstelle haben kann. Wenn zum Beispiel nur die Dokumentation lückenhaft ist, spricht man eher von einem geringfügigen Mangel. Wenn aber schutzbedürftige Systeme über ungesicherte Schnittstellen erreichbar sind, ist das ein erheblicher Mangel, weil hier eine reale Angriffsfläche besteht. Kritisch wird es dann, wenn bereits eine Kompromittierung stattgefunden hat und dadurch Personen gefährdet werden könnten. Dann reden wir von einem gefährlichen Mangel.
Verantwortung von Hersteller und Betreiber
Neben der Betreiberverantwortung stellt sich die Frage nach der Rolle der Hersteller. Welche Rolle spielen Herstellervorgaben?Sebastian Mann: Herstellervorgaben sind extrem wichtig, gerade bei verwendungsfertigen Produkten. Wenn ein Hersteller einen bestimmten Schutz gegen Cyberbedrohungen bestätigt, kann sich der Betreiber darauf stützen. Voraussetzung ist allerdings, dass diese Vorgaben auch vollständig vom Betreiber umgesetzt werden. Sobald davon abgewichen wird oder Angaben fehlen, liegt die Verantwortung wieder beim Betreiber, selbst geeignete Maßnahmen festzulegen und zu dokumentieren.
Wirksamkeit als Daueraufgabe
Maßnahmen festzulegen ist das eine, ihre dauerhafte Funktionsfähigkeit das andere. Was bedeutet „Überprüfung der Wirksamkeit“ durch den Betreiber konkret?Sebastian Mann: Es bedeutet, dass man nicht davon ausgehen darf, dass eine Maßnahme dauerhaft funktioniert, nur weil sie einmal eingerichtet wurde. Man muss regelmäßig prüfen, ob technische Schutzmaßnahmen noch wirksam sind, ob organisatorische Regelungen eingehalten werden und ob die Beschäftigten wissen, wie sie sich im Ernstfall verhalten sollen. Diese Überprüfungen müssen dokumentiert sein und können später auch Grundlage für Prüfungen durch die ZÜS sein.
Bilanz nach drei Jahren Anwendung
Die TÜV Thüringen Akademie sagt vielen Dank, Herr Mann. Abschließend sind wir gespannt auf eine erste Bilanz aufgrund Ihrer Anwendungserfahrungen. Ihr Fazit nach drei Jahren TRBS 1115 Teil 1?Sebastian Mann: Cybersicherheit ist endgültig Teil der technischen Sicherheit geworden. Unternehmen, die das früh verstanden haben und strukturiert vorgegangen sind, tun sich heute deutlich leichter. Wer dagegen noch versucht, das Thema irgendwie nebenbei mitzunehmen, bekommt spätestens bei Prüfungen Probleme. Die gute Nachricht ist: Die Regelwerke und Normen sind inzwischen so formuliert, dass man weiß, was zu tun ist – man muss es nur konsequent umsetzen.
Fazit: Jetzt handeln und nicht erst beim Prüftermin
Spätestens ab April 2026 wird Cybersicherheit im Kontext der TRBS 1115 Teil 1 verbindlich geprüft. Nicht als Randthema. Nicht als IT-Exkurs. Sondern als Bestandteil der technischen Sicherheit überwachungsbedürftiger Anlagen. Die Spielregeln sind klar: Gefährdungen durch digitale Manipulation müssen systematisch betrachtet, Maßnahmen fachkundig abgeleitet, nachvollziehbar dokumentiert und regelmäßig auf Wirksamkeit überprüft werden. Wer strukturiert vorgeht, Standards sinnvoll nutzt und Verantwortlichkeiten sauber regelt, hat bei der Prüfung nichts zu befürchten. Wer dagegen weiter auf „Das haben wir doch irgendwie geregelt“ setzt, riskiert spätestens beim ZÜS-Termin unangenehme Überraschungen. Die gute Nachricht: Die Anforderungen sind transparent. Die Werkzeuge sind bekannt. Jetzt geht es um konsequente Umsetzung.Cybersicherheit ist kein Zusatzmodul mehr. Sie ist Teil der Anlagensicherheit. Und damit Chefsache.
Bleiben Sie wissbegierig!
