Prüfung der Cybersecurity

Durch den Einsatz von IT-basierten Technologien und steigendem Vernetzungsgrad von industriellen Automatisierungssystemen können sicherheitsrelevante MSR-Einrichtungen zum Ziel von Manipulationen werden. Dies betrifft alle Arten von Maschinen und Anlagen sowie deren Prozessanwendungen in allen Phasen entlang der Lieferkette.

Der Arbeitgeber muss die möglichen Gefährdungen beurteilen und daraus notwendige Maßnahmen für das sichere Verwenden von Arbeitsmitteln ableiten. Zu Arbeitsmitten zählen auch überwachungsbedürftige Anlagen nach ÜAnlG (Gesetz über überwachungsbedürftige Anlagen), welche durch eine ZÜS (zugelassene Überwachungsorganisation) zu prüfen sind. Darunter befinden sich auch Anlangen, die einer Cybersicherheitsbedrohung unterliegen. Für diese Anlagen werden auch Prüfanforderungen als Schutzmaßnahmen formuliert.

Die entsprechenden Schutzmaßnahmen im gesamten Lebenszyklus überwachungsbedürftiger Anlagen sind in der Normenreihe IEC 62443 (IT-Sicherheit für industrielle Automatisierungssysteme) und der Technischen Regel für Betriebssicherheit TRBS 1115 Teil 1 (Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen) beschrieben. Der TÜV Thüringen bietet auf Basis seiner Expertise sämtliche Dienstleistungen im Zusammenhang mit der Cybersicherheit im gesamten Lebenszyklus eines entsprechenden Produktes an. Die Details der Angebote sind im Folgenden dargestellt.

Die Experten des TÜV Thüringen führen Cybersicherheits-Prüfungen mit folgenden Inhalten durch:

Erstmalige Prüfung der überwachungsbedürftigen Anlage nach Inbetriebnahme, entsprechend §15 Betriebssicherheitsverordnung (BetrSichV) auf Basis von TRBS 1115 Teil 1 und IEC 62443 (Ordnungs- und Funktionsprüfungen).
Prüfung der Anlage und derer Anlagenteile nach prüfpflichtiger Änderung nach §15 BetrSichV (d.h. Änderungen der Anlage, die die Sicherheit beeinflussen können) auf Basis von TRBS 1115 Teil 1 und IEC 62443 (Ordnungs- und Funktionsprüfungen).
Wiederkehrende Prüfung nach §16 BetrSichV auf Basis von TRBS 1115 Teil 1 und IEC 62443 (Ordnungs- und Funktionsprüfungen).
Prüfung nach §14 BetrSichV von Arbeitsmitteln.
Außerordentliche Prüfung oder zusätzlich gewünschte Prüfung von Anlagenteilen.
Validierung von Risikoanalysen, bspw. nach IEC 62443-3-2 oder BSI Standard 200-3.
Validierung von IT-/OT-Sicherheitskonzepten (inkl. Netzwerkarchitekturen und Betrachtungen des gesamten Sicherheitslebenszykluses)
Prüfung der Anforderungen an Informationssicherheitsmanagementsysteme (ISMS).

Die genannten Prüfungen werden nach dem jeweils aktuellen Stand der Technik durchgeführt und beinhalten stets aktuelle Anpassungen in Bezug auf:

Neue Erkenntnisse nach Cyber-Sicherheitsvorfällen
Überarbeitung des technischen Regelwerkes
Änderungen des sicherheitstechnischen Niveaus
Änderungen des Standes der Technik beim Bereitstellen auf dem Markt

Die Ergebnisse der Prüfungen und Validierungen werden in einem entsprechenden Bericht zusammengefasst. Dieser kann dem Betreiber ggf. als Nachweis über die Erfüllung der gesetzlichen Anforderungen dienen.