Die Vorgaben für den Schutz vor Cyberangriffen auf „überwachungsbedürftige Anlagen“ werden strenger. Grundlage für die Umsetzung und Überprüfung der Schutzmaßnahmen ist die jetzt veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.
„Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen“, sagt Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. „Die Technische Regel dient als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen können.“ Da sie vor allem für die Arbeitssicherheit relevant ist, wurde sie im Ausschuss für Betriebssicherheit gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht. Auf deren Internetseite ist sie zum Download verfügbar.
Hintergrund der neuen Regelungen ist die zunehmende Digitalisierung und Vernetzung technischer und industrieller Anlagen im IoT. „Angriffsziel von Cyberattacken sind meist die Netzwerke und Computersysteme von Unternehmen. Was dabei häufig übersehen wird: Auch Anlagen und Arbeitsmittel geraten ins Visier krimineller Hacker, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind“, sagt Dinkler. Viele Anlagen sind heute mit so genannten speicherprogrammierbaren Steuerungen (SPS) ausgestattet. Die meisten dieser SPS haben Schnittstellen, durch die sie aktualisiert oder programmiert werden, zum Beispiel USB-Anschlüsse, Schnittstellen zu internen Netzwerken oder direkt zum Internet. Es besteht die Gefahr, dass die SPS als Einfallstor für Schadsoftware genutzt wird. Die Folgen könnten ein Ausfall einzelner Anlagen oder ein breit angelegter Cyberangriff sein, der die IT-Infrastruktur des Unternehmens lahmlegt.
„Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen“, so der TÜV-Verband. Auf Basis einer aktuellen Gefährdungsbeurteilung müssten die Betreiber technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen. Zu den überwachungsbedürftigen Anlagen gehören unter anderem Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen, darunter Tankstellen und Gasfüllanlagen. Die Anlagen werden regelmäßig von externen Sachverständigen überprüft, weil von ihnen ein besonders hohes Risiko für Leib und Leben ausgehen kann. Die für die Prüfungen zuständigen ZÜS haben auf Grundlage der Technischen Regel aktuell ihrerseits grundlegende Anforderungen an die Cybersicherheit der Anlagen und ihrer Prüfung formuliert. Der Beschluss ist hier abrufbar.