Kaum ein Tag vergeht ohne Schlagzeilen über Cyberangriffe und deren Konsequenzen. Ob privat oder beruflich, ob Politik oder Industrie – die Bedeutung der Cybersicherheit wächst stetig. 2022 wurden einer Studie zufolge ein von Hackern verursachter wirtschaftlicher Schaden von rund 200 Milliarden Euro in Deutschland festgestellt. Mit der fortschreitenden Digitalisierung und Vernetzung steigt auch bei Aufzugsanlagen das Risiko, Ziel eines Cyber Angriffs zu werden. Wie geht der Gesetzgeber nun konkret gegen diese Bedrohung vor und was ist zu tun?
Unberechtigte Zugriffe können nicht nur zur Gefahr für den wirtschaftlichen Erfolg eines Unternehmens werden, sondern auch die menschliche Sicherheit bedrohen, zum Beispiel das Einschließen von Personen, Ausfall von Notrufsystemen, Manipulation von Steuerungen oder kompletten Ausfällen von Aufzügen. Um diesen Gefahren einen Riegel vorzuschieben, wurden vom Gesetzgeber, Ende letzten Jahres, die Regeln für den Betrieb von überwachungsbedürftigen Anlagen verschärft. Konkret hat das Gemeinsame Ministerialblatt (GMBl), ein amtliches Publikationsorgan der Bundesregierung, eine Konkretisierung für die Technische Regel für Betriebssicherheit (TRBS) 1115-1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ herausgegeben. Doch was bedeuten diese Neuerungen konkret?
Einordnung der gesetzlichen Grundlagen
Der TÜV-Verband hat am 23. März dieses Jahres durch eine Mitteilung erklärt, dass mit der Veröffentlichung der TRBS 1115-1 diese für den Betreiber ohne Übergangsfrist gültig sei und den Stand der Technik für die sichere Verwendung von Aufzugsanlagen markiere. Die Zugelassenen Überwachungsstellen (ZÜSen) sind damit angehalten, die Anforderungen aus der TRBS hinsichtlich des Mindestumfanges ihrer Prüfungen zugrunde zu legen. Kann also der Betreiber die geforderte Dokumentation hinsichtlich Cybersicherheit nicht vorlegen, führt dies zu einer Beanstandung durch die Zugelassene Überwachungsstelle. Anlagenbetreiber müssen damit bestehende IT-Sicherheitskonzepte überprüfen und technische sowie organisatorische Maßnahmen zum Schutz vor digitalen Angriffen sind zwingend erforderlich. In der Vergangenheit hatte bereits eine verschlossene Tür zum Maschinenraum für ausreichenden Schutz im gesetzlichen Sinne ausgereicht.
Heute sind Sicherheitssysteme zunehmend digitalisiert und nicht nur rein mechanisch. Jeder Aufzug, der softwarebasierende Komponenten hat oder eine Schnittstelle nach außen wie beispielsweise bei einem Fernnotrufsystem besitzt, muss durch geeignete Maßnahmen gegen Cyberangriffe geschützt werden. Dies bedeutet unter anderem, dass nur autorisierte Personen Zugriff haben und Änderungen vornehmen können. Die vom Betreiber getroffenen Cyber-Sicherheitsmaßnahmen müssen geeignet, funktionsfähig und dokumentiert sein. Dies lässt jedoch viel Interpretationsspielraum zu.
Markt-Feedback fällt gemischt aus
Die Verbände der Branche reagieren gemischt in ihren offiziellen Stellungnahmen. Insgesamt wurde sich positiv über die neue Norm geäußert, jedoch zogen die meisten Verbände sich auf eine reine Betrachtung der funktionalen Sicherheitseinrichtungen zurück. So empfahl der VDMA (Verband Deutscher Maschinen- und Anlagenbau), die Betrachtung der Cybersicherheit von Komponenten, die keine Sicherheitsbauteile (PESSRAL) darstellen oder einen Einfluss auf die sichere Verwendung des Aufzuges haben, aus den Berichten der Zentralen Überwachungsstellen streichen zu lassen.
Die Vereinigung mittelständischer Aufzugsunternehmen (VmA) formulierte in ihrer Stellungnahme eine noch offenere Haltung und meinte, dass es dem Betreiber selbst überlassen sein müsse, wie er die Cybersicherheit für seinen Aufzug nachweise. Man sehe hier die Hersteller der Sicherheitseinrichtungen in der Pflicht.
ZÜSen als sinnvolle Instanz
Die neuen Regelarien der TRBS sind richtig und wichtig, denn sie zwingen alle Beteiligten, das Thema OT/IT-Verbindung ganzheitlich zu betrachten. Cybersecurity ist eine geteilte Pflicht zwischen Betreibern und Herstellern. Der cybersichere Betrieb von Arbeitsmitteln und Produkten kann nur durch gemeinsame Anstrengungen erreicht werden. Die TRBS sind erstmal eine reine Betriebsanforderungen – allerdings können nicht alle Pflichten auf den Betreiber verlagert werden. Es gilt den Spagat zwischen Betreiber und Anforderungsprofil der Anlagen durch den Hersteller (Wartung, Updates, usw.) zu überbrücken.
Fragen wie „welche erweiterten Systeme müssen einbezogen werden – und das Notrufsystem gleich dazu? Wie sieht es mit der Gebäudesteuerung?“ sind nun zu klären. Aber auch weiterführende Thematiken wie die Absicherung als Betreiber einer Anlage, oder eine geeignete Maßnahmenprüfung samt offizieller Abnahme durch eine ZÜS stehen im Raum. Hierzu müssen alle Beteiligten an einem Strang ziehen. Die ZÜSen unterstützen dabei, indem sie die Prüfmaßnahmen nur sukzessive im Laufe des Jahres verschärfen.
Fazit
Die Gefahr durch Cybersecurity ist ebenso real wie die Gefahr durch mechanische oder elektrische Komponenten – die Überprüfung dieser ist bereits Standard. Leider kann bei Cybersecurity die Gefahr nicht rein lokal geprüft werden, da es sich um eine ganzheitliche Aufgabenstellung handelt. Es betrifft das Gesamtsystem verbundener Menschen und verbundener Systeme.
Für eine Risikoeinschätzung müssen daher alle technischen Verbindungen mit der Außenwelt und die daran beteiligten Komponenten sowie auch die Unternehmen betrachtet werden. Diese Zusammenstellung muss einmalig erstellt und nachhaltig gepflegt werden. Meist sind für mehrere Anlagen allgemeine Informationen identisch, sodass der Aufwand nach einmaliger Erstellung überschaubar bleibt. Auf dieser Datenbasis lässt sich die Gefährdung schnell und real beurteilen – und Abstellmaßnahmen festlegen. Hierbei sind auch die Hersteller in der Pflicht, adäquate Sicherheitsstandards für ihre Produkte vorzuhalten und zu dokumentieren. Ein Einsatz wäre ansonsten in Zukunft nicht mehr zulässig.
Markus Kling
VP of Engineering Aufzughelden, Digital Spine GmbH
