Technische Regeln berücksichtigen Cybergefahren

Mess-, Steuer- und Regeleinrichtungen erfüllen zum Teil Sicherheitsfunktionen und bedürfen deshalb eines besonderen Schutzes vor Cyberattacken. Die technischen Regeln für Betriebssicherheit tragen diesem Bedürfnis Rechnung. Sie wurden vom Ausschuss für Betriebssicherheit beim Bundesministerium für Arbeit und Soziales (BMAS) angepasst und am 22. März dieses Jahres im gemeinsamen Ministerialblatt der Bundesregierung veröffentlicht.

"Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen", sagt Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. Der Hintergrund der neuen Regeln, welche die Bezeichnung TRBS 1115-1 tragen, ist die zunehmende Vernetzung von Anlagen im Internet of Things (IoT).

"Angriffsziel von Cyberattacken sind meist die Netzwerke und Computersysteme von Unternehmen", sagt Dinkler. Dabei werde häufig übersehen, dass auch Anlagen und Arbeitsmittel ins Visier krimineller Hacker geraten, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind. Die entsprechenden Schnittstellen könnten als Einfallstore genutzt werden, sodass Schadsoftware die Schutzeinrichtungen beziehungsweise die Anlagen selbst kompromittieren und unter Umständen auch die Mitarbeiter gefährden könnte.

Thermometer könnten falsche Temperaturen anzeigen, Manometer einen falschen Druck, manipulierte Positionsschalter könnten falsche Zustände anzeigen und Sensoren falsche Messergebnisse. Der TÜV Nord weist in einer Mitteilung darauf hin, dass Hacker die Technik so manipulieren könnten, dass kritische Zustände vom Personal in einer Leitwarte nicht mehr erkannt werden. Umgekehrt könnten kritische Zustände angezeigt werden, ohne dass diese tatsächlich vorhanden sind. Darüber hinaus besteht die Gefahr, dass Schadsoftware über eine Anlage den Weg in das IT-Netzwerk eines Unternehmens findet und andere Bereiche beeinträchtigt.

Zwar hätten viele Betreiber schon in der Vergangenheit Schutzmaßnahmen ergriffen. Diese seien jedoch bisher nicht im Rahmen wiederkehrender Prüfungen betrachtet worden, heißt es in einer Mitteilung des TÜV Nord. Hier stehe bislang die technische Sicherheit im Mittelpunkt. Zum Prüfkatalog des TÜV gehöre nun aber auch die Cybersicherheit.

Der Begriff "Cybersicherheit" werde in der europäischen Rechtsetzung mit "einem umfassenden Verständnis" verwendet, heißt es in den Technischen Regeln zur Betriebssicherheit. Die vorliegenden Regeln beschränkten sich allerdings "auf den Schutz sicherheitsrelevanter MSR-Einrichtungen, die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden".

Die TRBS 1115 Teil 1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen" steht auf der Internetseite der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin zum Download bereit.