Cyber-Sicherheit: Betreiber in der Pflicht

Für die Betriebssicherheit von Aufzugsanlagen sind deren Betreiber verantwortlich – das gilt auch in Bezug auf Cyber-Sicherheit. Unberechtigte Zugriffe können nicht nur zur Gefahr für den wirtschaftlichen Erfolg eines Unternehmens werden, sondern auch die menschliche Sicherheit bedrohen, zum Beispiel durch das Einschließen von Personen, den Ausfall von Notrufsystemen, die Manipulation von Steuerungen oder den kompletten Ausfall von Aufzügen. Um diesen Gefahren entgegenzuwirken, hat das Bundesministerium für Arbeit und Soziales im November 2022 die Regeln für den Betrieb von überwachungsbedürftigen Anlagen verschärft.

Konkret wurde die Technische Regel für Betriebssicherheit (TRBS) 1115-1 um den Punkt „Cyber-Bedrohungen“ erweitert. Die Betreiber von Aufzugsanlagen sind dadurch dazu verpflichtet, das Thema Cyber-Sicherheit zu betrachten und Maßnahmen zu ergreifen, um diese zu gewährleisten. Ob das der Fall ist, überprüfen die zugelassenen Überwachungsstellen (ZÜS) im Rahmen der regelmäßigen Prüfung. Falls nicht, kann dieser Umstand zur Feststellung eines geringfügigen Mangels führen, der bei der nächsten Prüfung, sofern nicht behoben, zu einem erheblichen Mangel führen kann.

Welche Aufzugsanlagen sind betroffen?

Ausgenommen von der Regel sind Aufzugsanlagen, die noch keine Verbindung zum Internet und keine Mess-, Steuer- und Regeleinrichtungen (MSR) in Kombination mit Verbindungseinrichtungen haben. Anders sieht es bei modernen Aufzügen in Neubauten oder solchen, die in den letzten Jahren modernisiert wurden, aus. Diese sind in der Regel mit dem Internet verbunden, können fernüberwacht werden und viele Komponenten sind softwarebasiert und miteinander vernetzt. Hier ist die Cyber-Sicherheit definitiv ein Thema und die Anlagenbetreiber müssen bestehende IT-Sicherheitskonzepte überprüfen und technische sowie organisatorische Maßnahmen zum Schutz vor digitalen Angriffen sind zwingend erforderlich.

Was ist zu tun?

In der Vergangenheit hatte bereits eine verschlossene Tür zum Maschinenraum für ausreichenden Schutz im gesetzlichen Sinne ausgereicht. Heute sind Sicherheitssysteme zunehmend digitalisiert und nicht nur rein mechanisch. Für eine Risikoeinschätzung müssen daher alle technischen Verbindungen mit der Außenwelt und die daran beteiligten Komponenten sowie auch die Unternehmen betrachtet werden. Diese Zusammenstellung muss einmalig erstellt und nachhaltig gepflegt werden. Meist sind für mehrere Anlagen allgemeine Informationen identisch, sodass der Aufwand nach einmaliger Erstellung überschaubar bleibt. Auf dieser Datenbasis lässt sich die Gefährdung schnell und real beurteilen – und Abstellmaßnahmen festlegen. Wichtig bei der Prüfung durch die ZÜS: Die vom Anlagenbetreiber getroffenen Cyber-Sicherheitsmaßnahmen müssen geeignet, funktionsfähig und dokumentiert sein.

Cyber-Sicherheit ist eine ganzheitliche Aufgabenstellung

Die Gefahr durch Cyber-Angriffe ist ebenso real wie die Gefahr durch mechanische oder elektrische Komponenten – die Überprüfung dieser ist bereits Standard. Im Gegensatz dazu kann beim Thema Cyber-Sicherheit die Gefahr leider nicht rein lokal geprüft werden, da es sich um eine ganzheitliche Aufgabenstellung handelt. Es betrifft das Gesamtsystem verbundener Menschen und verbundener Systeme. Daher sind die erneuerten Regularien der TRBS richtig und wichtig, denn sie zwingen alle Beteiligten, das Thema OT/IT-Verbindung ganzheitlich zu betrachten – das bezieht auch die Hersteller mit ein, denn Cyber-Sicherheit ist eine geteilte Pflicht zwischen Betreibern und Herstellern und der cyber-sichere Betrieb von Arbeitsmitteln und Produkten kann nur durch gemeinsame Anstrengungen erreicht werden.

Aufzughelden, ein Produkt der Digital Spine GmbH (www.digitalspine.io), unterstützt Kunden bei der Ermittlung von Gefahrenquellen und der Ergreifung geeigneter Schutzmaßnahmen für den sicheren Betrieb ihrer Aufzugsanlagen.