(Foto: © tiero/123RF.com)

Cybersecurity: Die fehlende Ergänzung wird zum Mangel

Aktuelles

TRBS 1115-1 – diese Buchstaben- und Zahlenkombination sorgt seit Ende März für Irritationen in der Aufzugsbranche und den Betreibern.

Was dahinter steckt: Schon ab 1. Juli müssen die Betreiber eine Dokumentation zur Cybersicherheit vorlegen – sonst schreiben die Zugelassenen Überwachungsstellen einen geringfügigen Mangel auf.

Die Chronologie:

Am 23. März trafen sie ein: Die verschiedenen Zugelassenen Überwachungsstellen (ZÜS) versendeten praktisch zeitgleich Pressemitteilungen, mit denen sie auf die Gefahren von Cyberangriffen auf Aufzugsanlagen warnten und von den Betreibern künftig im Zuge der wiederkehrenden Prüfungen eine Ergänzung zu Cybersicherheit in der Gefährdungsbeurteilung forderten.

Der Zeitpunkt war natürlich kein Zufall: Am 23. März hatte der Gesetzgeber die Technische Regel zur Betriebssicherheit – TRBS 1115-1 zur "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen" im Gemeinsamen Ministerialblatt veröffentlicht. Darin hieß es allerdings, dass die ZÜSen eine fehlende Ergänzung in der GBU in ihren Prüfbescheinigungen zunächst erst einmal nur als Hinweis oder Bemerkung erfassen würden.

Das hat sich Ende Mai geändert. Zu unserem Redaktionsschluss überschlugen sich die Ereignisse. Zunächst waren es nur Gerüchte, dann bestätigte sie der TÜV-Verband auf Nachfrage des LIFTjournals. Der TÜV-Verband erklärte, dass mit der Veröffentlichung der TRBS 1115-1 diese für den Betreiber ohne Übergangsfrist gültig sei und den Stand der Technik für die sichere Verwendung von Aufzugsanlagen markiere. Die ZÜSen seien ebenso wie die Betreiber angehalten, die Anforderungen aus der TRBS hinsichtlich des Mindestumfanges ihrer Prüfungen zugrunde zu legen. "Kann also der Betreiber die geforderte Dokumentation hinsichtlich Cybersicherheit nicht vorlegen, muss dies zwangsläufig zu einer Beanstandung durch die ZÜS führen", so André Siegl, Experte für Anlagensicherheit beim TÜV-Verband.

Es bleiben noch Unklarheiten ...

Nachdem die Umsetzung auch bei den ZÜS etwas Zeit in Anspruch nehmen würde (Schulungen, ggf. Umstellung der EDV, etc.), hätten sich die ZÜS zu einer Umsetzung bis spätestens 1. Juli verständigt, betont der Vertreter des TÜV-Verbandes: "Somit wird spätestens ab 1. Juli eine fehlende Dokumentation zur Cybersicherheit mit einem geringfügigen Mangel in der Prüfbescheinigung vermerkt werden."

Das hörte sich in den Pressemitteilungen der ZÜSen vom 23. März noch ganz anders an. Wir zitieren Auszüge aus den Pressemitteilungen der ZÜSen vom 23. März. 

Wir haben außerdem die deutschen Aufzugsverbände und Organisationen um eine Stellungnahme gebeten, die natürlich noch auf dem zurückliegenden Kenntnisstand von Ende März basieren.

Es bleiben noch Unklarheiten. Wir werden das Thema im LIFTjournal weiterverfolgen.

Pressemitteilung TÜV-Verband:

Foto: © TÜV VerbandFoto: © TÜV Verband

Die Vorgaben für den Schutz vor Cyberangriffen auf "überwachungsbedürftige Anlagen" steigen. "Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen", sagt Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. "Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen."

"Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen", sagt Dinkler. "Die Technische Regel dient als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen können."

Die vollständige Pressemitteilung des TÜV-Verbandes

Aktuelle Info von der Website des TÜV-Verbandes: "Die vom Betreiber getroffenen Cybersicherheitsmaßnahmen müssen geeignet, funktionsfähig und dokumentiert sein. Gerne beantworten wir erste Fragen. Jeder Aufzug, der softwarebasierende Komponenten hat oder eine Schnittstelle nach außen wie z. B. bei einem Fernnotrufsystem besitzt, muss durch geeignete Maßnahmen gegen Cyberangriffe geschützt werden."

Pressemitteilung TÜV Nord:

Foto: © TÜV NordFoto: © TÜV Nord

Was ist, wenn Hacker Anlagen oder Anlagenteile in gefährliche Zustände versetzen oder Aufzüge unverhofft stoppen lassen? Auf eine derartige Gefahr weist TÜV NORD jetzt in Prüfprotokollen hin.

Ein Hinweis im aktuellen Prüfprotokoll sagt, dass Maßnahmen gegen Gefährdungen nicht dokumentiert sind. Schon heute geben Sachverständige von TÜV NORD in Prüfberichten für überwachungsbedürftige Anlagen derartige Hinweise, nachdem sie geprüft haben, ob Maßnahmen zur Cybersicherheit ergriffen wurden.

Müssen Betreiber mit Sanktionen rechnen? Momentan nicht. Noch sind die Regelungen für die Prüfung von Cyberangriffen auf Industrieanlagen nicht in den Technischen Regeln für Betriebssicherheit (TRBS 1115) veröffentlicht. Zurzeit wird auf Lücken im Sicherheitssystem nur hingewiesen. In einem zweiten Schritt wird dieser Hinweis als ein geringer Mangel eingestuft. Damit muss der Betreiber innerhalb eines Jahres eine Gefährdungsbeurteilung zur OT-Security vorweisen. In einem dritten Schritt werden auch inhaltliche Prüfungen der Gefährdungsbeurteilung folgen. Wann und in welchem Umfang diese Stufen umgesetzt werden, ist noch nicht entschieden. Aus eigenem Interesse jedoch sollten Betreiber gefährdeter Anlagen schnellstmöglich für einen geeigneten Schutz und für geeignete Abwehrmaßnahmen sorgen.

Die vollständige Pressemitteilung des TÜV Nord

Pressemitteilung TÜV Süd:

Foto: © TÜV SüdFoto: © TÜV Süd

"In Zukunft müssen Anlagenbetreiber im Rahmen ihrer Gefährdungsbeurteilung auch Cybergefährdungen ermitteln und entsprechende Gegenmaßnahmen festlegen, wenn Arbeitnehmer oder Personen im Gefahrenbereich (Dritte) durch einen Cyberangriff auf die Anlage gefährdet werden könnten", sagt Jörg Becker, Leiter des Kompetenzzentrums Cybersecurity bei der TÜV SÜD Industrie Service GmbH.

Die Zugelassenen Überwachungsstellen (ZÜS) werden zukünftig überprüfen, ob Cyberbedrohungen im Zusammenhang mit dem sicheren Betrieb der Anlagen ausreichend behandelt wurden.

Jörg Becker empfiehlt Betreibern von überwachungsbedürftigen Anlagen, sich möglichst schnell mit den neuen Regelungen vertraut zu machen und die Gefährdungsbeurteilungen entsprechend zu aktualisieren. Die Zugelassenen Überwachungsstellen (ZÜS) werden zukünftig im Rahmen ihrer Prüfungen auch überprüfen, ob die Anforderungen der TRBS 1115-1 ausreichend berücksichtigt und umgesetzt wurden. Sollte das nicht der Fall sein, wird dies in der Prüfbescheinigung dokumentiert.

Die vollständige Pressemitteilung des TÜV Süd

Pressemitteilung TÜV Hessen:

Foto: © TÜV HessenFoto: © TÜV Hessen

Mit zunehmender Digitalisierung steigen auch die Cyberattacken auf Aufzüge, Pipelines oder Industrieanlagen. Daher kommt auf Betreiber 2023 eine Neuerung zu: Neben der funktionalen Sicherheit gilt es, ab sofort auch die Maßnahmen gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen unter die Lupe zu nehmen. Die Zugelassenen Überwachungsstellen (ZÜS) haben sich dazu entschlossen, die Einführung der Prüfungen von Cybersicherheitsmaßnahmen in einem zeitlich gestaffelten Prozess umzusetzen.

Pressemitteilung Dekra:

Foto: © DekraFoto: © Dekra

Wenn potenzielle Cyber-Attacken oder Software-Defizite an Anlagen Personen gefährden, muss der Betreiber basierend auf seiner Gefährdungsbeurteilung Maßnahmen ergreifen. Im Rahmen der Prüfungen nach BetrSichV muss die Zugelassene Überwachungsstelle (ZÜS) dies künftig berücksichtigen.

Dies gilt bei allen Arten von Prüfungen bei allen überwachungsbedürftigen Anlagen: vor Inbetriebnahme, wiederkehrend oder nach prüfpflichtiger Änderung. Künftig wird der ZÜS-Sachverständige im Zuge der Prüfung also konkret feststellen, ob der Betreiber in seiner Gefährdungsbeurteilung die möglichen Gefährdungen aufgrund Cyber-Bedrohungen ermittelt und bewertet hat. Hat der Betreiber keine entsprechende Gefährdungsbeurteilung vorgenommen, liegt ein Mangel vor.

Die vollständige Pressemitteilung der Dekra

Cyberbedrohungen – Umgang mit der TRBS 1115-1

Foto: © VDMAFoto: © VDMA

Das VDMA-Positionspapier gibt wichtige Hinweise zu Prüfungen von Aufzugsanlagen hinsichtlich der Cybersicherheit. Der VFA-Interlift schließt sich dem VDMA-Positionspapier an.

Die neue Technische Regel für Betriebssicherheit (TRBS) 1115-1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen" konkretisiert die Grundlagen für Cyberbedrohungen für sicherheitsrelevante Funktionen. Mit dem Positionspapier "Aufzüge: Cyberbedrohungen – Umgang mit der TRBS 1115-1" nimmt der VDMA Aufzüge und Fahrtreppen Stellung zum Umgang mit der TRBS 1115-1 hinsichtlich der Prüfung der Cybersicherheit von Aufzugsanlagen. Gemäß der neuen TRBS 1115-1 sind nur sicherheitsrelevante MSR-Einrichtungen von der neuen Prüfung betroffen.

"Wir empfehlen, die Betrachtung der Cybersicherheit von Komponenten, die keine Sicherheitsbauteile (PESSRAL) darstellen oder einen Einfluss auf die sichere Verwendung des Aufzuges haben, aus den ZÜS-Berichten streichen zu lassen", so Carsten Henriksen, Sprecher des VDMA Komitees Technik und Normung. Dazu ist es wichtig, nach Eingang des Prüfberichtes bei der ausstellenden ZÜS die Rechtsgrundlage für den Hinweis/Mangel zu Cyberbedrohungen zu erfragen.

Weitere Details und Hinweise... ...finden Sie in diesem Positionspapier das am 03.05.2023 vom VDMA Komitee Technik und Normung veröffentlicht wurde.

Einführung

Durch die fortschreitende Digitalisierung ergeben sich neue Angriffspunkte in IT-Systemen, die zu Manipulationsversuchen der eingesetzten Systeme von außerhalb durch nicht autorisierte Personen/Organisationen führen können. Von diesen Manipulationsversuchen, die eine Fehlfunktion der Anlagen herbeiführen sollen, sind auch Aufzugsanlagen nicht ausgeschlossen.

Um auf diese mögliche Einflussnahme vorbereitet zu sein, wurde zur Konkretisierung der rechtlichen Grundlage der Betriebssicherheitsverordnung (BetrSichV) die Technische Regel für Betriebssicherheit (TRBS) 1115-1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen" (MSR-Einrichtungen) neu veröffentlicht.

Nach heutigem Stand richtet sich die Betriebssicherheitsverordnung (BetrSichV) mit den dazugehörigen Technischen Regeln für Betriebssicherheit (TRBS) an Arbeitgeber oder dessen Gleichgestellten, gemäß dem Gesetz über überwachungsbedürftige Anlagen (ÜAnlG), an den Betreiber.

In der TRBS 1115-1 werden die Grundlagen für Cyberbedrohungen für sicherheitsrelevante Funktionen, auch für Aufzugsanlagen konkretisiert. Diese umfassen nach der grundlegenden TRBS 1115 Punkt 3 Absatz 6 c ausschließlich elektrische Sicherheitseinrichtungen im Sinne von Anhang III der Richtlinie 2014/33/EU (Aufzugsrichtlinie) und werden in der DIN EN 81-20:2020 Anhang A als elektrische Sicherheitseinrichtungen definiert und müssen im Rahmen der EN 81-50:2020 einer Baumusterprüfung unterzogen werden. Sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen nach diesen Richtlinien sind ausschließlich PESSRAL Systeme.

Bei den Prüfungen von Aufzugsanlagen durch die zugelassenen Überwachungsstellen (ZÜS) wird, abhängig von den entsprechenden ZÜSen, in den Prüfberichten ein neuer Hinweis wie z. B. "Eine Dokumentation zur Behandlung von Cyberbedrohungen wurde nicht vorgelegt." aufgeführt.

Zu diesen Vorgängen möchte der VDMA wie folgt Stellung nehmen.

Hintergrund

Cybersicherheit gewinnt in der Aufzugsindustrie über die gesamte Wertschöpfungskette, von der Entwicklung über die Herstellung bis zur Instandhaltung von Produkten, stets an Bedeutung. Daher veröffentlichte der Erfahrungskreis der ZÜSen (EK ZÜS) am 16.11.2022 den Beschluss "EK-ZÜS B002", welcher die "Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen" beinhaltet.

Als zugehöriges Regelwerk gab es eine Empfehlung zur Betriebssicherheit 1115 (EmpfBS 1115) die durch die neue TRBS 1115-1 abgelöst wurde. Gemäß der nun gültigen TRBS 1115-1 sind ausschließlich sicherheitsrelevante MSR-Einrichtungen von der neuen Prüfung betroffen. Für die Betrachtung der Cybersicherheit weiterer Bauteile in Aufzugsanalgen gibt es keine rechtlichen Grundlagen.

Bei sicherheitsrelevanten MSR-Einrichtungen von Aufzügen handelt es sich ausschließlich um programmierbare elektronische Systeme in sicherheitsbezogenen Anwendungen (PESSRAL), die für sicherheitsbezogene Anwendungen gemäß DIN EN 81-20:2020 Anhang A eingesetzt werden. Diese müssen durch geeignete Maßnahmen gegen Cyberangriffe geschützt werden.

Um die Aufzugsanlage noch sicherer zu machen und ggfs. einen in der Vergangenheit liegenden nicht bemerkten Cyberangriff aufzuzeigen, werden relevante Daten, wie z. B. die Check-Summe des PESSRAL-Systems, im Rahmen der Inverkehrbringung/Änderungen dokumentiert. Im Rahmen der wiederkehrenden Prüfung durch die ZÜS werden sie nach TRBS 1201 Teil 4 schon jetzt geprüft und die Ergebnisse im Prüfbericht ausgewiesen.

Empfehlung

Der VDMA Fachverband Aufzüge und Fahrtreppen empfiehlt, nach Eingang des Prüfberichtes bei der ausstellenden ZÜS die Rechtsgrundlage für den Hinweis/Mangel zu Cyberbedrohungen zu erfragen und eventuelle Kommentare zu anderen Komponenten, wie z.B. Zweiwege-Kommunikationssysteme und/oder Komponenten, die keine Sicherheitsbauteile (PESSRAL) gemäß Aufzugsrichtlinie sind, aus dem Bericht streichen zu lassen.

Nach BetrSichV § 3 Absatz 7 sollten Arbeitgeber die Gefährdungsbeurteilung (GBU) der Aufzugsanlage "auf dem Stand der Technik" halten und die GBU um den Punkt Cybersicherheit erweitern.

Ihr Wartungs-/Instandhaltungsunternehmen steht Ihnen gerne beratend zur Verfügung.

VmA: Betreiber ehrlich und neutral informieren!

Foto: © VmAFoto: © VmA

"Durch neue Techniken entsteht die Möglichkeit, dass durch Eingriffe von außen auf den Aufzug ein gefährlicher Zustand entstehen kann.

Früher war eine verschlossene Maschinenraumtüre ein ausreichender Schutz. Sie verhinderte, dass Unbefugte Zugang zur Steuerung bekommen und es durch Manipulation (etwa mit einer Brücke im Sicherheitskreis) zu einem gefährlichen Zustand kommt. Heute und zukünftig arbeiten Sicherheitssysteme aber nicht mehr mechanisch, sie werden zunehmend digitalisiert (Stichwort "PESSRAL").

Wenn dann noch ein Zugriff von außen über Schnittstellen (Internet, Fernzugriff) möglich ist, muss weiterhin sichergestellt werden, dass nur befugte Personen Zugriff haben und Änderungen durchführen können. Die neue TRBS 1115-1 regelt dieses und das ist positiv.

Wie der Betreiber die Cybersicherheit für seinen Aufzug nachweist, muss ihm überlassen bleiben. Die VmA sieht hier die Hersteller der Sicherheitseinrichtungen in der Pflicht. Sie müssen den Nachweis führen, dass die Cybersicherheit gewährleistet ist, und erklären, wie diese im Betrieb überprüft werden kann. Bis jetzt mussten auch für Sicherheitsbauteile entsprechende Prüfbescheinigungen incl. Prüf- und Wartungsanweisungen mitgeliefert werden.

Abzuwarten bleibt, ob nicht einige Marktteilnehmer hier das große Geschäft wittern und den Betreibern mehr oder weniger seriöse Angebote für die Überprüfung und Bestätigung der Informationssicherheit anbieten.

Die Aufgabe der kleinen und mittelständischen Unternehmen ist es, die Betreiber offen, ehrlich und neutral zu informieren."

Udo Niggemeier, erster Vorsitzender der Vereinigung mittelständischer Aufzugsunternehmen (VMA)

GAT: Die Branche benötigt Aufklärung!

Foto: © GAT eGFoto: © GAT eG

Wo ist das Problem? Auch die GAT sieht die Notwendigkeit, die immer digitaler ausgestatteten Aufzugsanlagen gegen Cyberbedrohungen zu schützen. Doch derzeit weiß unserer Ansicht nach niemand in der Branche genau, wie man in der Praxis mit der neuen Regelung umzugehen hat, weder die Aufzugs- noch die Komponentenhersteller – und auch die Zugelassenen Überwachungsstellen (ZÜS) nicht.

Deshalb bittet die GAT um weiterführende Informationen von den beteiligten Kreisen, damit wir zeitnah eine möglichst pragmatische und praktikable Handlungsanleitung für unsere Mitglieder entwickeln können, mit denen diese dann auch ihre Betreiber unterstützen können.

Nach unserem Kenntnisstand werden ab dem 01. Juli 2023 Gefährdungsbeurteilungen (GBU) zur Cybersicherheit eingefordert. Leider ohne zu erklären, wie die Ergänzung zur bestehenden GBU auszusehen hat, welche Lösungen erwartet werden.

Derzeit gibt es sehr viel Unsicherheit im Markt. Zur detaillierten Betrachtung gibt es erste Stellungnahmen der Verbände, eine belastbare Einschätzung der ZÜSen steht bisher aus. Würde die rechtliche Beurteilung der Verbände greifen, so wäre die derzeit pauschale Bemängelung – ab Juli in Form eines pauschalen geringfügigen Mangels – so falsch und dürfte sich nur auf Aufzugsanlagen mit funktionalen Sicherheitseinrichtungen beziehen. Und dann bleibt noch immer die Frage nach den Inhalten der Ergänzung zur Gefährdungsbeurteilung, um eine Abnahme durch die ZÜSen zu bekommen. Insbesondere auch mit Blick auf die Prüfung vor Inbetriebnahme bei Neuanlagen.

Wir brauchen Antworten. Möglichst bevor aus den Hinweisen der ZÜSen im Juli wenig greifbare Mängel werden und die Betreiber auf ihre Fachunternehmen mit entsprechenden Fragen zukommen. An dieser Stelle sind auch die Komponentenhersteller in der Pflicht, eine Erklärung für betroffene Produkte zu liefern.

Gemeinschaft Aufzugs-Technik eg (GAT)