Arbeitsschutz und Cybersicherheit: Was Anlagenbetreiber im Zusammenhang mit TRBS 1115-1 beachten sollten.

Kategorien
Publiziert
Beginne eine Unterhaltung
0 Kommentare

Mit der fortschreitenden Vernetzung der operativen Technologie (OT) stehen Anlagenbetreiber einigen neuen Herausforderungen gegenüber. Eine davon ist die Absicherung der OT gegenüber Cyberangriffen, denn diese bedrohen nicht nur die Funktionssicherheit in der Produktion, sondern stellen auch ein potenzielles Risiko für die Gesundheit der Mitarbeiter und anderer Personen dar. Somit sind sie auch ein wichtiger Aspekt des Arbeitsschutzes.

 

Inhalt

 

Die Gesetzeslage

Das zentrale Regelwerk für Arbeitsschutz und Betriebssicherheit in Deutschland ist die Betriebssicherheitsverordnung (BetrSichV). Sie regelt die Errichtung, Bereitstellung und Betrieb von Arbeitsmitteln im Sinne des Arbeitsschutzes. Zwar geht die Verordnung auch in der aktuellen Version von 2015 nicht explizit auf die Cybersicherheit von Betriebs- und Arbeitsmitteln ein. Da das Schutzkonzept der BetrSichV jedoch auf alle von Arbeitsmitteln ausgehenden Gefährdungen anwendbar ist, sind auch Gefahren darin einbegriffen, die mit Cyberangriffen einhergehen.

Um diesen immer wichtiger werdenden Bereich der Cybersecurity genauer zu regeln, wurde am 22. März 2023 die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 – Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen veröffentlicht. Im Rahmen der Betriebssicherheitsverordnung definiert sie Anforderungen an die Cybersecurity für entsprechende Anlagen und bildet so eine wesentliche Grundlage für die sichere Verwendung von Arbeitsmitteln in vernetzten Industrieumgebungen.

Die TRBS 1115-1 gilt branchenunabhängig für alle Unternehmen, bei denen Cyberbedrohungen dazu führen können, „dass eine sicherheitsrelevante MSR-Einrichtung ihre Sicherheitsfunktion nicht mehr ausüben kann oder sogar zusätzliche Gefährdungen herbeigeführt werden“ (TRBS 1115-1, 1).

Als mögliche Auswirkungen erfolgreicher Cyberangriffe nennt die TRBS (TRBS 1115-1, 3.1.3):

  • eine Beeinflussung der Verfügbarkeit (z. B. Deaktivieren oder Blockieren der Funktion von sicherheitsrelevanten MSR-Einrichtungen),
  • eine Verletzung der Integrität (z. B. unberechtigte Änderung von Daten),
  • eine Verletzung der Vertraulichkeit (z. B. Abfluss von Daten einschließlich Passwörtern und Signaturen).
 

Was bedeutet das für Betreiber?

Betreiber von sicherheitsrelevanten MSR-Einrichtungen (Mess-, Steuer und Regeleinrichtungen) und überwachungsbedürftigen Anlagen sind verpflichtet, die Anforderungen der TRBS 1115-1 einzuhalten. Als sicherheitsrelevante MSR-Einrichtungen gelten dabei laut TRBS 1201 (auf die in TRBS 1115-1 verwiesen wird): „Mess-, Steuer- und Regeleinrichtungen an Arbeitsmitteln, die deren sicherer Verwendung dienen“ (TRBS 1201, 2.10). Zu den überwachungsbedürftigen Anlagen zählen zudem – gemäß Betriebssicherheitsverordnung – solche Anlagen, von denen besondere Gefährdungen für Personen ausgehen, das sind beispielsweise Aufzugsanlagen, Anlagen in explosionsgefährdeten Umgebungen (laut Anhang 2 BetrSichV), Dampfkessel- oder Druckanlagen (§ 18 BetrSichV).

Für die betroffenen Arbeitsmittel sind eine Reihe von Maßnahmen vorgeschrieben, die darauf abzielen, ihre Verfügbarkeit, Integrität und Vertraulichkeit sowie eine sichere Funktion während des gesamten Lebenszyklus zu gewährleisten. Zu diesen Maßnahmen gehören:

  • die Durchführung einer umfassenden Gefährdungsbeurteilung durch fachkundiges Personal zur Identifikation und Bewertung möglicher Cyberrisiken,
  • die Ermittlung und Implementierung erforderlicher Cybersicherheitsmaßnahmen basierend auf der Gefährdungsbeurteilung, darunter z. B. die Segmentierung von Netzwerken, Zugangs- und Zugriffskontrollen sowie ein Notfallmanagement,
  • die Dokumentation der Cybersicherheitsmaßnahmen (gem. § 3 Abs. 8 BetrSichV),
  • die Umsetzung der Cybersicherheitsmaßnahmen während des gesamten Sicherheitslebenszyklus von Hardware und Software,
  • die regelmäßige Überprüfung der Cybersicherheitsmaßnahmen.

Bei Nichteinhaltung der TRBS 1115-1 müssen Betreiber sowohl mit haftungsrechtlichen als auch strafrechtlichen Konsequenzen rechnen. Dies gilt insbesondere dann, wenn es aufgrund eines Cybersicherheitsvorfalls zu Personenschäden kommt und die Einhaltung der Vorgaben der TRBS 1115-1 nicht nachgewiesen werden kann. Konkret bedeutet das nicht nur mögliche Probleme mit Berufsgenossenschaften und Arbeitsschutzbehörden, sondern auch empfindliche haftungsrechtliche Folgen. Zudem können Bußgelder verhängt werden; in schweren Fällen kann sogar der Betrieb der Anlage untersagt werden. Auch drohen in solchen Fällen strafrechtliche Verfahren mit möglichen Freiheitsstrafen für die Verantwortlichen.

 

Normen und Standards, die Orientierung bieten

Die gute Nachricht: Bei der Umsetzung der Cybersicherheitsanforderungen müssen Betreiber nicht im luftleeren Raum agieren. Die TRBS 1115-1 empfiehlt in Anhang 2 u. a. die Normenreihen IEC 62443 und ISO/IEC 27000 (IEC 27K) sowie verschiedene Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) als konkrete Orientierung.

Tatsächlich bietet die Normenreihe ISO/IEC 27000 Empfehlungen und Best Practices für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) zur Verbesserung der Cybersicherheit. Mit ihrem Ziel, Unternehmen bei der Umsetzung gesetzlicher Vorgaben und Compliance-Richtlinien zu unterstützen, enthält sie auch Ansatzpunkte zur konkreten Umsetzung der TRBS-1115-Vorgaben. Als Kernstandard beschreibt ISO/IEC 27001 dabei die konkreten Anforderungen z. B. in Hinblick auf Gefährdungsbeurteilung, Planung und Umsetzung von Sicherheitsmaßnahmen (basierend auf den identifizierten Risiken) oder die Dokumentation der Sicherheitsmaßnahmen und -prozesse.

Die IEC 62443 basiert in Teilen auf ISO/IEC 27001. Als anerkannter Standard für die Implementierung von Cybersicherheit in industriellen Umgebungen unterstützt sie Betreiber mit Leitlinien zum Ablauf von Sicherheitsanalysen, zu konkreten Sicherheitsmaßnahmen wie Authentifizierung und Verschlüsselung oder zum Vorgehen bei der Segmentierung von Netzen (in Zonen und Zonenübergänge). Andere Aspekte wie z. B. Metriken zur Cybersecurity-Bewertung oder eine Beschreibung des Sicherheitslebenszyklus befinden sich aber derzeit noch im Entwurfsstadium.

 

Herausforderung bei der Umsetzung

Auch wenn Betreiber mit den in Anhang 2 der TRBS empfohlenen Standards z. T. recht konkrete Hilfestellung bei der Umsetzung der Cybersicherheitsanforderungen erhalten, stellt die Komplexität dieser Anforderungen für viele Unternehmen doch eine nicht geringe Herausforderung dar. Das gilt insbesondere dort, wo es um die Integration von Cybersicherheitsmaßnahmen in bestehende MSR-Einrichtungen und überwachungsbedürftige Anlagen geht, denn diese erfordert nicht nur Kenntnisse zur Identifikation und Minderung von Cyberbedrohungen, sondern auch eine sorgfältige Planung, um die Funktionalität und den laufenden Betrieb nicht zu beeinträchtigen.

Zudem ist eine gute Kenntnis der Normen und Erfahrung bei ihrer Umsetzung nahezu unumgänglich. Auch die Erstellung und Pflege einer umfassenden Dokumentation zur Cybersicherheit bereitet Unternehmen häufig Schwierigkeiten, ebenso wie eine regelmäßige Überprüfung und Anpassung der Schutzmaßnahmen. Für viele Betreiber ist dies nicht nur eine Frage fehlenden internen Know-hows im Bereich Cybersicherheit, sondern auch eine Frage der personellen Kapazitäten.

 

Wie kann NewTec Betreiber bei der Umsetzung der TRBS 1115-1 unterstützen

Die vom TÜV Rheinland zertifizierten CySec Specialists der Newtec GmbH prüfen, ob die Anforderungen der TRBS 1115-1 bezüglich Cyberbedrohungen in Hinblick auf einen sicheren Anlagenbetrieb umgesetzt wurden. Aber nicht nur: Als erfahrener Dienstleister unterstützen wir Betreiber auch umfassend bei der Umsetzung und Einhaltung der Anforderungen sowie der Dokumentation. Hierfür hat sich ein strukturiertes und praxisorientiertes Vorgehen bewährt.

In einem eintägigen Workshop wird dabei zunächst ein umfassendes Verständnis des regulatorischen Umfelds, der Grundlagen der Gefährdungsbeurteilung sowie der Anforderungen an die Dokumentation gemäß TRBS 1115-1 vermittelt. Dieser Schritt ist die Basis für eine nachhaltige Kompetenzentwicklung im Unternehmen. Am Ende des Workshops erhalten die Teilnehmenden ein Teilnahmezertifikat, das bei Audits nach TRBS 1115-1 als Nachweis vorhandener Kenntnisse im Bereich Cybersicherheit dient.

Im zweiten Schritt stellen wir sicher, dass die relevanten Aspekte der TRBS 1115-1 fachgerecht umgesetzt und dokumentiert werden: Wir unterstützen Betreiber bei der Analyse des bestehenden Sicherheitskonzepts, der Erstellung einer Gefährdungsbeurteilung, der Erstellung und Umsetzung eines Maßnahmenkatalogs sowie bei einer detaillierten Dokumentation.

______

Unsere Leistungen im Überblick:

  • Kick-Off-Workshop für ein umfassendes Verständnis des regulatorischen Umfelds, der anzuwendenden Methoden und der zu erstellenden Artefakte zur Erfüllung der Anforderungen 
  • Prüfung des Sicherheitskonzeptes und Gefährdungsbeurteilung
  • Risikobewertung und Maßnahmenplanung
  • Erstellung eines Maßnahmenkatalogs
  • Begleitung und Unterstützung bei der Umsetzung der Schutzmaßnahmen
  • Erstellung der notwendigen Dokumentation

______

Kontaktieren Sie uns: Kontakt
Oder rufen Sie uns an unter +49 7302 9611-0

Kommentare

Keine Kommentare

Kommentar schreiben

* Diese Felder sind erforderlich

Neue Regularien, erweiterte Standards – was kommt 2024 auf Hersteller zu?
Publiziert

In Hinblick auf die Sicherheit von Produkten und Prozessen müssen sich Unternehmen und Organisationen im laufenden Jahr auf neue gesetzliche und normative Anforderungen einstellen. Für Hersteller treten in den nächsten Jahren höhere Cybersecurity-Standards ein. Das betrifft beispielsweise das Risiko- und Schwachstellenmanagement, Meldepflichten oder produktlebenslange Security-Updates.

NewTec Magazin "safeNTsecure" – Ausgabe 2024
Publiziert

Mit dieser Ausgabe des NewTec Magazins "safeNTsecure" laden wir Sie zur Lektüre der vielen frischen Themen, die Sie in diesem Magazin finden ein – beispielsweise über die Einsatzmöglichkeiten von Ethernet oder über die Frage, was mit dem Cyber Resilience Act der EU auf uns zukommt.

Digitalisierung im Maschinenbau: Chancen, Herausforderungen und Lösungen
Publiziert

Für Maschinenbauer spielen Industrie 4.0 und Industrial Internet of Things (IIoT) heute eine Schlüsselrolle. Denn ihre Kunden wollen schnell konkrete IIoT-Szenarien umsetzen, z. B. Downtimes, Werkzeugverschleiß oder Umstellungszeiten messen, die Qualität überwachen, Prozesse automatisieren oder die Wartung optimieren. Teil 2 unserer kleinen Beitragsreihe zur Digitalisierung zeigt, wie Maschinenbauer die damit verbundenen Herausforderungen bewältigen können.