Cybersecurity bei überwachungsbedürftigen Anlagen – Was müssen Betreiber aktuell beachten?
Seit dem 01.01.2023 rückt bei der Prüfung von überwachungsbedürftigen Anlagen durch unabhängige Sachverständige neben der funktionalen Sicherheit nun auch die Cybersicherheit mit ins Blickfeld. Dies ist in erster Linie der Tatsache geschuldet, dass aufgrund von zunehmender Vernetzung und Digitalisierung technischer Systeme die Gefahr von unautorisierten Zugriffen, im schlimmsten Fall durch krimininelle Hacker, wesentlich gestiegen ist.
Wenn Angreifer in die Sicherheitsfunktionen überwachungsbedürftiger Anlagen, wie Druckanlagen, Anlagen in explosionsgefährdeten Bereichen oder Aufzuganlagen, vordringen und diese manipulieren, entstehen neben wirtschaftlichen Risiken in der Regel immer auch Gefährdungen für Leib und Leben.
Um hier gegenzusteuern und Gefahren zu minimieren, haben die für solche Prüfungen zuständigen „Zugelassenen Überwachungsstellen“ (ZÜS) in einem aktuellen Beschluss ihres ZÜS-Erfahrungsaustauschkreises (EK-ZÜS) die grundlegenden Anforderungen an Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen formuliert.
Beschluss „Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen“ der zugelassenen Überwachungsstellen
In diesem Beschluss sind die für die ZÜS geltenden Mindestanforderungen festgeschrieben, die die unabhängigen Sachverständigen anzuwenden haben, wenn sie die Maßnahmen von Arbeitgebern bzw. Betreibern gegen Cyberbedrohungen im Rahmen der Prüfungen nach Betriebssicherheitsverordnung (BetrSichV) für die überwachungsbedürftigen Anlagen - vor Inbetriebnahme, nach prüfpflichtiger Änderung oder wiederkehrend - beurteilen. Die BetrSichV gibt dabei den rechtlichen Rahmen vor und definiert die Sicherheits- und Gesundheitsschutzanforderungen für die Beschäftigten bei der Verwendung von Arbeitsmitteln. Auch überwachungsbedürftige Anlagen gelten in diesem Zusammenhang als Arbeitsmittel, für die durch den Arbeitgeber eine entsprechende Gefährdungsbeurteilung zu erstellen ist.
Der Fakt, dass die Anlagen immer digitaler und vernetzter arbeiten, muss sich deshalb nunmehr explizit in den Gefährdungsbeurteilungen niederschlagen und insbesondere bei sicherheitsgerichteten Mess-, Steuer- und Regeleinrichtungen (MSR) sind die Gefährdungsmöglichkeiten durch Cyberangriffe zwingend zu bewerten. Hierzu gibt bereits seit 2019 die Empfehlung für die Betriebssicherheit (EmpfBS 1115, "Umgang mit Risiken durch Angriffe auf die Cyber-Sicherheit von sicherheitsrelevanten MSR -Einrichtungen") Hinweise für Risikoermittlung und Reduzierungsmaßnahmen hinsichtlich der Gefahren durch Cyberangriffe. Diese von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlichte Empfehlung richtet sich an Arbeitgeber, die im Rahmen der Betriebssicherheitsverordnung (BetrSichV) eine Gefährdungsbeurteilung im Hinblick auf die sichere Verwendung von Arbeitsmitteln durchzuführen und daraus geeignete Schutzmaßnahmen abzuleiten haben. Der Beschluss der ZÜS leitet nun aus der Empfehlung EmpfBS 1115 die Grundanforderungen an die Cybersicherheit in überwachungsbedürftigen Anlagen ab.
Was kommt auf den Betreiber/Arbeitgeber zu?
Die ZÜS-Prüfer werden bei den Prüfungen nunmehr unter anderem darauf achten, dass der Betreiber im Rahmen der Gefährdungsbeurteilung ermittelt hat, ob sicherheitsrelevante MSR-Einrichtungen oder autarke Sicherheitseinrichtungen durch Kompromittierung aufgrund eines Cyberangriffes derart verändert werden können, dass sie ihre Funktion nicht mehr hinreichend zuverlässig erfüllen. Im gleichen Zusammenhang wird der Frage nachgegangen, ob in diesem Fall Maßnahmen definiert worden sind, die die Cyberbedrohungen nach dem Stand der Technik und den Maßgaben der technischen Vernunft abwehren könn(t)en.
Ein weiteres Augenmerk wird darauf gelegt, wie bei der Zusammenführung von Komponenten bzw. Teilsystemen zu einer Komplettanlage bzw. einem vollständigen System alle aus den Teilkomponenten stammenden erforderlichen Cybersicherheitsmaßnahmen oder evtl. vorhandene Herstellervorgaben Eingang gefunden haben in die Bewertung der Gesamtanlage.
Zudem findet eine Beurteilung des Schutzes von Hard- und Softwarekomponenten einschließlich ihrer nutzbaren Schnittstellen sowie der zugehörigen Daten gegen mögliche Cyberbedrohungen statt. Ebenso wird das Schutzniveau hinsichtlich möglicher Prozesse, Organisationen und Personen, die die schutzbedürftigen Einrichtungen beeinflussen können, beurteilt.
Der Beschluss Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen enthält für denjenigen, der zur Erstellung der Gefährdungsbeurteilung verpflichtet ist, auch wichtige Hinweise für die geeignete Vorgehensweise zur Beurteilung von Cyberbedrohungen. Diese dienen der Orientierung bei der Erstellung der Gefährdungsbeurteilung. Darüber hinaus sind auch die Prüfschritte der unabhängigen Sachverständigen beschrieben sowie Prüfaussagen und Mängeldefinitionen niedergelegt. Damit steht den Arbeitgebern bzw. Betreibern bei aller Komplexität des Themas dennoch ein Instrumentarium zu Verfügung, mit Hilfe dessen sie aus verschiedenen Blickwinkeln die jeweilige Sachlage ausreichend beurteilen und gegebenenfalls geeignete Schutzmaßnahmen können.
Im folgenden Video erfahren Arbeitgeber und Betreiber Details zur Cybersicherheit an überwachungsbedürftigen Anlagen. Es wird auch auf den hier thematisierten Beschluss Prüfung der Maßnahmen des Betreibers gegen Cyberbedrohungen von überwachungsbedürftigen Anlagen eingegangen: