Cybersecurity für viele Unternehmen längst Alltag

Die Digitalisierung schreitet immer schneller voran und wirkt sich längst auf so gut wie alle Lebensbereiche aus. Für Wirtschaft und Industrie sind damit aber nicht nur Chancen, sondern auch große Risiken verbunden...

Weil vernetzte Systeme in der digitalen Welt an immer mehr Stellen zum Einsatz kommen, bieten sich auch immer mehr mögliche Einfallstore für Cyberattacken. Der wirtschaftliche Schaden der Hacker-Angriffe ist seit Jahren enorm.

Die Angreifer haben es dabei längst nicht mehr nur auf die Verschlüsselung oder den Diebstahl von Daten abgesehen, zunehmend sind auch technische Anlagen im Visier von Cyberkriminellen. Die Cybersecurity-Experten des TÜV Thüringen empfehlen Betreibern daher, die Cybersicherheit unbedingt bereits in der Gefährdungsbeurteilung von Anlagen und Arbeitsmitteln zu betrachten und wirksame Maßnahmen zu deren Schutz festzulegen.

Bei den meisten in der Öffentlichkeit diskutierten Cyberangriffen auf IT-Systeme stehen finanzielle Schäden, die für das betroffene Unternehmen in Einzelfällen durchaus auch existenzbedrohend sein können, im Mittelpunkt. Bei Cyberattacken auf technische Anlagen kommt allerdings noch ein weiterer Aspekt hinzu: Durch einen erzwungenen Stilstand oder eine anderweitige Manipulation von Anlagen kann nicht nur die Produktion betroffen sein, auch eine direkte Gefährdung für Mensch und Umwelt ist nicht auszuschließen. In Folge falscher Bedienung oder der Aushebelung von Sicherheitseinrichtungen kann von Maschinen und Arbeitsmitteln ein unmittelbares Gefahrenpotenzial ausgehen. Noch größere Auswirkungen sind denkbar, wenn kritische Infrastruktur (KRITIS) oder aber überwachungsbedürftige Anlagen betroffen sind. Bei letzteren muss von einem hohen Gefährdungspotenzial durch hohe Drücke, Explosionsgefahr oder aber einer Absturzgefahr in einer Aufzugsanlage ausgegangen werden. Durch die neuen Cybergefährdungen sind die für die Prüfung solcher Anlagen zugelassenen Überwachungsstellen zusätzlich gefragt.

Auch im Zeitalter der Digitalisierung gilt, dass der Betreiber beziehungsweise Arbeitgeber die Verantwortung für die Sicherheit technischer Anlagen und Arbeitsmittel trägt. Er hat dafür Sorge zu tragen, dass niemand durch den Betrieb der Anlagen zu Schaden kommt. Dafür muss er die Technischen Regeln zur Betriebssicherheit und die Betriebssicherheitsverordnung befolgen.

Hierbei stand bisher vorrangig die funktionale und physikalische Gefahrenabwehr im Fokus. Mit dem in Deutschland vorherrschenden System einer regelmäßigen Prüfung durch unabhängige Dritte wird in aller Regel für ausreichenden Schutz vor technischem Versagen gesorgt. „Leider ist die Konzentration auf funktionale Sicherheit heute nicht mehr ausreichend. Durch Cyberbedrohungen muss die Technik nicht nur auf die von ihr ausgehenden Gefährdungen geprüft werden, sondern es müssen auch manipulative Eingriffe von Dritten von vorneherein ausgeschlossen werden“, sagt Cybersecurity-Experte Sascha Dörfel vom TÜV Thüringen. „Ist eine Anlagensteuerung einmal durch Schadsoftware kompromittiert, kann dadurch nicht nur ein Ausfall der Anlage erreicht werden.

Angreifern ist es je nach Anlage auch möglich, bedienende oder zufällig in der Nähe befindliche Personen gezielt in Gefahr zu bringen. Um eine unmittelbare oder mittelbare Gefährdung von Personen durch die Anlage zu vermeiden, müssen die schutzbedürftigen Einrichtungen der operativen Technologie einer überwachungsbedürftigen Anlage heute auch vor gezielt ausgelösten Störungen gesichert sein“, so der Experte. „Cybersicherheit wird in der Betriebssicherheitsverordnung nicht explizit ausgeschlossen. Wir legen daher allen Anlagenbetreibern ans Herz, die Cybersicherheit bereits in der Gefährdungsbeurteilung zu betrachten, entsprechende Schutzmaßnahmen festzulegen und diese entsprechend zu dokumentieren“, empfiehlt Sascha Dörfel.

Nach neuester Lesart der Technischen Regel Betriebssicherheit (TRBS) und der Betriebssicherheitsverordnung muss der Betreiber sogar im Rahmen der Gefährdungsbeurteilung ermitteln, ob sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR), nicht sicherheitsrelevante MSR-Einrichtungen und autarke Sicherheitseinrichtungen durch Kompromittierung derart verändert werden können, dass sie ihre Funktion nicht mehr hinreichend zuverlässig erfüllen oder aber von ihr sogar Gefährdungen von Beschäftigten oder anderen Personen ausgelöst werden können. Cybersicherheit wird damit zu einem ganz wesentlichen Bestandteil bei der Sicherheitsbewertung von technischen Anlagen, Maschinen und Arbeitsmitteln.

Das betrifft eine Prüfung vor Inbetriebnahme genauso wie die wiederkehrenden Prüfungen oder aber eine Prüfung vor der Wiederinbetriebnahme nach einer prüfpflichtigen Änderung. „Das Ergebnis einer solchen Betrachtung kann auch bedeuten, das Cybersicherheit für die betreffende Anlage oder Steuerung keine Rolle spielt. Wichtig ist aber, dass der Betreiber diese Überlegungen bei der Gefährdungsbeurteilung mit einbezogen und sie auch dokumentiert hat“, ergänzt Cybersecurity-Experte Sascha Dörfel.