Cybersicherheit

ANZEIGE
Werbung auf Sifaboard
  • Hallo alle zusammen!

    Ich habe beim Kunden gerade das Thema Cybersicherheit TRBS 1115 Teil 1. Wie geht ihr damit um? Eigentlich ist das doch eher eine IT Sache also gehört eher in die IT Abteilung. Ich weiß in etwa welche Sachen relevant sein könnten im Bereich Cybersicherheit aber die Maßnahemn dazu abzuleiten finde ich sehr schwierig, wenn man keine Kenntnisse über Cybersicherheit hat. Wenn das System gehackt ist, kann ich doch eigentlich auch auf die GB des Arbeitsmittels verweisen oder? Bin noch in der Ausbildung also entschuldigt mein mangelndes Wissen.

    Wäre sehr froh, wenn mir jemand ein paar Tips geben kann oder eine schöne Diskussion entstehen würde. Danke euch ;)

  • Du kannst da eigentlich nur in begrenztem Maße Input geben...

    - Laufen die Sicherheitsmaßnahmen weiter, wenn die Prozesse von außen angegriffen werden (Sicherheitsabschaltungen an Anlagen, Maschinen...)

    - Kann es passieren, dass Personen in Aufzügen gefangen werden können - kann man das System Überbrücken

    - Würde die Rettungskette bei einem Ausfall der VoIP-Anlage funktionieren

    - ...

    Beste Grüße aus Mainz

    E.weline

    Versicherung der Unsicherheit ist Sicherheit.

    Hanspeter Rigs (*1955), Dr. phil., deutscher Philosoph und Aphoristiker

  • Wir haben diesbezüglich eine Einladung vom TÜV Süd erhalten, da unsere Aufzüge von außen angreifbar sind und die GBU auf Cybersicherheit erweitert werden muss

    Liebe Grüße, bleibt gesund

    Alex

    Der Dumme sucht einen Schuldigen,

    der Intelligente eine Lösung !!!

  • Im Englischen ist es klarer unterteilt, mit "Safety" und "Security". Die Cyber-Sparte ist eine Aufgabe der IT im Betrieb, auch wenn die Mitarbeiter im Fahrstuhl festgesetzt werden können. Aber dass passiert auch bei einem Ausfall, wo dann ja der Techniker kommt (und hoffentlich nicht zu lange braucht).

    Da solche Dinge auch in den Bereich Terror fallen, gibt es dazu auch einen Sicherheitsbericht. Eine Gefährdungsbeurteilung nach ArbSchG, BetrSichV usw. eher weniger. Hier wären wir im Englischen nämlich bei "Security" und nicht bei "Safety".

    Glaube wenig, hinterfrage alles, denke selbst - Albrecht Müller

  • Im Englischen ist es klarer unterteilt, mit "Safety" und "Security". Die Cyber-Sparte ist eine Aufgabe der IT im Betrieb, auch wenn die Mitarbeiter im Fahrstuhl festgesetzt werden können. Aber dass passiert auch bei einem Ausfall, wo dann ja der Techniker kommt (und hoffentlich nicht zu lange braucht).

    Da solche Dinge auch in den Bereich Terror fallen, gibt es dazu auch einen Sicherheitsbericht. Eine Gefährdungsbeurteilung nach ArbSchG, BetrSichV usw. eher weniger. Hier wären wir im Englischen nämlich bei "Security" und nicht bei "Safety".

    Da muss ich dir widersprechen

    Unser Gesetzgeber hat die

    Technischen Regel für Betriebssicherheit (TRBS 1115-1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen")

    im März 2023 beschlossen

    kannst auch hier schauen TÜV Süd

    Liebe Grüße, bleibt gesund

    Alex

    Der Dumme sucht einen Schuldigen,

    der Intelligente eine Lösung !!!

  • Man muss nicht jede Regel auf sich beziehen. Es gibt so eine Regel und die GL hat sich entsprechend durch Fachleute beraten zu lassen. Nur ist das nicht automatisch die SiFa.

    Glaube wenig, hinterfrage alles, denke selbst - Albrecht Müller

  • Cybersicherheit TRBS 1115 Teil 1. Wie geht ihr damit um?

    Bei uns sehe ich aktuell keine konkreten Bedarfe, bei unseren Kunden allerdings schon.

    Da ich dort auch mit IT-Sicherheit zu tun habe, habe ich den Hinweis auf die TRBS 1115-1 mal den für die IT-Sicherheit beauftragten Subs gesteckt.

    Ich gehe ferner davon aus, daß das bei den ggf. anstehenden ISO 27001 Audits ein Thema werden könnte, je nachdem, wie ernsthaft die betrieben werden und was die Bundesnetzagentur noch so an Aufgaben mitliefert. Bei einem früheren Kunden war das da auf der Agenda.

    Gruß

    Thilo

    "...denn bei mir liegen Sie richtig!"

  • Hallo Suzana_Ulm,

    die TRBS zur Cybersicherheit richtet sich nicht an die IT. Sie richtet sich an den Arbeitgeber, der sich Hilfe bei entsprechend fachkundigen Personen holfen kann, z.B. auch die SiFa. In der TRBS findest Du auch mögliche Maßnahmen. Auch die notwendige Dokumentation dazu wird genannt. Insofern ist es grundsätzlich möglich Maßnahmen abzuleiten, wenn man die Grundlagen beherscht.

    Wenn das System gehackt ist, kann ich doch eigentlich auch auf die GB des Arbeitsmittels verweisen oder?

    Grundsätzlich sollen die in der TRBS 1115 Teil 1 genannten Maßnahmen den Angriff im Vorfeld verhindern, z.B. durch das "Abschalten" nicht benötigter Zugänge. Der Verweis auf die GBU ist somit nicht ausreichend, sondern es ist vielmehr eine Betrachtung der Gefahren und daraus abzuleitender Maßnahmen in der GBU durchzuführen.

    Was aber auch in der TRBS zu finden ist (wie von MrH bereits geschrieben) ist die notwendige Fachkunde (z.B. Kenntnisse im MSR-Bereich). Insofern solltest Du Deinen AG darauf hinweisen, dass Du entsprechende Unterstützung benötigst.

    Viele Grüße

    Stephan

    Respekt, Verständnis, Akzeptanz, Wertschätzung und Mitgefühl

  • Ich muss dieses Thema nochmal ausgraben. Wir haben vom TÜV, der sich um die Wartung und Prüfung unserer Aufzugsanlagen kümmert, in der letzten Woche ein Schreiben bekommen. Kurz und knapp steht im Schreiben "Sie müssen als Betreiber einer Aufzugsanlage eine Bewertungsgrundlage für mögliche Cyber-Bedrohungen erstellen."

    Nun stellt sich uns gerade die Frage, was genau für uns da überhaupt zu tun ist (mein Chef kam gerade mit dem Brief zu mir). Unsere Aufzüge sind z.T. historisch, die sind nicht vernetzt und haben nur eine Notruf-Aufschaltung, da dies eine Grundforderung ist. Das bedeutet, dass, wenn unsere Aufzüge gehackt werden, dann höchstens von der Feuerwehr mit einer Axt. An die Steuerung kommt man von extern nicht ran, da keine Netzwerkanbindung. Zusätzlich werden die Aufzüge selten für Personentransport genutzt, der eine, weil viele das "alte Ding" nicht nutzen wollen, der andere, da es sich hier um einen Lastenaufzug handelt.

    Ich bin mir etwas unsicher, was genau ich meinem Chef empfehlen soll. Habt ihr vielleicht Ideen? Es geht mir nicht um die Thematik "das ist nicht Sifa-Aufgabe", es geht mir wirklich darum, einen Lösungsvorschlag zu generieren, mit dem wir hier arbeiten können.

    Wer am wenigsten erreicht hat, prahlt oft am lautesten. - MAFEA-Analyse der offiziellen Geschichte des Imperiums - aus: Der Herzog von Caladan

    So verdammt wahr!

  • Vielleicht solltet Ihr genau diese offensichtliche Resistenz des Systems gegenüber Cyberangriffen dokumentieren? Sammelt die technischen Unterlagen zu der Aufzuganlage und erstellt ggf. ein Schema der Beschaltung der Steuerung.

    Arbeitsschutz ist wie Staubwischen.

  • Der TÜV SÜD hat gute FAQ dazu:
    Cybersicherheit bei Aufzügen | TÜV SÜD (tuvsud.com)

    Was sind sicherheitsrelevante MSR-Einrichtungen und habe ich überhaupt welche?

    "Sicherheitsrelevante MSR-Einrichtungen dienen der Verhinderung von Gefährdungen bei der Verwendung von Arbeitsmitteln, die nicht durch inhärent sichere Konstruktion des Arbeitsmittels oder durch trennende Schutzeinrichtungen beseitigt oder ausreichend vermindert werden können", so steht es im Gemeinsamen Ministerialblatt 720. Was sperrig klingt, meint im Aufzugsbereich, dass sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen dann vorhanden sind, wenn die Sicherheit mit Hilfe von programmierbarerer Elektronik gewährleistet wird, anstelle von konventioneller Elektrik und Mechanik.

    Ob an Ihrer Anlage sicherheitsrelevante MSR-Einrichtungen verbaut sind, lässt sich pauschal nicht beantworten. Informationen hierzu finden Sie in Ihrer Anlagendokumentation oder in netinform, dem zentralen Ort für die digitale Organisation Ihrer Anlagenprüfung.

    Aber: Als Betreiber sind in der Gefährdungsbeurteilung stets alle Gefährdungen zu betrachten. Die TRBS 1115-1 ist eine Vorgabe wie Cyberbedrohungen an sicherheitsrelevanten MSR-Einrichtungen zu behandeln sind. Sie können das Vorgehen aber analog für alle potenziellen Gefährdungen durch Cyberbedrohungen nutzen- nicht nur für Gefährdungen an sicherheitsrelevanten MSR-Einrichtungen, sondern auch für Cyberbedrohungen z. B. am Notrufsystem."


    Solltet ihr keine sicherheitsrelevanten MSR-Einrichtungen haben, könnt ihr das in der Gefährdungsbeurteilung vermerken.

    Sonst würde ich den Prüfer fragen, der Eure Anlage geprüft hat.

    JS

    Wahr sind nur die Gedanken, die sich selber nicht verstehen.