Cybersicherheit

Hi,

Praxistipp: Schuster bleib bei deinen Leisten!

Lass die Finger von dem Thema, wenn du nicht über die erforderliche Fachkunde verfügst.

schöne Grüße

Du kannst da eigentlich nur in begrenztem Maße Input geben...

- Laufen die Sicherheitsmaßnahmen weiter, wenn die Prozesse von außen angegriffen werden (Sicherheitsabschaltungen an Anlagen, Maschinen...)

- Kann es passieren, dass Personen in Aufzügen gefangen werden können - kann man das System Überbrücken

- Würde die Rettungskette bei einem Ausfall der VoIP-Anlage funktionieren

- ...

Wir haben diesbezüglich eine Einladung vom TÜV Süd erhalten, da unsere Aufzüge von außen angreifbar sind und die GBU auf Cybersicherheit erweitert werden muss

Gibt es zufällig jemanden der dazu schonmal eine GBU angefertigt hat?

Der TÜV Süd bietet hierzu auch kostenlos ein WEBINAR an, das ich empfehlen kann!

Im Englischen ist es klarer unterteilt, mit "Safety" und "Security". Die Cyber-Sparte ist eine Aufgabe der IT im Betrieb, auch wenn die Mitarbeiter im Fahrstuhl festgesetzt werden können. Aber dass passiert auch bei einem Ausfall, wo dann ja der Techniker kommt (und hoffentlich nicht zu lange braucht).

Da solche Dinge auch in den Bereich Terror fallen, gibt es dazu auch einen Sicherheitsbericht. Eine Gefährdungsbeurteilung nach ArbSchG, BetrSichV usw. eher weniger. Hier wären wir im Englischen nämlich bei "Security" und nicht bei "Safety".

Zitat von Hafensifa

Im Englischen ist es klarer unterteilt, mit "Safety" und "Security". Die Cyber-Sparte ist eine Aufgabe der IT im Betrieb, auch wenn die Mitarbeiter im Fahrstuhl festgesetzt werden können. Aber dass passiert auch bei einem Ausfall, wo dann ja der Techniker kommt (und hoffentlich nicht zu lange braucht).

Da solche Dinge auch in den Bereich Terror fallen, gibt es dazu auch einen Sicherheitsbericht. Eine Gefährdungsbeurteilung nach ArbSchG, BetrSichV usw. eher weniger. Hier wären wir im Englischen nämlich bei "Security" und nicht bei "Safety".

Da muss ich dir widersprechen

Unser Gesetzgeber hat die

Technischen Regel für Betriebssicherheit (TRBS 1115-1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen")

im März 2023 beschlossen

kannst auch hier schauen TÜV Süd

Man muss nicht jede Regel auf sich beziehen. Es gibt so eine Regel und die GL hat sich entsprechend durch Fachleute beraten zu lassen. Nur ist das nicht automatisch die SiFa.

Zitat von Suzana_Ulm

Cybersicherheit TRBS 1115 Teil 1. Wie geht ihr damit um?

Bei uns sehe ich aktuell keine konkreten Bedarfe, bei unseren Kunden allerdings schon.

Da ich dort auch mit IT-Sicherheit zu tun habe, habe ich den Hinweis auf die TRBS 1115-1 mal den für die IT-Sicherheit beauftragten Subs gesteckt.

Ich gehe ferner davon aus, daß das bei den ggf. anstehenden ISO 27001 Audits ein Thema werden könnte, je nachdem, wie ernsthaft die betrieben werden und was die Bundesnetzagentur noch so an Aufgaben mitliefert. Bei einem früheren Kunden war das da auf der Agenda.

Hallo Suzana_Ulm,

die TRBS zur Cybersicherheit richtet sich nicht an die IT. Sie richtet sich an den Arbeitgeber, der sich Hilfe bei entsprechend fachkundigen Personen holfen kann, z.B. auch die SiFa. In der TRBS findest Du auch mögliche Maßnahmen. Auch die notwendige Dokumentation dazu wird genannt. Insofern ist es grundsätzlich möglich Maßnahmen abzuleiten, wenn man die Grundlagen beherscht.

Zitat von Suzana_Ulm

Wenn das System gehackt ist, kann ich doch eigentlich auch auf die GB des Arbeitsmittels verweisen oder?

Grundsätzlich sollen die in der TRBS 1115 Teil 1 genannten Maßnahmen den Angriff im Vorfeld verhindern, z.B. durch das "Abschalten" nicht benötigter Zugänge. Der Verweis auf die GBU ist somit nicht ausreichend, sondern es ist vielmehr eine Betrachtung der Gefahren und daraus abzuleitender Maßnahmen in der GBU durchzuführen.

Was aber auch in der TRBS zu finden ist (wie von MrH bereits geschrieben) ist die notwendige Fachkunde (z.B. Kenntnisse im MSR-Bereich). Insofern solltest Du Deinen AG darauf hinweisen, dass Du entsprechende Unterstützung benötigst.

Viele Grüße

Stephan

Ich muss dieses Thema nochmal ausgraben. Wir haben vom TÜV, der sich um die Wartung und Prüfung unserer Aufzugsanlagen kümmert, in der letzten Woche ein Schreiben bekommen. Kurz und knapp steht im Schreiben "Sie müssen als Betreiber einer Aufzugsanlage eine Bewertungsgrundlage für mögliche Cyber-Bedrohungen erstellen."

Nun stellt sich uns gerade die Frage, was genau für uns da überhaupt zu tun ist (mein Chef kam gerade mit dem Brief zu mir). Unsere Aufzüge sind z.T. historisch, die sind nicht vernetzt und haben nur eine Notruf-Aufschaltung, da dies eine Grundforderung ist. Das bedeutet, dass, wenn unsere Aufzüge gehackt werden, dann höchstens von der Feuerwehr mit einer Axt. An die Steuerung kommt man von extern nicht ran, da keine Netzwerkanbindung. Zusätzlich werden die Aufzüge selten für Personentransport genutzt, der eine, weil viele das "alte Ding" nicht nutzen wollen, der andere, da es sich hier um einen Lastenaufzug handelt.

Ich bin mir etwas unsicher, was genau ich meinem Chef empfehlen soll. Habt ihr vielleicht Ideen? Es geht mir nicht um die Thematik "das ist nicht Sifa-Aufgabe", es geht mir wirklich darum, einen Lösungsvorschlag zu generieren, mit dem wir hier arbeiten können.

Vielleicht solltet Ihr genau diese offensichtliche Resistenz des Systems gegenüber Cyberangriffen dokumentieren? Sammelt die technischen Unterlagen zu der Aufzuganlage und erstellt ggf. ein Schema der Beschaltung der Steuerung.

Der TÜV SÜD hat gute FAQ dazu:
Cybersicherheit bei Aufzügen | TÜV SÜD (tuvsud.com)

Was sind sicherheitsrelevante MSR-Einrichtungen und habe ich überhaupt welche?

"Sicherheitsrelevante MSR-Einrichtungen dienen der Verhinderung von Gefährdungen bei der Verwendung von Arbeitsmitteln, die nicht durch inhärent sichere Konstruktion des Arbeitsmittels oder durch trennende Schutzeinrichtungen beseitigt oder ausreichend vermindert werden können", so steht es im Gemeinsamen Ministerialblatt 720. Was sperrig klingt, meint im Aufzugsbereich, dass sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen dann vorhanden sind, wenn die Sicherheit mit Hilfe von programmierbarerer Elektronik gewährleistet wird, anstelle von konventioneller Elektrik und Mechanik.

Ob an Ihrer Anlage sicherheitsrelevante MSR-Einrichtungen verbaut sind, lässt sich pauschal nicht beantworten. Informationen hierzu finden Sie in Ihrer Anlagendokumentation oder in netinform, dem zentralen Ort für die digitale Organisation Ihrer Anlagenprüfung.

Aber: Als Betreiber sind in der Gefährdungsbeurteilung stets alle Gefährdungen zu betrachten. Die TRBS 1115-1 ist eine Vorgabe wie Cyberbedrohungen an sicherheitsrelevanten MSR-Einrichtungen zu behandeln sind. Sie können das Vorgehen aber analog für alle potenziellen Gefährdungen durch Cyberbedrohungen nutzen- nicht nur für Gefährdungen an sicherheitsrelevanten MSR-Einrichtungen, sondern auch für Cyberbedrohungen z. B. am Notrufsystem."

Solltet ihr keine sicherheitsrelevanten MSR-Einrichtungen haben, könnt ihr das in der Gefährdungsbeurteilung vermerken.

Sonst würde ich den Prüfer fragen, der Eure Anlage geprüft hat.

JS