Der Anlagensicherheitsreport wird vom TÜV-Verband unter Mitwirkung aller deutschen Zugelassenen Überwachungsstellen (ZÜS) erstellt. Die Expertinnen und Experten beobachten, dass mit der zunehmenden Zahl der Cyberangriffe auf deutsche Unternehmen auch das Bewusstsein für die damit verbundenen Gefahren und Risiken zugenommen hat. „Wir diskutieren nicht mehr darüber, ob man Cybersecurity braucht“, sagt Jörg Becker, Leiter des Kompetenzzentrums Cybersecurity der TÜV SÜD Industrie Service GmbH. „Wir diskutieren darüber, was zu tun ist.“ Für sinnvoll hält der Experte ein pragmatisches Vorgehen in drei Schritten: Im ersten Schritt müssen Unternehmen die Systeme identifizieren, die für Cybersicherheit relevant sind. Im zweiten Schritt geht es darum, die Folgen eines Angriffs auf diese Systeme zu bewerten und im dritten Schritt werden die konkreten Maßnahmen definiert, die für einen Schutz der Systeme erforderlich sind.
Cybergefahren ermitteln und Gegenmaßnahmen festlegen
Die Betreiber von überwachungsbedürftigen Anlagen können sich bei der Suche nach geeigneten Schutzmaßnahmen an der Technischen Regel für Betriebssicherheit (TRBS) 1115-1 orientieren, die im vergangenen Jahr verabschiedet wurde. „Im Kern geht es darum, dass Anlagenbetreiber im Rahmen ihrer Gefährdungsbeurteilung auch Cyberbedrohungen berücksichtigen und entsprechende Gegenmaßnahmen festlegen müssen, wenn Arbeitnehmer oder Personen im Gefahrenbereich durch einen Cyberangriff gefährdet werden können“, erklärt Becker. „Relevant sind hier vor allem die sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen. Manchmal kann ein gefährlicher Zustand aber auch durch Manipulationen an anderen Anlagenteilen hervorgerufen werden. Dann sind auch diese zu schützen.“ Nicht betroffen von dieser Regelung sind Anlagen, deren Sicherheitsfunktionen rein mechanisch oder analog aufgebaut sind und deren sicherer Betrieb nicht durch einen Cyberangriff gefährdet ist.
Die TRBS 1115-1 beschreibt die Vorgehensweise zur Auswahl von geeigneten Schutzmaßnahmen, die in sechs Bereiche untergliedert werden: Hardwarearchitektur und Segmentierung, Zugangs- und Zugriffskontrolle, sichere Installation und Änderungen von Schutzmaßnahmen, Funktionsreduktion und Härtung, Überwachung von Hardware und Software inklusive ihrer Kommunikation und Notfallmanagement. „Jedes Unternehmen muss sich für jeden dieser Bereiche überlegen, welche Maßnahmen für einen ausreichenden Schutz erforderlich sind“, erklärt Becker. „Die ‚Klassiker‘ sind Virenscanner oder Passwortschutz. Das Repertoire an Maßnahmen ist aber viel größer. Daher können Cybersicherheitskonzepte daher unterschiedlich ausfallen.“
In Zukunft prüfen die ZÜS im Rahmen der gesetzlich vorgeschriebenen Prüfungen von überwachungsbedürftigen Anlagen auch, ob die Mindestanforderungen der TRBS 1115-1 umgesetzt und ausreichende Schutzmaßnahmen festgelegt wurden. Um vor allem kleine und mittlere Unternehmen nicht zu überfordern, gibt es einen schrittweisen Übergang bzw. eine schrittweise Erweiterung des Prüfumfangs und der Prüftiefe. Bereits seit 2023 wird eine unzureichende Umsetzung der Vorgaben als Mangel bewertet. Seit dem 1. April 2024 sind die ZÜS zu einer umfangreicheren Prüfung verpflichtet, die sich erst einmal auf die Dokumentation und Plausibilität der Maßnahmen bezieht. In Zukunft soll auch die technische Umsetzung und die Funktionsfähigkeit der Schutzmaßnahmen an den Anlagen selbst geprüft werden.
Überwachungsbedürftige Anlagen und Anlagensicherheitsreport
Überwachungsbedürftige Anlagen sind Arbeitsmittel, von denen besondere Gefährdungen ausgehen. Dazu zählen Aufzugsanlagen, Anlagen in explosionsgefährdeten Bereichen und Druckanlagen. Im Anlagensicherheitsreport veröffentlicht der TÜV-Verband jedes Jahr eine Auswertung der gesetzlich vorgeschriebenen Prüfungen von überwachungsbedürftigen Anlagen. Den aktuellen Anlagesicherheitsreport 2024 mit allen Statistiken und Fachbeiträgen zu aktuellen Themen gibt es auf den Seiten des TÜV-Verbandes als PDF zum Download.