[datensicherheit.de, 23.03.2023] Die Vorgaben für den Schutz vor Cyber-Angriffen auf „überwachungsbedürftige Anlagen“ steigen laut einer aktuellen Stellungnahme des TÜV-Verband e.V.: „Die Betreiber der Anlagen sollten jetzt handeln und ihre bestehenden IT-Sicherheitskonzepte überprüfen“, rät Dr. Hermann Dinkler, Experte für Maschinen- und Anlagensicherheit beim TÜV-Verband. Er erläutert: „Auf Basis einer aktuellen Gefährdungsbeurteilung müssen die Betreiber entsprechende technische und organisatorische Maßnahmen für den Schutz vor digitalen Angriffen umsetzen.“

Zu überwachungsbedürftigen Anlagen gehören u.a. Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen

Zu den sogenannten überwachungsbedürftigen Anlagen gehörten unter anderem Aufzüge, Druckbehälter sowie Anlagen in explosionsgefährdeten Bereichen, darunter Tankstellen und Gasfüllanlagen. Diese Anlagen werden demnach regelmäßig von externen Sachverständigen überprüft, weil von ihnen ein besonders hohes Risiko für Leib und Leben ausgehen kann. Grundlage für die Umsetzung und Überprüfung der Schutzmaßnahmen der Cyber-Sicherheit sei die jetzt veröffentlichte Technische Regel Betriebssicherheit (TRBS) 1115-1 mit dem Titel „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“.

Dr. Dinkler führt aus: „Die neuen Anforderungen sind ein wichtiger Meilenstein, um die digitale Sicherheit überwachungsbedürftiger Anlagen auf ein höheres Level zu bringen.“ Die Technische Regel diene als Leitfaden für Betreiber und Sachverständige, mit dessen Hilfe sie die Vorgaben in der Praxis umsetzen könnten.

Auch Anlagen und Arbeitsmittel können ins Visier krimineller Hacker geraten

Hintergrund dieser neuen Regelungen sei die zunehmende Digitalisierung und Vernetzung technischer und industrieller Anlagen im sogenannten Internet der Dinge. „Angriffsziel von Cyber-Attacken sind meist die Netzwerke und Computersysteme von Unternehmen. Was dabei häufig übersehen wird: Auch Anlagen und Arbeitsmittel geraten ins Visier krimineller Hacker, wenn sie über digitale Schnittstellen verfügen oder mit dem Internet verbunden sind“, so Dr. Dinkler.

Viele Anlagen sind heute mit sogenannten Speicherprogrammierbaren Steuerungen (SPS) ausgestattet. Die meisten dieser SPS hätten Schnittstellen zur Aktualisierung oder Programmierung – zum Beispiel USB-Anschlüsse, Schnittstellen zu internen Netzwerken oder direkt zum Internet. „Es besteht die Gefahr, dass die SPS als Einfallstor für Schadsoftware genutzt wird. Die schädlichen Programme können die Anlagen selbst kompromittieren oder sich im Netzwerk der Organisation ausbreiten“, warnt Dr. Dinkler. Die Folgen könnten ein Ausfall einzelner Anlagen oder ein breit angelegter Cyber-Angriff sein, um die IT-Infrastruktur des Unternehmens lahmzulegen. Er ist überzeugt: „Die neuen Regelungen werden dazu beitragen, das Schutzniveau vor Cyber-Angriffen zu erhöhen.“

Vor allem für Arbeitssicherheit relevant: Technische Regel 1115-1 überwachungsbedürftiger Anlagen

Da die Technische Regel 1115-1 vor allem für die Arbeitssicherheit Relevanz habe, sei sie im „Ausschuss für Betriebssicherheit“ gemeinsam von Unternehmen, Länderbehörden, Gewerkschaften, der gesetzlichen Unfallversicherung und den zugelassenen Überwachungsstellen (ZÜS) ausgearbeitet und jetzt von der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin veröffentlicht worden.

Die für die Prüfungen zuständigen ZÜS hätten auf Grundlage der Technischen Regel in einem aktuellen Beschluss ihrerseits grundlegende Anforderungen an die Cyber-Sicherheit der Anlagen und ihrer Prüfung formuliert.

Weitere Informationen zum Thema:

baua: Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 22.03.2023
TRBS 1115 Teil 1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen / Technische Regel für Betriebssicherheit / Ausgabe: November 2022

EK ZÜS-Geschäftsstelle im TÜV-Verband, 16.11.2022
Beschluss des EK ZÜS

[datensicherheit.de, 13.06.2018] Zum „Stand der Technik“ hinsichtlich Datensicherheitsfragen gemäß IT-Sicherheitsgesetz und DSGVO hat der Bundesverband IT-Sicherheit e.V. (TeleTrusT) eine revidierte und erweiterte Handreichung veröffentlicht. Mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz / ITSiG) verfolgt der Gesetzgeber demnach das Ziel, Defizite der Sicherheit informationstechnischer Systeme abzubauen. Daneben gilt seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) mit ihren hohen Anforderungen an die technischen und organisatorischen Maßnahmen. Beide Rechtsquellen fordern die Orientierung der IT-Sicherheit am sogenannten Stand der Technik, lassen aber laut TeleTrusT unbeantwortet, was im Detail darunter zu verstehen ist.

Detaillierung technischer Anforderungen und Bewertungskriterien erforderlich

Der TeleTrusT hat nach eigenen Angaben seine Handreichung zum Stand der Technik überarbeitet und im Lichte neuer Erkenntnisse erweitert. Täglich zeigten Meldungen zu Sicherheitsverletzungen in Unternehmen und Behörden, dass dringender Handlungsbedarf zur Verbesserung der IT-Sicherheit bestehe.
Artikel 32 DSGVO regelt zur „Sicherheit der Verarbeitung“, dass „unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen sind.
Damit solle ein dem Risiko angemessenes Schutzniveau gewährleistet werden, z.B. durch Maßnahmen wie Verschlüsselung. Sowohl der nationale als auch der europäische Gesetzgeber enthielten sich jedoch konkreter, detaillierter technischer Anforderungen und Bewertungskriterien für die sicherheitsrelevanten technischen und organisatorischen Maßnahmen. Den Gesetzesadressaten würden auch keinerlei methodische Ansätze geliefert. Diese Ausgestaltung, zumal in einem dynamischen Marktumfeld, müsse den Fachkreisen überlassen bleiben.

Hilfestellung zur Bestimmung des Standes der Technik

TeleTrusT möchte die Rechtslage mit der fachlichen Kompetenz der organisierten IT-Sicherheitswirtschaft in Deutschland flankieren und ergänzen. Eine eigene Expertengruppe habe die bestehende „TeleTrusT-Handreichung zum Stand der Technik“ überarbeitet und ergänzt. Dieses Dokument gebe konkrete Hinweise und Handlungsempfehlungen.
„Unsere Handreichung zum Stand der Technik soll Unternehmen, Anbietern und Dienstleistern Hilfestellung zur Bestimmung des ,Standes der Technik‘ im Sinne des IT-Sicherheitsgesetzes und der Datenschutz-Grundverordnung geben. Das Dokument kann dabei als Referenz für vertragliche Vereinbarungen, Vergabeverfahren bzw. für die Einordnung implementierter Sicherheitsmaßnahmen dienen“, erläutert Rechtsanwalt Karsten U. Bartels LL.M. von HK2 Rechtsanwälte, zugleich TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“.
„Mit der Handreichung in der Auflage 2018 setzen wir einen weiteren Meilenstein in der Bestimmung des ,Standes der Technik‘ von technischen und organisatorischen Sicherheitsmaßnahmen. Das soll auch in Zukunft so bleiben“, betont Tomasz Lawicki von AC Schwerhoff, zugleich Leiter des TeleTrusT-Arbeitskreises „Stand der Technik“.
Die Handreichung verstehe sich als Ausgangspunkt bei der Ermittlung von gesetzlichen IT-Sicherheitsmaßnahmen; sie ersetze nicht eine technische, organisatorische oder rechtliche Beratung bzw. Bewertung im Einzelfall.

Weitere Informationen zum Thema:

TeleTrusT
Arbeitskreis „Stand der Technik“

TeleTrusT
IT-Sicherheitsgesetz und Datenschutz-Grundverordnung: Handreichung zum „Stand der Technik“ technischer und organisatorischer Maßnahmen / Revidierte und erweiterte Ausgabe 2018