Wer Aufzüge betreibt, muss mindestens sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen) vor Cyberangriffen schützen – so verlangt es die im März veröffentliche technische Regel für Betriebssicherheit (TRBS) 1115-1. Um Personen- und Sachschäden zu vermeiden, müssen Betreiber geeignete Maßnahmen ergreifen und in der Gefährdungsbeurteilung (GBU) dokumentieren.
Die Annahme, dass alle Aufzüge in sich geschlossene Systeme ohne Verbindung zur „Außenwelt“ sind, trifft nicht mehr zu: Moderne, aber auch ältere modernisierte Aufzüge können digital und vernetzt sein. Internet-Zugang und WLAN ermöglichen eine vorausschauende Wartung, permanentes Monitoring und dadurch z. B. eine höhere Verfügbarkeit. Das bedeutet aber auch Angriffsflächen für Manipulationen und damit Risiken.
Mit Veröffentlichung der TRBS 1115-1 macht der Gesetzgeber deutlich, dass dieses Gefährdungspotenzial nicht zu vernachlässigen ist. Doch wogegen müssen Aufzugsanlagen abgesichert werden? Welche Risiken bestehen durch Cyberbedrohungen? Und welchen Umfang haben verhältnismäßige Maßnahmen?
Das fordert die TRBS 1115-1
Jeder Bereiber einer überwachungsbedürftigen Anlage ist verpflichtet, eine GBU zu erstellen, diese aktuell zu halten und regelmäßig auf Aktualität zu prüfen. Im Rahmen der GBU müssen Cyberbedrohungen an sicherheitsrelevanten MSR-Einrichtungen und – sofern relevant – auch an weiteren Einrichtungen berücksichtigt werden. Das Vorgehen ist stets gleich: mögliche Gefährdungen ermitteln und – sofern vorhanden – bewerten und durch geeignete Maßnahmen auf ein akzeptables Maß reduzieren.
Die TRBS 1115-1 und weitere Regelungen zur Cybersicherheit von Aufzuganlagen helfen weiter, indem sie ein Schutzniveau für alle Bestandteile des Aufzugs konkretisieren. Zwei Normen unterstützen dabei besonders im Hinblick auf die Cybersicherheit von Aufzügen.
Unterschiedliche Security-Level am Aufzug
Vergangenes Jahr erschien mit der ISO 8102-20 die erste Norm, die die Cybersicherheit von Aufzugsanlagen direkt adressiert. Bezogen auf die weltweit in der industriellen Cybersicherheit etablierte Normenreihe IEC 62442 unterteilt die ISO 8102-20 den Aufzug in drei Security-relevante Bereiche (Domänen). Sie ordnet allen Komponenten Security-Level und konkrete Maßnahmen zu, um mögliche Bedrohungen zu beherrschen. Denn, selbst wenn keine sicherheitsrelevanten MSR-Komponenten betroffen sind, können auch Manipulationen in anderen Bereichen zu gefährlichen Betriebszuständen führen. Unterschiedlich abzusichern sind die Domänen:
- „Safety“ – Hierzu gehören die sicherheitsrelevanten MSR-Einrichtungen wie digitale Fangvorrichtungen und Geschwindigkeitsbegrenzer mit einem SIL. Eine Manipulation durch blockieren der Auslösung könnte z. B. Abstürze nicht mehr verhindern.
- „Essential“ – Bauteile, die für den Betreib relevant sind, wie die Steuerung, Frequenzumrichter, der Türantrieb, u. v. m. Würden beim Letzteren die Parameter manipuliert, wären Stöße oder Quetschungen mögliche Folgen. Eine Manipulation der Halteposition kann zu Stolperschwellen führen.
- „Alarm“ – Darunter fällt u. a. das Notrufsystem. Eine Manipulation könnte dazu führen, dass der Notruf eingeschlossener Personen nicht weitergeleitet würde und eine Rettung ausbleibt – oder ein Abhören von Gesprächen im Aufzug erlauben.
So schützen Betreiber ihre Aufzugsanlagen
Sofern nicht vorhanden, erstellen Betreiber eine GBU für ihre Aufzugsanlage bzw. ergänzen die vorhandene um den Teil Cyberbedrohungen nach Vorgabe der TRBS 1115-1. Dabei werden alle relevanten Komponenten und Einrichtungen nach der ISO 8102-20 und der IEC 62442 betrachtet, die zu Gefährdungen führen können. Wenn diese betroffen sind, leiten Betreiber die erforderlichen Maßnahmen aus diesen Normen ab.
Bei einem Großteil der rund 800.000 in Deutschland betriebenen überwachungsbedürftigen Aufzugsanlagen sind mitunter nur das Notrufsystem und die Steuerung als digitale, cyberrelevante Komponenten betroffen. Als verhältnismäßige Maßnahme reicht unter Umständen ein angemessener physischer Schutz oder ein Passwortschutz aus, um den Zugriff deutlich zu erschweren und das Risiko einer Manipulation auf ein tolerierbares Maß zu reduzieren.
