Immer wieder gibt es Cyberangriffe auf Unternehmen, die mit geraubten Daten erpresst werden. Doch was, wenn Hacker nicht nur Daten erbeuten oder Computersysteme lahmlegen, sondern wenn sie Anlagen oder Anlagenteile in gefährliche Zustände versetzen oder Aufzüge unverhofft stoppen lassen? Auf eine derartige Gefahr weist TÜV NORD jetzt in Prüfprotokollen hin. „Betreiber sollten sich schnell Gedanken darüber machen, wie derartigen Angriffen begegnet wird“, sagt Sönke Martensen, Produktmanager bei TÜV NORD. Wir beantworten die wichtigsten Fragen.
Wer ist besonders von Cyberangriffen bedroht?
Sofern Mess-, Steuer- und Regeltechnik eingesetzt ist, die durch Schadsoftware oder externen Zugriff beeinflussbar ist: Betreiber überwachungsbedürftiger Anlagen.
Welche Anlagen sind gefährdet?
Prinzipiell sicherheitsrelevante Mess-, Steuer- und Regeltechnik aller vernetzten Anlagen oder Anlagenteile sowie nicht abgesicherte Sensoren. Die Technischen Regeln für Betriebssicherheit nennen darüber hinaus Maschinen, elektrische Sicherheitseinrichtungen, Notbefehlseinrichtungen sowie Anlagen in explosionsgefährdeten Bereichen. Konkret heißt das: druckführende Leitungen, Kessel, Fördertechnik.
Warum sind diese Anlagen gefährdet?
Cyberkriminelle können sich Zugriff auf die Geräte verschaffen und die verbaute Mess-, Steuer- und Regeltechnik manipulieren.
Worin besteht die Gefahr?
Generell kann digitale Mess-, Steuer- und Regeltechnik Ziel von Cyberangriffen sein – mit gravierenden Folgen. Thermometer können falsche Temperaturen anzeigen, Manometer den falschen Druck. Manipulierte Positionsschalter können falsche Zustände anzeigen, Sensoren falsche Messergebnisse melden. Allgemein gesprochen:
- Die Technik kann ausgeschaltet werden, ohne dass die Person im Leitstand dies bemerkt.
- Die Technik kann dahingehend manipuliert werden, dass kritische Zustände nicht erkannt oder dem Leitstand nicht gemeldet werden.
- Die Technik kann im Leitstand einen kritischen Zustand der Anlage anzeigen, obwohl es gar solchen gibt.
- Aufzüge können während der Fahrt oder im verkehrten Stockwerk anhalten, Türen können blockiert, die Notrufeinrichtung kann abgeschaltet werden; allerdings kann ein Aufzug aufgrund der Bauart nicht abstürzen.
Außerdem könnten Angreifer mittelbar auch in weitere, mit diesen Anlagen und Anlagenteilen vernetzte Technik eindringen und Schäden verursachen. Dazu zählen beispielsweise die Leittechnik, Brandmeldeeinrichtungen, Zugangssysteme.
Wurde diese Art von Sicherheitsrisiko bislang gar nicht betrachtet?
Viele Betreiber haben schon in der Vergangenheit Maßnahmen hinsichtlich Cybersicherheit ergriffen, die jedoch bislang nicht im Rahmen wiederkehrender Prüfungen betrachtet wurden. Bei diesen steht die technische Sicherheit als solche im Vordergrund. Die Fragestellung lautet: Ist der technische Betrieb einer Anlage sicher? Künftig steht zusätzlich auf dem Prüfkatalog auch die Frage nach der Cybersicherheit: Ist die Anlage vor Cyberangriffen von außen geschützt? Der Verordnungsgeber, das Bundesarbeitsministerium, hat jetzt im Zusammenwirken mit seinem Beratergremium, dem Ausschuss für Betriebssicherheit, auf die zunehmenden Bedrohungen durch Cyberkriminelle reagiert. Dies wird in der soeben veröffentlichten Technischen Regel TRBS 1115-1 geregelt.
Welche Abhilfe gegen Cyberkriminalität gibt es?
Vernetzte Anlagen und Anlagenteile gegen Hackerangriffe sichern. Einfachste Maßnahmen: Firewalls einschalten, Virenschutzprogramme installieren, die Schadsoftware abfangen. Sönke Martensen: „Wer wissen will, wie gut seine Anlagen geschützt sind, macht einen Operation Technology (OT) Security Check. Cyber Risk Assessment und eine Zertifizierung der Informationssicherheit nach der Normenreihe Iso 27000 sind weitergehende und genauere Methoden zur Sicherheitsanalyse eigener IT-Systeme, um gezielt verbesserte Schutzmaßnahmen zu implementieren. Alle diese Maßnahmen bieten die Security4Safety-Experten von TÜV NORD an.“
Was bedeuten die Hinweise im Prüfprotokoll?
Ein Hinweis im aktuellen Prüfprotokoll sagt, dass Maßnahmen gegen Gefährdungen nicht dokumentiert sind. Schon heute geben Sachverständige von TÜV NORD in Prüfberichten für überwachungsbedürftige Anlagen derartige Hinweise, nachdem sie geprüft haben, ob Maßnahmen zur Cybersicherheit ergriffen wurden.
Müssen Betreiber mit Sanktionen rechnen?
Momentan nicht. Noch sind die Regelungen für die Prüfung von Cyberangriffen auf Industrieanlagen nicht in den Technischen Regeln für Betriebssicherheit (TRBS 1115) veröffentlicht. Zurzeit wird auf Lücken im Sicherheitssystem nur hingewiesen. In einem zweiten Schritt wird dieser Hinweis als ein geringer Mangel eingestuft. Damit muss der Betreiber innerhalb eines Jahres eine Gefährdungsbeurteilung zur OT-Security vorweisen. In einem dritten Schritt werden auch inhaltliche Prüfungen der Gefährdungsbeurteilung folgen. Wann und in welchem Umfang diese Stufen umgesetzt werden, ist noch nicht entschieden. Aus eigenem Interesse jedoch sollten Betreiber gefährdeter Anlagen schnellstmöglich für einen geeigneten Schutz und für geeignete Abwehrmaßnahmen sorgen.
Über die TÜV NORD GROUP
Vor über 150 Jahren gegründet, stehen wir weltweit für Sicherheit und Vertrauen. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick. Ob Ingenieurinnen, IT-Security-Experten oder Fachleute für die Mobilität der Zukunft: Wir sorgen in mehr als 100 Ländern dafür, dass unsere Kundinnen und Kunden in der vernetzten Welt noch erfolgreicher werden.