Der Grundgedanke ist ebenso einfach wie gut: die Wartung oder Prüfung von Aufzügen, ohne dafür vor Ort sein zu müssen. Digital werden dem Betreiber, dem Wartungs- oder Prüfunternehmen alle relevanten Daten auf den PC gespielt. Dank der zunehmenden Verschmelzung der Leittechnik, die für den Betrieb der Anlagen zuständig ist, der Informations- und Kommunikationstechnik, ist das mittlerweile Realität. Allerdings ist auch jede Datenübertragung ein potenzielles Tor für Cyber-Angriffe. Dabei sind nicht nur die Aufzüge selbst, sondern auch alle anderen Anlagen innerhalb eines Gebäudes gefährdet, da die Aufzüge Einstiegspunkte für Dritte zum zentral gesteuerten System bieten. Im vernetzten Gebäude existieren deutlich vielfältigere und dezentrale Möglichkeiten für den Eintritt von außen und für die Manipulation des bestimmungsgemäßen Gebrauchs. Das wiederum stellt sowohl den Betreiber der Systeme als auch des Gebäudes vor völlig neue rechtliche Herausforderungen. Denn: Ist die gehackte Komponente, durch die sich Angreifer Zugriff auf das System verschafft haben, oder aber das eigentliche Ziel des Angriffs verantwortlich zu machen?
Kritisch ist, dass viele Aufzüge für die Evakuierung von Gebäuden im Ernstfall vorgesehen sind. Häufig sind sie auch integraler Bestandteil der Gebäudeleittechnik, da sie mit aufzugsexternen Sicherheitseinrichtungen wie der Brandmelde-, Entrauchungs- oder der Lüftungsanlage verbunden sind. Hinzu kommt, dass Aufzugsanlagen in der Regel mit einem Zugang von außen, sprich für Dritte, ausgestattet sind. Sie sind so den neuen Bedrohungen in mehrfacher Hinsicht ausgesetzt. „Durch potenzielle Manipulationen ihrer bestimmungsgemäßen Funktion können die Anlagen nicht nur bei normaler Verwendung, sondern insbesondere in Verbindung mit einer Evakuierungs- oder Brandfallsteuerung zu einer hohen Gefährdung für die Verwender werden“, warnt Ulf Theike, Geschäftsführer von TÜV NORD Systems.
Fehlende integrierte Lösung
Das Problem: Es gibt zwar eine Reihe an Regelwerken für den Betrieb von Aufzuganlagen – darunter das Produkthaftungsgesetz, das Produktsicherheitsgesetz, die Betriebssicherheitsverordnung oder die Aufzugsrichtlinie – allerdings betrachten diese ausschließlich die Funktionale Sicherheit (Safety). Der Aspekt der Informationssicherheit, der Sicherheit gegen Angriffe von außen (Security), wird dabei stark vernachlässigt. „Ein integrierter Sicherheitsansatz liegt zurzeit weder als Norm noch als Richtlinie vor. Dabei ist genau solch ein Ansatz, bei dem Safety und Security in Kombination und im Wechselspiel miteinander betrachtet werden, absolute Grundvoraussetzung, um den Risiken von Cyber-Angriffen entgegenzuwirken und ihre Auswirkungen so gering wie möglich zu halten. Eine solche Betrachtung ist längst überfällig, denn schließlich sind Betreiber verpflichtet, den Stand der Technik zum Zeitpunkt der Inbetriebnahme nachzuweisen“, betont Theike.
Eine Möglichkeit, um das zu gewährleisten, ist beispielsweise eine kombinierte Safety- und Security- Risiko- und Bedrohungsanalyse, die von TÜV NORD unter dem Begriff „Security4Safety“ angeboten wird. Dabei ist nachzuweisen, dass alle assoziierten Gefährdungen bezogen auf Safety und Security mit Hilfe von adäquaten technischen und organisatorischen Maßnahmen auf ein tolerierbares Maß reduziert wurden. Dieser Schritt ist der wichtigste Baustein zur Erlangung von Haftungssicherheit für die Verantwortlichen.
Sicherheitsziele mit praktikablen Lösungen erreichen
Zum aktuellen Zeitpunkt werden die Funktionale Sicherheit und nicht-sicherheitsgerichtete Belange, beispielsweise die Informationssicherheit, getrennt voneinander betrachtet. Bislang diente das dazu, Rückwirkungsfreiheit zu erreichen. Sprich: die Maßnahmen der Informationssicherheit haben keinen negativen Einfluss auf die Sicherheit von Personen, Anlagen und Umwelt. Allerdings ist die strikte Trennung von Safety und Security besonders in der Gebäudeautomatisierung mittlerweile nicht mehr gegeben. Der Fokus muss also darauf liegen, eine Lösung zu finden, die sowohl Security- als auch Safety-Anforderungen gerecht wird.
Bestehende und neue Normen
Wie dies konkret bei Aufzugsanlagen aussehen kann, erläutert Axel Stohlmann, Leiter des Competence Center Fördertechnik bei TÜV NORD: „Denkbar ist ein systematischer, strukturierter und kontinuierlicher Ansatz, mit dem Planer und später auch Betreiber die Eigenschaften eines Gebäudes und seiner Anlagen bewerten können. Dieser kann beispielsweise in Anlehnung an bestehende Gefährdungs- und Risikobeurteilungen aus der EN ISO 12100, EN 62443-3-2 oder VDI/VDE 2182 gestaltet werden.“ Das Ziel eines solchen Konzepts muss es sein, Security-Maßnahmen so umzusetzen, dass die klassischen Safety-Kriterien eingehalten und geschützt werden können (Security4Safety). Aktuell gibt es beispielsweise bereits das sogenannte PESSRAL-System, das sich ausschließlich auf die Funktionale Sicherheit von Aufzügen fokussiert. Das Befehls- und Schutzsystem wurde als normative Änderung der Norm EN 81, Änderung A1 (EN 81-1;1998/A1:2005) eingeführt und ermöglicht es, programmierbare, elektronische Systeme in sicherheitsrelevanten Anwendungen einzusetzen.
Ergänzend dazu ist eine Zertifizierung von Prozessen, Sicherheitsmanagementsystemen und Komponenten auf Basis der IEC-Norm 62443 für Hersteller von Produkten der Gebäudeautomatisierung und IT-Dienstleistern empfehlenswert. Als erstes Regelwerk in diesem Bereich bildet die neue Norm die Basis für die Verbindung der Themen IT-Security und Funktionale Sicherheit in sogenannten IACS (Industrial Automation and Control Systems) ab. Dank des wegweisenden Charakters und der Tatsache, dass Hersteller und Betreiber mit dieser Norm den aktuellen Stand der Technik nachweisen können, wird sie zukünftig noch mehr an Bedeutung gewinnen. Zusätzlich müssen weitere anlagenbezogene und produktspezifische Anforderungen in die bereits bestehenden Regelwerke integriert werden. „Um die sichere Verwendung von überwachungsbedürftigen Anlagen, wie Aufzügen, vor dem Hintergrund der neuen Bedrohungen sicherzustellen, muss über die klassischen Gefahrenfelder hinausgedacht werden“, so Theike.
Bewusstsein schaffen
Für einen integrierten Ansatz müssen nicht nur die Rahmenbedingungen stimmen, auch in der Praxis muss es ein Bewusstsein für die Verknüpfung der beiden Bereiche geben. Im Rahmen des Konformitätsbewertungsverfahrens sollten die Aspekte Safety und Security ganzheitlich betrachtet werden. Hier sind der Gesetzgeber, die notifizierten Stellen und die zugelassenen Überwachungsstellen gefordert, Safety und Security in den verschiedenen Regelwerken für Aufzugsanlagen ebenso wie die generelle Gebäudeinfrastruktur, die Beschaffenheit und den Betrieb zu berücksichtigen. Zusätzlich müssen neue Anforderungen definiert werden, um die sichere Verwendung dieser Anlagen in Verbindung mit den Funktionen des Gebäudes zukünftig zu gewährleisten.
Über die TÜV NORD GROUP
Vor 150 Jahren gegründet, stehen wir weltweit für Sicherheit und Vertrauen. Als Wissensunternehmen haben wir die digitale Zukunft fest im Blick. Ob Ingenieurinnen, IT-Security-Experten oder Fachleute für die Mobilität der Zukunft: Wir sorgen in mehr als 70 Ländern dafür, dass unsere Kunden in der vernetzten Welt noch erfolgreicher werden.