TÜV-Verband warnt vor Cyberangriffen auf Aufzüge und industrielle Anlagen

Digitale Steuerungen sind Einfallstor für kriminelle Hacker.

Berlin, 9. Juli 2019 - Im Zuge der gesetzlich vorgeschriebenen Sicherheitsprüfungen von Aufzügen sind im Jahr 2018 rund 3.100 Anlagen wegen „gefährlicher Mängel“ sofort stillgelegt worden. Das ist ein Ergebnis des Anlagensicherheits-Reports 2019, der heute vom TÜV-Verband in Berlin vorgestellt wurde. „Bei den Kontrollen der unabhängigen Prüforganisationen tauchen immer wieder gefährliche Mängel wie beschädigte Absturzsicherungen oder defekte Notrufsysteme auf, die Menschen in akute Gefahr bringen können“, sagt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV). „Auf Grundlage der Prüfberichte können die Betreiber und Hersteller der Aufzüge sofort reagieren und die Sicherheit der Anlagen immer weiter verbessern.“ Laut des Reports entdeckten die Prüfer bei rund 73.500 weiteren Aufzügen „sicherheitserhebliche Mängel“, die eine Reparatur der Anlagen erfordern, aber keine sofortige Stilllegung. Das entspricht 12 Prozent aller 587.500 im Betrieb geprüften Aufzüge. „Neben Risiken wie Materialermüdung und Verschleiß entstehen mit der zunehmenden Digitalisierung und Vernetzung der Anlagen im Internet of Things neue Gefahren. Cyberangriffe können Aufzüge zwischen den Etagen zum Stehen bringen oder sogar einen Absturz herbeiführen“, warnte Bühler. Noch fehle es aber an gesetzlichen Regelungen, die eine unabhängige Prüfung kritischer Systeme wie der digitalen Aufzugssteuerung ermöglicht. Bühler: „Der Gesetzgeber muss jetzt handeln, bevor es zu ernsten Cyberattacken auf Maschinen und Anlagen kommt.“

Im Anlagensicherheits-Report sind die Mängelstatistiken aller Prüfungen enthalten, die von den Zugelassenen Überwachungsstellen (ZÜS) im Jahr 2018 vorgenommen wurden. Zu den geprüften Anlagen gehören neben Aufzügen auch Druckbehälteranlagen wie beispielsweise Gasspeicher und Dampfkessel sowie bestimmte Anlagen in explosionsgefährdeten Bereichen (Ex-Anlagen), darunter Tankstellen und Flugfeldbetankungsanlagen. Das zentrale Thema des aktuellen Reports: Die Prüfung von Anlagen, die zunehmend mit Hilfe von Software gesteuert, von Sensoren überwacht und im Internet of Things (IoT) digital vernetzt werden.

Moderne Aufzüge verfügen heute häufig über eine digitale Steuerung, die mit dem Internet verbunden ist. Die Anlagen können dann aus der Ferne bedient, überwacht oder sogar gewartet werden. Darüber hinaus sind Aufzugsanlagen eine zentrale Komponente smarter Gebäude, in denen Zugangskontrollen, Klimatisierung oder der Brandschutz mit Hilfe digitaler Systeme geregelt werden. „Die digitale Aufzugssteuerung ist ein Einfallstor für kriminelle Hacker“, sagte Bühler. „Angreifer könnten nicht nur die Aufzüge selbst manipulieren, sondern die gesamte technische Gebäudeausrüstung.“ Daher müssen unabhängige Prüfer kontrollieren können, ob die Steuerungssoftware von Aufzügen einwandfrei funktioniert und bei der Cybersicherheit auf dem neuesten Stand ist. Bühler: „Die Steuerungssoftware von Aufzügen ist für die Prüfer bis heute oft eine Blackbox.“

Laut den Ergebnissen des Reports sind im vergangenen Jahr 6.865 Tankstellen geprüft worden. Bei 14 Prozent der Tankstellen wurden „erhebliche Mängel“ festgestellt, die sofort beseitigt werden mussten, um Gefahren für Nutzer und Beschäftigte zu verhindern. „Die hohen Mängelquoten bei Tankstellen zeigen, dass regelmäßige Prüfungen notwendig sind“, sagte Bühler. „Die Menschen vertrauen darauf, dass sie beim Betanken ihrer Fahrzeuge keinen Gefahren ausgesetzt sind.“ Bei 26 Prozent der Anlagen haben die Prüfer „geringfügige Mängel“ vorgefunden. Positiv bewerten die Prüforganisationen, dass der Anteil der mängelfreien Tankstellen um 10 Punkte auf 59 Prozent gestiegen ist. „Der Trend bei den Sicherheitsprüfungen von Tankstellen ist positiv“, sagte Bühler. Dennoch sei die digitale Vernetzung auch bei Ex-Anlagen eine Herausforderung für die Sicherheit. In der Industrie werden beispielsweise Tanklager für entzündliche Kraftstoffe oder Gase zunehmend digital überwacht, um Füllstände oder den Druck zu messen. „Die Manipulation von Messwerten kann bei Ex-Anlagen zu einer Katastrophe führen“, sagte Bühler. „Ein nur knapp gescheiterter Cyberangriff auf eine petrochemische Fabrik in Saudi-Arabien im Jahr 2017 hat gezeigt, dass solche Szenarien eine reale Gefahr sind.“

Druckanlagen sind nach dem heutigen Stand der Technik auf einem sehr hohen Sicherheitsniveau. So sind 81 Prozent der im Jahr 2018 geprüften Druckanlagen „mängelfrei“, 14 Prozent weisen „geringfügige“ und 5 Prozent „erhebliche Mängel“ auf. Bei Druckanlagen ermöglichen digitale Systeme zum Beispiel eine vorausschauende Wartung. Auf Basis laufend gesammelter Betriebsdaten lassen sich genaue Prognosen über den Verschleiß erstellen und die Ursachen von Schäden schneller und präziser ermitteln als bisher. „Auch heute noch hängen die Produktionsprozesse vieler Unternehmen von Energieerzeugung, Prozessdampf und Wärmeproduktion ab“, sagte Bühler. „Die Herausforderung ist, dass die einzelnen Druckanlagen jetzt Teil einer globalen Industrie 4.0 Infrastruktur werden.“

Aus Sicht des TÜV-Verbands sowie der ZÜS sind unabhängige Prüfungen auch in der digitalen Welt dringend erforderlich. Dafür muss die Politik jetzt die Grundlagen schaffen:

- Gesetzgebung anpassen: Zahlreiche Sicherheitsanforderungen für Maschinen und Anlagen sind in der EU-Gesetzgebung geregelt. Spezifische IT-Sicherheitsanforderungen müssen in die Legislativvorhaben wie die Richtlinien für Maschinen, Aufzüge, Druckgeräte oder Ex-Geräte integriert werden. Nationale Regelungen sind ebenfalls entsprechend zu erweitern. Mit dem kürzlich verabschiedeten „Cyber Security Act“ wurde für IoT-Geräte ein europäischer Rechtsrahmen geschaffen, auf den bei den zukünftigen sektorspezifischen Regulierungsvorhaben oder im Zuge der Anpassung bereits existenter Regulierungen referenziert werden sollte.

- Zugang zu Software und Daten: Die Prüforganisationen müssen den Zugang zu relevanter Software und für die Sicherheit wichtiger Daten erhalten. Das gilt insbesondere für die Steuerungssoftware und für Werte wie die Geschwindigkeit von Aufzügen, den Füllstand in einem Gastank oder den Druck in einem Kessel.

- Prüfung nach Gefährdungspotenzial: Die Entscheidung über die Notwendigkeit einer unabhängigen Prüfung sollte in Abhängigkeit vom Gefährdungspotenzial einer Anlage getroffen werden.

- Überprüfbarkeit von künstlicher Intelligenz: Beim Einsatz von künstlicher Intelligenz in Maschinen und Anlagen sollten Prüforganisationen testen können, ob die KI-Systeme im laufenden Betrieb verlässlich arbeiten.

Der Anlagensicherheits-Report 2019 erscheint in der VdTÜV-Zeitschrift „Technische Überwachung“. Mitgewirkt haben folgende Zugelassene Überwachungsstellen (ZÜS): DEKRA Automobil GmbH, DEKRA EXAM GmbH, GTÜ Anlagensicherheit GmbH, Lloyd´s Register Quality Assurance GmbH, SGS-TÜV GmbH, TÜV Austria Service GmbH, TÜV NORD Systems GmbH & Co. KG, TÜV Rheinland Industrie Service GmbH, TÜV SÜD Chemie Service GmbH, TÜV SÜD Industrie Service GmbH, TÜV Technische Überwachung Hessen GmbH und TÜV Thüringen e. V.

Über den TÜV-Verband: Der Verband der TÜV e.V. (VdTÜV) vertritt die politischen und fachlichen Interessen seiner Mitglieder gegenüber Politik, Verwaltung, Wirtschaft und Öffentlichkeit. Der Verband setzt sich für technische Sicherheit bei Produkten, Anlagen und Dienstleistungen durch unabhängige Prüfungen und qualifizierte Weiterbildung ein. Mit seinen Mitgliedern verfolgt der TÜV-Verband das Ziel, das hohe Niveau der technischen Sicherheit in unserer Gesellschaft zu wahren und Vertrauen für die digitale Welt zu schaffen.

 

 

Über die TÜV NORD GROUP

Als anerkannter Technologie-Dienstleister stehen wir weltweit für Sicherheit und Vertrauen. Dabei haben wir die digitale Zukunft fest im Blick. Unabhängige Ingenieure und IT-Security-Fachleute bieten exzellente Lösungen für Sicherheit, Qualität und eine hervorragende Position im Wettbewerb. In mehr als 70 Ländern stärken wir Unternehmen und Partner bei der Wahrnehmung ihrer Verantwortung für Menschen, Technologie und Umwelt.