Überwachungsbedürftige Anlagen: Cybersicherheit rückt in den Fokus

Cyberangriffe auf überwachungspflichtige Anlagen können enorme Folgen für die Betriebssicherheit und den Umweltschutz haben. Dringen Hacker in das Steuerungssystem einer Anlage ein, kommt es zu schwerwiegenden Schäden. Die Störungen führen zumeist zu Produktionsausfällen und können Brände oder Explosionen auslösen. In extremen Fällen steht sogar die Versorgungssicherheit der Bevölkerung mit lebensnotwendigen Elementen auf dem Spiel.

Bereits 2021 hatten Cyberkriminelle die Kontrolle von Steuerungssystemen in einer Wasseraufbereitungsanlage der Stadt Oldsmar in Florida übernommen. Der Angriff wurde rechtzeitig gestoppt, bevor das Trinkwasser der Stadt kontaminiert wurde – doch die Attacke zeigt, dass sich Hacker schnell und einfach Zugang zu internen Plattformen und Kontrollsystemen verschaffen können. Umso wichtiger sind wirksame Schutzkonzepte für Anlagen, die eine hohe Bedeutung für die öffentliche Sicherheit haben.

Unabhängige Prüfungen

In Deutschland regelt das Gesetz über Überwachungspflichtige Anlagen (ÜwAG), wie Maschinen und Geräte kontrolliert werden, wenn von ihnen eine erhebliche Gefahr ausgeht – etwa aufgrund ihrer Beschaffenheit, Nutzung oder weil sie als Lager für gefährliche Stoffen dienen. Das ÜwAG legt fest, welche Anlagen unter die Überwachungspflicht fallen, welche Anforderungen an die Überwachung gestellt werden und welche unabhängigen Sachverständigen für die Überwachung zuständig sind. Die Betreiber der betroffenen Anlagen sind deshalb gesetzlich verpflichtet, die notwendigen Sicherheitsvorkehrungen zu treffen und sich regelmäßigen Überprüfungen zu unterziehen.

Diese regelmäßigen Prüfungen fallen in den Aufgabenbereich der Zugelassenen Überwachungsstellen (ZÜS). In einer neuen technischen Regel haben diese unabhängigen Sachverständigen grundlegende Anforderungen an die Cybersicherheit von Anlagen und die dazugehörige Überprüfung formuliert. Der Prüfumfang umfasst dabei im Wesentlichen sicherheitsrelevante Einrichtungen zum Messen, Steuern und Regeln (MSR) von überwachungsbedürftigen Anlagen. Dazu zählen beispielsweise Aufzugsanlagen, Druckanlagen wie Druckbehälter oder Pipelines. Hinzu kommen Anlagen in explosionsgefährdeten Bereichen, etwa Tankstellen oder Kerosinlager an Flughäfen.

Wirksame Vorsorge

Neben regelmäßigen Prüfungen schützen vor allem vorausschauende Sicherheitskonzepte überwachungspflichtige Anlagen vor Cyberangriffen. Betreiber stehen dabei in der Pflicht, einen Schutz auf dem aktuellen Stand der Technik zu gewährleisten – insbesondere, wenn Cyberbedrohungen zu einer Gefahr für Mensch und Umwelt werden können.

Vor diesem Hintergrund nimmt eine Gefährdungsbeurteilung eine zentrale Rolle ein. Betreiber von Industrieanlagen müssen für diese Beurteilung angeben, ob aus möglichen Cyberbedrohungen eine konkrete Gefahr für Menschen und Umwelt entstehen können. Ein weiterer Teil einer Gefährdungsbeurteilung besteht daraus, geeignete Maßnahmen zu ergreifen, um das Risiko auf ein akzeptables Niveau zu reduzieren – sofern digitale Elemente von Cyberangriffen in ihrer Funktion beeinträchtigt werden könnten.

Die optimale Basis der Umsetzung und Überprüfung der bereits eingesetzten Maßnahmen zum Schutz von kritischen Anlagen und Einrichtungen vor Hackern ist die neue Technische Regel Betriebssicherheit (TRBS) 1115-1. Darin sind konkrete Vorgaben für die Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen enthalten, um einen sicheren Betrieb zu gewährleisten. Ziel ist die dauerhafte Sicherstellung der Funktionsfähigkeit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen. Denn der Angriff auf die Wasseraufbereitungsanlage in Oldsmar hat gezeigt, dass eine Katastrophe nur wenige Mausklicks entfernt lauern kann.

Hinweis: Wir übernehmen keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.