In der digitalisierten Welt spielen Industrieanlagen wie zum Beispiel Aufzüge eine wichtige Rolle. Um deren Sicherheit zu gewährleisten, müssen Betreiber von überwachungspflichtigen Industrieanlagen diese seit 2023 auch aktiv vor Cyberangriffen schützen. In Deutschland werden diese neuen Anforderungen in der Betriebssicherheitsverordnung (BetrSichV) festgelegt.

Welche Pflichten regelt die BetrSichV?

Das Ziel der BetrSichV ist es, "die Sicherheit und den Schutz der Gesundheit von Beschäftigten bei der Verwendung von Arbeitsmitteln zu gewährleisten” (§ 1 Anwendungsbereich und Zielsetzung der BetrSichV). Diese Pflicht erstreckt sich auf alle “überwachungsbedürftigen Anlagen” (ÜAnlG). Der Gesetzgeber definiert “überwachungsbedürftigen Anlagen” als Anlagen:

“die gewerblichen oder wirtschaftlichen Zwecken dienen oder durch die Beschäftigte gefährdet werden können und [...] von denen beim Betrieb erhebliche Risiken für die Sicherheit und die Gesundheit insbesondere Beschäftigter ausgehen können und die deshalb in einer auf Grund des § 31 erlassenen Rechtsverordnung als überwachungsbedürftige Anlagen bestimmt sind” (§ 2 Begriffsbestimmungen: Gesetz über überwachungsbedürftige Anlagen (ÜAnlG)).

Welche Cyber-Sicherheitsprüfungen schreibt die BetrSichV künftig vor?

In der Vergangenheit war die BetrSichV hauptsächlich mit Bezug auf mechanische und elektrische ausgelegt. Jetzt ist eine Überprüfung mit Bezug auf Cybersicherheit zwingend hinzugekommen.

Dies gilt für allen Arten von Prüfungen bei überwachungsbedürftigen Anlagen. Also sowohl für Inspektionen vor der Inbetriebnahme, als auch für wiederkehrende Sicherheitsprüfungen. ZÜS-Sachverständige werden künftig prüfen, ob Anlagenbetreiber potenzielle Gefährdungen durch Cyber-Bedrohungen erfasst und bewertet haben.

Das Hauptaugenmerk richtet sich hierbei auf sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen). Bei Aufzügen könnten Hacker-Angriffe auf Steuereinheiten theoretisch das Ziel haben, Aufzüge anzuhalten oder anderweitige Manipulationen vorzunehmen.

Maßnahmen zur Gewährleistung der Cybersicherheit

Um die Cybersicherheit von überwachungspflichtigen Industrieanlagen zu gewährleisten, müssen verschiedene Maßnahmen ergriffen werden. Dazu gehören unter anderem die Implementierung von Firewalls, Intrusion-Detection-Systemen, regelmäßige Software-Updates und auch regelmäßige Personalschulungen. Das Ziel dieser Maßnahmen ist es, potenzielle Schwachstellen zu identifizieren, zu beheben und auch einen klaren Notfallplan zu erstellen.

Wer ist für Cyber Security verantwortlich?

Zwar ist es die Grundpflicht eines Aufzugherstellers und des Montagebetriebs, die notwendigen Vorkehrungen dafür zu treffen, dass ein sicherer Betrieb generell möglich ist (Beschaffenheitsanforderungen), letztendlich liegt Verantwortlichkeit für die Sicherheit einer Aufzugsanlage jedoch bei deren Betreiber.

Falls Sie weitere Fragen zur Cybersicherheit Ihrer Aufzugsanlagen haben, können Sie direkt Hilfe vor Ort erhalten: Aufzugsservice Dresden, Aufzugsservice Mannheim, Aufzugsservice Frankfurt, oder unsere Teams in anderen Städten kontaktieren.