Aufzugsanlagen

Cyber-Sicherheit: Betreiber in der Pflicht

Die Digitalisierung ist in der Wohnungswirtschaft längst angekommen und eröffnet der Branche neue Chancen. Ohne ausreichenden Schutz bieten digitale Prozesse und die Vernetzung technischer Anlagen Kriminellen jedoch auch die Möglichkeit, sensible Daten abzufangen und Geräte oder Prozesse zu sabotieren. Um dem vorzubeugen, hat der Gesetzgeber die Regeln für den Betrieb von überwachungsbedürftigen Anlagen verschärft – mit Auswirkungen auf die Betreiber von Aufzugsanlagen.

Für die Betriebssicherheit von Aufzugsanlagen sind deren Betreiber verantwortlich – das gilt auch in Bezug auf Cyber-Sicherheit. Unberechtigte Zugriffe können nicht nur zur Gefahr für den wirtschaftlichen Erfolg eines Unternehmens werden, sondern auch die menschliche Sicherheit bedrohen, zum Beispiel durch das Einschließen von Personen, den Ausfall von Notrufsystemen, die Manipulation von Steuerungen oder den kompletten Ausfall von Aufzügen. Um diesen Gefahren entgegenzuwirken, hat das Bundesministerium für Arbeit und Soziales im November 2022 die Regeln für den Betrieb von überwachungsbedürftigen Anlagen verschärft.

Konkret wurde die Technische Regel für Betriebssicherheit (TRBS) 1115-1 um den Punkt „Cyber-Bedrohungen“ erweitert. Die Betreiber von Aufzugsanlagen sind dadurch dazu verpflichtet, das Thema Cyber-Sicherheit zu betrachten und Maßnahmen zu ergreifen, um diese zu gewährleisten. Ob das der Fall ist, überprüfen die zugelassenen Überwachungsstellen (ZÜS) im Rahmen der regelmäßigen Prüfung. Falls nicht, kann dieser Umstand zur Feststellung eines geringfügigen Mangels führen, der bei der nächsten Prüfung, sofern nicht behoben, zu einem erheblichen Mangel führen kann.

Welche Aufzugsanlagen sind betroffen?

Ausgenommen von der Regel sind Aufzugsanlagen, die noch keine Verbindung zum Internet und keine Mess-, Steuer- und Regeleinrichtungen (MSR) in Kombination mit Verbindungseinrichtungen haben. Anders sieht es bei modernen Aufzügen in Neubauten oder solchen, die in den letzten Jahren modernisiert wurden, aus. Diese sind in der Regel mit dem Internet verbunden, können fernüberwacht werden und viele Komponenten sind softwarebasiert und miteinander vernetzt. Hier ist die Cyber-Sicherheit definitiv ein Thema und die Anlagenbetreiber müssen bestehende IT-Sicherheitskonzepte überprüfen und technische sowie organisatorische Maßnahmen zum Schutz vor digitalen Angriffen sind zwingend erforderlich.

Was ist zu tun?

In der Vergangenheit hatte bereits eine verschlossene Tür zum Maschinenraum für ausreichenden Schutz im gesetzlichen Sinne ausgereicht. Heute sind Sicherheitssysteme zunehmend digitalisiert und nicht nur rein mechanisch. Für eine Risikoeinschätzung müssen daher alle technischen Verbindungen mit der Außenwelt und die daran beteiligten Komponenten sowie auch die Unternehmen betrachtet werden. Diese Zusammenstellung muss einmalig erstellt und nachhaltig gepflegt werden. Meist sind für mehrere Anlagen allgemeine Informationen identisch, sodass der Aufwand nach einmaliger Erstellung überschaubar bleibt. Auf dieser Datenbasis lässt sich die Gefährdung schnell und real beurteilen – und Abstellmaßnahmen festlegen. Wichtig bei der Prüfung durch die ZÜS: Die vom Anlagenbetreiber getroffenen Cyber-Sicherheitsmaßnahmen müssen geeignet, funktionsfähig und dokumentiert sein.

Cyber-Sicherheit ist eine ganzheitliche Aufgabenstellung

Die Gefahr durch Cyber-Angriffe ist ebenso real wie die Gefahr durch mechanische oder elektrische Komponenten – die Überprüfung dieser ist bereits Standard. Im Gegensatz dazu kann beim Thema Cyber-Sicherheit die Gefahr leider nicht rein lokal geprüft werden, da es sich um eine ganzheitliche Aufgabenstellung handelt. Es betrifft das Gesamtsystem verbundener Menschen und verbundener Systeme. Daher sind die erneuerten Regularien der TRBS richtig und wichtig, denn sie zwingen alle Beteiligten, das Thema OT/IT-Verbindung ganzheitlich zu betrachten – das bezieht auch die Hersteller mit ein, denn Cyber-Sicherheit ist eine geteilte Pflicht zwischen Betreibern und Herstellern und der cyber-sichere Betrieb von Arbeitsmitteln und Produkten kann nur durch gemeinsame Anstrengungen erreicht werden.

Aufzughelden, ein Produkt der Digital Spine GmbH (www.digitalspine.io), unterstützt Kunden bei der Ermittlung von Gefahrenquellen und der Ergreifung geeigneter Schutzmaßnahmen für den sicheren Betrieb ihrer Aufzugsanlagen.

x

Thematisch passende Artikel:

Ausgabe 12/2020 Neuer Service gewährleistet eine durchgehende Überwachung

Digitaler Aufzugswärter

Betreiber von Aufzugsanlagen sind verpflichtet, den sicheren Betrieb der Anlagen durch verschiedene Sicherheitsmaßnahmen zu gewährleisten. Dazu zählt laut den Technischen Regeln für...

mehr
Ausgabe 04/2023 Neue Vorschriften der Betriebssicherheitsverordnung

Cyber-Sicherheit für Anlagen jetzt Pflicht

Betreiber von überwachungsbedürftigen Anlagen wie Aufzüge, Druck- oder Ex-Anlagen müssen künftig Cyber-Attacken an ihren Anlagen aktiv vorbeugen, erläutert DEKRA (www.dekra.de). Auch die...

mehr
Ausgabe 04/2021 IT-Sicherheit wird Teil der gesetzlichen Anforderungen

Cyber Security für den Aufzug wird Pflicht

Aufzugbetreiber müssen künftig Cyber-Attacken und Software-Pannen an ihren Anlagen aktiv vorbeugen. Die Software gehört jetzt gemäß den aktualisierten Vorschriften bei der Aufzugsinspektion zum...

mehr

TÜV NORD: Neue Fristen und Pflichten für Betreiber von Aufzugsanlagen

Die Betriebssicherheitsverordnung (BetrSichV) wurde novelliert, so dass ab 1. Juni 2015 auch für Aufzüge neue Bestimmungen gelten. TÜV NORD (www.tuev-nord.de) begrüßt die vorgenommenen...

mehr
Studie

Aufzüge sind oft schlecht gewartet

Rund 725.000 Aufzüge und Fahrtreppen gibt es in Deutschland. Für ihre Sicherheit sind die Betreiber der Anlagen verantwortlich. Doch die Wartungen entsprechen in 29 % der Fälle nicht den...

mehr