Trends im Kontext von Industrie 4.0 führen zu immer mehr Vernetzung von hochkomplexen, industriellen Anlagen. Die zunehmende Digitalisierung und Interaktion von Anlagen hat mitunter auch Einfluss auf überwachungsbedürftige und erlaubnispflichtige Ex-Anlagen.
Die Veränderungen bringen viele Vorteile und Vereinfachungen für den Betrieb der Anlagen mit sich, beispielsweise neue Werkzeuge für die vorausschauende Wartung. Damit entstehen aber auch gleichzeitig neue Risiken, beispielsweise durch Cyberbedrohungen. Um ihnen zu begegnen, veröffentlichte der Gesetzgeber im März 2023 die TRBS 1115-1 "Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen".
Betreiber von überwachungsbedürftigen Ex-Anlagen haben demnach die Aufgabe im Rahmen Ihrer Gefährdungsbeurteilung zu prüfen, ob durch Cyberbedrohungen für Nutzer und Personen im Umfeld der Anlage Gefährdungen entstehen können. Ist das der Fall, müssen sie potenzielle Sicherheitsrisiken identifizieren und wirksame Maßnahmen zu deren Reduktion auf ein akzeptables Maß festlegen, umsetzen und dokumentieren.
Zugelassene Überwachungsstellen (ZÜS) wie TÜV SÜD haben die Aufgabe im Rahmen der vorgeschriebenen, regelmäßigen Prüfungen zur Betriebssicherheit zu bewerten, ob Betreiber Cyberbedrohungen im Rahmen ihrer Gefährdungsbeurteilung ausreichend behandelt haben.
Was Sie als Betreiber konkret tun müssen, um die Anforderungen der TRBS 1115-1 zu erfüllen, erfahren Sie in unserer Schritt-für-Schritt-Anleitung.
Um beurteilen zu können, ob für Ihre Ex-Anlagen Cyberbedrohungen bestehen, ist es zunächst erforderlich zu wissen, welche sMSR-Einrichtungen in Ihrer Anlage vorhanden sind.
Die Aufgabe von sMSR-Einrichtungen besteht laut TRBS 1115 darin, beim Verwenden von Arbeitsmitteln Gefährdungen zu verhindern, die sich nicht durch eine sichere Konstruktion des Arbeitsmittels oder trennende Schutzeinrichtungen beseitigen bzw. ausreichend vermindern lassen. Bei sMSR-Einrichtungen handelt es sich also um ergänzende, technische Schutzmaßnahmen, wenn rein konstruktive Maßnahmen kein ausreichendes Sicherheitsniveau gewährleisten. Beispiele sind Steuerungen von Maschinen, elektrische/elektronische Schutzeinrichtungen, Notbefehlseinrichtungen oder auch hinsichtlich der funktionalen Sicherheit bewertete Funktionseinheiten einer Ex-Einrichtung gemäß TRGS 725.
In Schritt 1 müssen Sie als Betreiber sMSR-Einrichtungen in Form einer abgeschlossenen Liste je Anlage darstellen. Dies muss so erfolgen, dass sich die sMSR-Einrichtungen eindeutig identifizieren und einer Anlage zuordnen lassen – beispielsweise durch ein geeignetes Bezeichnungssystem (Anlagenkennzeichnungsschlüssel – AKZ). Außerdem gilt es den funktionalen Zusammenhang zu erfassen, also das Schutzziel der gelisteten sMSR-Einrichtungen. Dazu gehören auch die Art der Daten und die Verarbeitungslogik, die zur Steuerung der verschiedenen Aktoren benötigt werden. Hier ist immer die vollständige funktionale Kette der sMSR-Einrichtungen zu erfassen, insbesondere der Sensoren, der Auswerteeinrichtung und der Ansteuerung von Aktoren.
Lfd. Nr. | Erfassung der Schutzeinrichtung | Zuordnung zu Anlage | Schutzziel | Funktionaler Zusammenhang |
1 | Elektronische Füllstandmessung | Abscheider 1 | Überfüllung eines Abscheiders verhindern | Füllstand / elektronische Auswertung auf Alarmschwellwert/Alarm |
Der Umfang der Auflistung hängt von der Anlage und der Anzahl der eingesetzten sMSR-Einrichtungen ab.
Sie benötigen Unterstützung bei der Identifizierung der an Ihren Anlagen vorhandenen sMSR-Einrichtungen oder bei der Erstellung der Liste für Ihre Anlagen Kein Problem. Unser Expert*innen unterstützen Sie gerne mit ihrer Expertise und Erfahrung bei der Bewältigung dieser Aufgabe.
Liegt die Liste aller vorhandener sMSR-Einrichtungen vor, müssen Sie im nächsten Schritt für jede Komponente und Schutzfunktion bewerten, ob Cyberbedrohungen den sicheren Anlagenbetrieb gefährden können. Folgende Punkte gilt es zu berücksichtigen:
Besitzt eine sMSR-Einrichtung keine Datenschnittstelle, besteht keine Cyber Security-Relevanz, denn eine Manipulation ist nicht möglich. Im Sinne der Cybersicherheit sind keine weiteren Betrachtungen oder Maßnahmen erforderlich. Hierbei gilt es jedoch zu beachten, dass bereits einfache USB-Ports, Anschlüsse für Wartungs-Rechner o. ä. als Datenschnittstelle zu bewerten sind und somit bei einer Vielzahl an Geräten zu betrachtende Schnittstellen vorhanden sind.
Verfügt die unter diesen Gesichtspunkten betrachtete sMSR-Einrichtung bzw. einzelne Komponenten davon über Schnittstellen, müssen mögliche Auswirkungen einer Manipulation auf die Anlage sowie den Prozess unter dem Aspekt des sicheren Betriebs betrachtet werden. Konkret geht es darum zu bewerten, welche betrieblichen Parameter, Prozesse oder Abläufe sich wie beeinflussen lassen. Als mögliche Beeinflussung ist hier beispielsweise die Manipulation von Messwerten zu betrachten. Weitere Beispiele sind das Fehlauslösen bzw. Blockieren des Auslösens von sicherheitsrelevanten Schutzeinrichtungen (z. B. Not-Halt Funktionen).
Handelt es sich im Sinne der Betriebssicherheit der Anlage um eine kritische Manipulation, so muss geprüft werden, ob daraus für Nutzer*innen und Personen im Umfeld der Anlage Risiken bzw. gefährliche Anlagenzustände hervorgehen können.
Sie benötigen Unterstützung bei der Analyse von Auswirkungen von möglichen Manipulationen an sMSR-Einrichtungen Ihrer Anlagen?
Kein Problem. Unsere Expert*innen unterstützen Sie gerne mit ihrer Expertise und Erfahrung bei der Bewältigung dieser Aufgabe, beispielsweise im Rahmen der Begleitung einer HAZOP-Analyse.
Am Ende von Schritt 2 halten Sie eine reduzierte Liste der sMSR-Einrichtungen in Ihren Händen. Die Gemeinsamkeit, der in der gefilterten Liste aufgeführten Einrichtungen, besteht darin, dass Cyberbedrohungen bei einer Manipulation dieser Komponenten zu potenziell kritischen Anlagenzuständen führen können.
Ihre nächste Aufgabe als Betreiber*in ist es zu ermitteln, welche Maßnahmen die erkannten Risiken auf ein akzeptables Maß senken können. Diese müssen nicht zwingend digital sein. Auch analoge Schutzmaßnahmen sind möglich. Je nach Anlagensituation können z. B. Schlüsselschalter, manuelle Not-Aus-Einrichtungen oder mechanische Schutzeinrichtungen zusammen mit Betriebsanweisungen des Personals wirksame Maßnahmen zur Risikoreduzierung sein.
Reduzieren diese analogen Maßnahmen das Risiko nicht wirkungsvoll oder nicht auf das geforderte Maß, sind weitere Maßnahmen zur Gewährleistung der Cybersicherheit Ihrer Anlage erforderlich.
Zusammenfassen dienen die beschriebenen Maßnahmen-Schritte 1 bis 3 dazu, eine anfänglich sehr umfangreiche Liste mit allen an Ihren Anlagen vorhandenen sMSR-Einrichtungen auf den Teil zu reduzieren, für welchen konkrete Cybersicherheitsmaßnahmen erforderlich sind.
Vergleichen Sie dazu auch die folgende Abbildung.
Im nächsten Schritt müssen Sie als Betreiber im Rahmen Ihrer Gefährdungsbeurteilung das erforderliche Schutzniveau für die identifizierten und im Hinblick auf mögliche Manipulationen als kritisch bewerteten sMSR-Einrichtungen festlegen. Nach den anerkannten Regeln der Technik gibt es verschiedene Möglichkeiten, z. B.:
Um den Schutzbedarf festzulegen, müssen Sie die Bedrohungslage für mögliche Cyberattacken sowie die Auswirkungen einer möglichen Manipulation betrachten. Eine wirksame Maßnahme besteht beispielsweise darin, sMSR-Einrichtungen pauschal einem hohen oder sehr hohen Schutzbedarf zuzuordnen. Ein solches Vorgehen erfordert aber auch, die Faktoren Effizienz und Wirtschaftlichkeit in die Betrachtung einzubeziehen.
Steht der Schutzbedarf fest, müssen die betroffenen Komponenten der sMSR-Einrichtungen so spezifiziert werden, dass sie den festgelegten Anforderungen entsprechen. Für bestehende Anlagen ist dies entsprechend zu prüfen und daraus im Falle von Anpassungen weitere Maßnahmen abzuleiten.
Erfordert das Erreichen eines Schutzziels z. B. eine verschlüsselte Kommunikation bzw. Signalübertragung zwischen Sensor, Auswerte-/Steuereinheit und ggf. Aktor, müssen alle Komponenten diese Art der Kommunikation unterstützen. Schon bei der Projektierung der Anlage gilt es daher sicherzustellen, dass die Einrichtungen entsprechend dieser Spezifikation ausgewählt werden. Im Rahmen der Inbetriebnahme sowie des Betriebs der Anlagen muss gewährleistet werden, dass die getroffenen Schutzmaßnahmen wirksam sind.
Im letzten Schritt müssen Sie die Maßnahmen und Ergebnisse der vorangegangenen Schritte plausibel und nachvollziehbar dokumentieren.
Dies kann beispielsweise in einer tabellarischen Liste aller sMSR-Einrichtungen und einer entsprechenden Dokumentation der einzelnen Bewertungen nach den Schritten 2, 3 und 4 erfolgen.
Nicht nur technische, sondern auch organisatorische Cybersicherheitsmaßnahmen müssen geeignet dokumentiert werden, beispielsweise als schriftliche Betriebs- und Arbeitsanweisungen an das Personal.
Um festgelegte Sicherheitsmaßnahmen im Betrieb aufrechtzuerhalten, müssen Betreiber*innen Prozesse und Verfahren definieren und dokumentieren. Die Dokumentation müssen Sie zur nächsten ZÜS-Prüfung Ihrer überwachungsbedürftigen Ex-Anlage vorzeigen. Unsere Sachverständig*innen bewerten dann die Plausibilität der entsprechenden Maßnahmen.
Stellen unsere Sachverständig*innen im Rahmen einer Prüfung fest, dass Cyberbedrohungen im Rahmen der Gefährdungsbeurteilung nicht ausreichend betrachtet wurden, so müssen wir dies künftig als Mangel bewerten. Im Falle von besonders kritischen Anlagen kann es sich hierbei auch um einen erheblichen Mangel handeln.
Sie haben Fragen zum Thema?
Unsere unabhängigen Sachverständigen führen nicht nur Prüfungen Ihrer überwachungsbedürftigen Anlage durch. Gerne unterstützen wir Sie auch bei Fragen zur Bewertung der Cybersecurity Ihrer Anlage und begleiten Sie mit speziellen Sicherheitsanalysen, zu Safety & Securiy-Aspekte Ihrer Anlage.