Cybersicherheit von Maschinen und Anlagen

Bedrohungen von Maschinen und Anlagen können nicht nur zu Produktionsausfällen und finanziellen Schäden führen, sondern gefährden potenziell auch die Sicherheit und den Schutz der Gesundheit von Beschäftigten. Aus Sicht des Arbeitsschutzes ist das zum Beispiel dann relevant, wenn Sicherheitssteuerungen infolge eines Cyberangriffs ihre Sicherheitsfunktionen verlieren oder zusätzliche Gefährdungen entstehen.

Für Betreiber von Maschinen und Anlagen bedeutsam ist unter anderem die im letzten Jahr veröffentlichte Technische Regel für Betriebssicherheit „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ (TRBS 1115 Teil 1). Diese konkretisiert die Betriebssicherheitsverordnung und beschreibt, wie das Thema Cybersicherheit in die Gefährdungsbeurteilung von Maschinen beziehungsweise Anlagen einfließen muss. Sie stellt klar, dass die Cybersicherheit von Sicherheitssteuerungen im Rahmen der Gefährdungsbeurteilung zu bewerten ist. Die Cybersicherheitsmaßnahmen sind so festzulegen, dass die Sicherheitssteuerungen nach dem Stand der Technik vor Cyberbedrohungen geschützt sind und Gefährdungen für Beschäftigte vermieden werden. Beispielsweise muss der Zugriff auf Betriebs- und Sicherheitssteuerungen (direkt oder auch durch Fernzugriff) mit besonderen Cybersicherheitsmaßnahmen (etwa Einzelfreigabe des Zugriffs) geschützt werden.

Die TRBS 1115 Teil 1 definiert auch die Durchführung von Prüfungen zur Cybersicherheit von Sicherheitssteuerungen an Maschinen und Anlagen. Bei überwachungsbedürftigen Anlagen haben die zugelassenen Überwachungsstellen (ZÜS) damit begonnen, diesen Aspekt in ihre Prüfungen (unter anderem bei Aufzugsanlagen) einzubeziehen (siehe EK-ZÜS-Beschluss ZÜS-B-002).

Generell zu beachten ist, dass – wenn keine Datenschnittstellen an der zu beurteilenden Maschine oder Anlage vorhanden beziehungsweise diese nicht erreicht werden können und keine Netzwerkverbindung besteht – Cyberbedrohungen im Rahmen der Gefährdungsbeurteilung mit eben dieser Begründung ausgeschlossen werden können.

Normenreihe gibt Hilfestellung

Hilfestellungen für Hersteller aber auch Betreiber bietet die internationale Normenreihe für Cybersicherheit in industriellen Automatisierungs- und Steuerungsanlagen IEC 62443. Sie beschreibt Regeln für Komponentenhersteller in Richtung Absicherung der Produkte und für Betreiber in Bezug auf das sichere Zusammenwirken von den Maschinen- und Anlagen beziehungsweise resultierende sichere Betriebsabläufe. Prüfungen an Komponenten und Maschinen können mithilfe des Prüfgrundsatzes GS-IFA-M24 durchgeführt werden.

Für die Hersteller wird neben der aktuellen Maschinenrichtlinie 2006/42/EG beziehungsweise der zukünftigen Maschinenverordnung EU 2023/1230, die sich ebenfalls mit Aspekten den Cybersicherheit auseinandersetzt, auch der Cyber Resilience Act (CRA) von Bedeutung sein. Der CRA ist mit einem Übergangszeitraum von 36 Monaten im November 2024 in Kraft getreten.

Cyber Resilience Act

Der Cyber Resilience Act ist die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. Ziel ist es, die Cybersicherheit innerhalb der Europäischen Union zu verbessern. Es werden verpflichtende Cybersicherheitsanforderungen für Hersteller und Händler festgelegt, um die Sicherheit von Produkten während ihrer gesamten Lebensdauer zu gewährleisten. Der CRA fordert, dass eine entsprechende Konformität der Produkte über ein Bewertungsverfahren und eine CE-Kennzeichnung nachgewiesen werden muss.

Auch die BG ETEM setzt sich aktiv mit dem Thema Cybersicherheit auseinander und arbeitet diesbezüglich mit anderen Unfallversicherungsträgern zusammen. Aktuelle Veröffentlichungen zum Thema stellen die FBHM-102 „Safety und Security in der vernetzten Produktion“, die FBHM-133 „Sichere Fernwartung von Maschinen“ und der Prüfgrundsatz GS-IFA-M24 dar.

Heinz Kruse