Fachbeitrag teilen
Technische Regeln für Betriebssicherheit (TRBS) konkretisieren die Anforderungen der deutschen Betriebssicherheitsverordnung (BetrSichV). Die Veröffentlichungen – so ist es im Vorwort zu lesen – „geben den Stand der Technik (…) sowie sonstige gesicherte arbeitswissenschaftliche Erkenntnisse für die Verwendung von Arbeitsmitteln wieder."
Die TRBS 1115 Teil 1 zeigt, dass im gesamten industriellen Kontext Cyber-Sicherheit einen immer höheren Stellenwert einnimmt. Insbesondere relevant daran ist, dass mit dieser Veröffentlichung auch darauf hingewiesen wird, dass das Thema Security keine reine IT-Angelegenheit ist, sondern, dass Anforderungen an OT (Operational Technology) explizit adressiert werden müssen, um ein entsprechend hohes Niveau an Arbeitsschutz gewährleisten zu können.
Dies geht Hand in Hand mit den bereits vorhandenen bzw. in Entstehung befindlichen öffentlich-rechtlichen Produkt-Anforderungen, welche die Berücksichtigung von Cyber-Security bereits während der Konstruktion – also vom Hersteller – verlangen. Allen voran ist hier der Cyber Resilliance Act zu nennen.
Die TRBS 1115 Teil 1 richtet sich naturgemäß an den Betreiber. Dennoch sollten auch Hersteller Kenntnis von der TRBS 1115 Teil 1 nehmen, da die dort spezifizierten Anforderungen einen Einblick geben, welche Anforderungen in Zukunft umzusetzen sind. Aufgrund von Vorschriften wie dem Cyber Resilliance Act, oder aufgrund von Kundenanforderungen, welche ggf. nicht zuletzt auf TRBS 1115 beruhen.
Um einen schnellen Überblick zur TRBS zu bekommen, sind nachfolgend einige Abschnitte und Zitate erwähnt.
Inhalt der TRBS 1115 Teil 1
Die vollständigen Inhalte finden Sie im unten stehenden Link zum Volltext der TRBS 1115 Teil 1.
Mögliche Auswirkungen
«Mögliche Auswirkungen von Cyberbedrohungen können sein:
Insbesondere auf konkrete sicherheitsrelevante Einrichtungen wie Drehzahlüberwachungssysteme oder Kontaktüberwachungen (z.B. Verriegelungseinrichtungen von Schutztüren) übertragen wird sichtbar, dass vermeintlich nur mittelbar relevante Cyber-Bedrohungen Einfluss auf die konkrete mechanische oder steuerungstechnische Sicherheit haben können.
Unterscheidung IT / OT
«Die IT/OT-Umgebung im Sinne dieser TRBS bezeichnet die IT/OT-Systeme (Netz- und Informationssysteme im Sinne der Verordnung (EU) 2019/881), die temporär oder dauerhaft einen Informationsaustausch mit sicherheitsrelevanten MSR-Einrichtungen haben.
Hinweis 1: Die IT/OT-Umgebung kann als möglicher Angriffsweg einen Einfluss auf die Zuverlässigkeit der sicherheitsrelevanten MSR-Einrichtungen besitzen.
Hinweis 2: IT-Systeme sind die Hard- und Softwarekomponenten zur elektronischen Datenverarbeitung (IT – Information Technology). OT-Systeme sind die Hard- und Softwarekomponenten zur Steuerung, Regelung, Überwachung und Kontrolle von Maschinen, Anlagen und Prozessen (OT – Operational Technology).»
Instandhaltung
«Instandhaltung im Sinne dieser TRBS umfasst die für die Aufrechterhaltung der Cybersicherheit erforderlichen Tätigkeiten an der Hard- und Software der betroffenen Komponenten. Insbesondere zählen hierzu sicherheitsrelevante Software-Updates.»
Cybersicherheitsmaßnahmen
Abschnitt 4.5 der TRBS 1115 Teil 1 nennt Auslegungsgrundsätze (4.5.1) und Anforderungen an Cybersicherheitsmaßnahmen (4.5.2), welche insbesondere auf die Verfügbarkeit, Integrität und die Vertraulichkeit von Daten abzielen.
Konkret werden einige Maßnahmen genannt (die hier nur verkürzt wiedergegeben werden):
Weiteres nennt TRBS 1115 Teil 1 Anforderungen an die Überwachung von Systemen sowie an das Notfallmanagement.
Fazit
Das Thema Cyber-Security wurde in der Vergangenheit mitunter als reines «Betreiberproblem» abgetan bzw. wurde mitunter eher vernachlässigt oder auf sehr abstrakter Ebene (z.B. mit Aussagen wie: «Wir haben ja eh eine Firewall!») behandelt.
Die TRBS 1115 Teil 1 gibt nun konkretere Einblicke in die Pflichten von Betreibern, zeigt aber auch auf, dass eine horizontale Betrachtung («Wir haben eh eine Firewall!») nicht ausreichend ist, sondern dass durch entsprechende Konzepte die einzelnen Netzwerkkomponenten (wie smarte Maschinen, etc.) innerhalb des Netzwerks bezüglich Security im Zuge der Gefährdungsbeurteilung bewertet werden müssen und für diese einzelnen Komponenten wirksame Maßnahmen angewendet werden müssen.
Diese Betrachtung wird insofern den Druck auf Hersteller erhöhen, da Betreiber – wie sie das auch z.B. bei der Maschinensicherheit erfolgreich tun – selbstverständlich einen Teil der innerbetrieblichen OT-Security dadurch erfüllen wollen, dass sie Komponenten (Maschinen, elektrische Geräte, etc.) kaufen, bei denen Security built-in ist.
Die TRBS unterscheidet in Abschnitt 3.3 zwischen Art und Umfang von erforderlichen Maßnahmen, je nachdem, ob in «verwendungsfertigen Arbeitsmitteln» der Schutz gegen Cyberbedrohungen «nach dem Stand der Technik [durch den Hersteller, Anm.] bestätigt wurde», oder, ob «verwendungsfertige Teile» beschafft wurden, welche «ohne ausreichende Cybersicherheitsmaßnahmen» auf dem Markt bereitgestellt wurden.
Letzteres wird wohl eine Floskel sein, die insbesondere auf die Zeitspanne abzielt, bis weitergehende inverkerbringensrechtliche Bestimmungen (wie der Cyber Resilliance Act, CRA) in Kraft treten.
Die TRBS 1115 Teil 1 schlägt in die gleiche Kerbe wie der CRA oder die neue Maschinenverordnung. Das Thema Cybersicherheit ist gekommen um zu bleiben. Hersteller von technischen Produkten sollten die Zeit bis zur verpflichtenden Anwendung etwaiger direkt anwendbarer Vorschriften nutzen um sich mit Konzepten der OT-Security vertraut zu machen – die Betreiber werden es (unter anderem gestützt auf TRBS 1115 Teil 1) ohnehin fordern.
www.baua.de/DE/Angebote/Regelwerk/TRBS/TRBS-1115-Teil-1.html
In unserem Seminar Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen erläutern ausgewiesene Cyber-Security Experten welche Aspekte der Cyber-Security insbesondere für den Maschinen- und Anlagenbau besonders relevant sind. Neben einem Überblick über etwaige anzuwendende Vorschriften vermitteln die Experten insbesondere Wissen zu Security-Maßnahmen und wie Hersteller dafür sorgen, dass ihre Produkte den Anforderungen entsprechen.
Verfasst am: 16.11.2023
Johannes Windeler-Frick, MSc ETH Mitglied der Geschäftsleitung von IBF. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit