Digitalization

Vernetzte Anlagen enthalten oft zahlreiche Schwachstellen und sind ein ideales Einfallstor für Hacker. Eine neue Technische Regel macht Cybersicherheit zur Pflicht für Aufzugsbetreiber.

In Filmen werden Schwachstellen in Cyberabwehrsystemen gerne ausgenutzt, um Banken lahmzulegen, den Transportsektor zu manipulieren oder die Stromversorgung zu unterbrechen. Die großen Bedrohungen für die Gesellschaft sind Szenarien aus Hollywood, doch bereits 2007 zeigt der Film Die Hard 4.0 ein kleines, aber feines Detail, das heute schon Realität werden könnte: Die Angreifer hacken sich in das Notrufsystem eines Aufzugs.

Wenn sich Cyberkriminelle in die Steuerung eines Aufzugs hacken, können sie die Geschwindigkeit verändern, bis zum Halt zwischen den Stockwerken. Zusätzlich könnten die Türen blockiert und der Notruf ausgeschaltet werden. In der Theorie eine perfekte Entführung. Sind Aufzüge in einem smarten Gebäude mit anderen Einrichtungen vernetzt, erhalten die Hacker zudem Zugriff auf weitere Einrichtungen von Brandschutz bis Zutrittskontrollen stehen den Kriminellen alle virtuellen Türen offen.

Cybersicherheit wird zur Pflicht

Mit der fortschreitenden Digitalisierung richtet sich der Fokus auf ursprünglich analoge Transportmittel. Weil Aufzugsanlagen zunehmend im Internet of Things (IoT) vernetzt sind, entwickelt sich die digitale Sicherheit zu einem kritischen Faktor. In Aufzügen sind vor allem Mess-, Steuer- und Regelsysteme und Zwei-Wege-Kommunikationssysteme gefährdet.

Betreiber von Aufzugsanlagen müssen deshalb die digitale Sicherheit ihrer Anlagen berücksichtigen. Die Technische Regel für Betriebssicherheit TRBS 1115 widmet sich in Teil 1 speziell der Cybersicherheit für Mess-, Steuer- und Regeleinrichtungen. Die neue Verordnung macht den Schutz vor Cyberbedrohungen zu Pflicht. Dazu zählen beispielsweise regelmäßige Softwareupdates und die Absicherung von sicherheitsrelevanten Komponenten und Schnittstellen vor Hackerangriffen.

Erweiterung der Prüfung

Mit der Einführung der neuen technischen Regel 1115 ist eine Bescheinigung des Herstellers zur Cybersicherheit von Aufzugsanlagen oder Komponenten allein nicht mehr ausreichend. Sie kann höchstens bei der Erstellung der Gefährdungsbeurteilung berücksichtigt werden.

Verfügt ein Aufzug über softwarebasierte Komponenten und Schnittstellen zu vernetzten Systemen, muss daher der Betreiber geeignete Schutzmaßnahmen gegen Cyberbedrohungen ergreifen. Die vorgenommenen Schritte sollten zusätzlich dokumentiert werden. Bei der regelmäßigen Aufzugsprüfung werden die Unterlagen dem Sachverständigen zur Kontrolle vorgelegt. Das Prüfergebnis berücksichtigt die identifizierten Cyberbedrohungen und die Plausibilität der getroffenen Sicherheitsvorkehrungen, inklusive der geeigneten Dokumentation. 

Alle betroffenen Komponenten, die eine Schwachstelle in der Cyberabwehr darstellen, sind zu untersuchen. Eine Analyse der potenziellen Gefährdungen und deren Auswirkungen stellen damit einen reibungslosen Betrieb sicher. Der ermittelte Schutzbedarf der einzelnen Komponenten mündet schließlich in geeigneten Cybersicherheitsmaßnahmen, die bei der Wiederholungsprüfung erneut vorzulegen sind.