Cybersecurity : TÜV SÜD fordert verbindliche gesetzliche Vorgaben für Cybersecurity
Der Anlagensicherheits-Report 2022 wird vom TÜV-Verband unter Mitwirkung aller deutschen Zugelassenen Überwachungsstellen (ZÜS) erstellt. Die Expertinnen und Experten sehen nicht nur große Konzerne von Cyberangriffen bedroht, sondern vor allem auch kleine und mittlere Unternehmen. Dabei geht es nicht nur um Datendiebstahl oder Industriespionage, sondern auch um gefährliche Eingriffe in den Bereich der sogenannten Operational Technology (OT), also den eigentlichen Betrieb von Anlagen und Maschinen. In einer weitgehend vernetzten Produktion sind Operational Technology sowie Netzwerk- und Computertechnik eng miteinander verbunden. Aber während es für die gängigen Betriebssysteme regelmäßige Patches und Updates gibt, sind Maschinen und Anlagen in der Regel über Jahrzehnte hinweg weitestgehend unverändert im Einsatz und können aufgrund fehlender Anpassungen der Cybersicherheit relativ leicht angegriffen werden.
„Aus diesem Grund muss bei industriellen Anlagen die Cybersicherheit von Anfang an mitgedacht werden“, sagt Jörg Becker, Experte für Industrielle Cybersecurity bei TÜV SÜD. „Wenn es Kriminelle beispielsweise schaffen, bis zur elektronischen Anlagensteuerung vorzudringen, können sie vernetzte Maschinen oder Produktionsstraßen übernehmen, zum Stillstand bringen oder bestimmte Prozesse manipulieren.“ Um das zu verhindern, ist nach Aussage des Experten ein integriertes Sicherheitskonzept nach dem Stand der Technik erforderlich, das die funktionale Sicherheit (Safety) und die Cybersecurity sowie ihre Wechselwirkungen umfassend berücksichtigt. „Die Unternehmen sollten sich schon bei der Anschaffung und Errichtung neuer Maschinen und Anlagen intensiv mit den Sicherheitsanforderungen befassen“, so Becker, „und ihre Sicherheitskonzepte im laufenden Betrieb immer wieder auf den neuesten Stand bringen.“
Prüfung durch unabhängige Dritte
„Um mit der Entwicklung modularer und teilweise schon selbst lernender Anlagen und Systeme schrittzuhalten, müssen zudem die gesetzlichen Vorgaben aktualisiert und dynamisch fortgeschrieben werden“, ergänzt Dieter Roas, Vorsitzender des Erfahrungsaustauschkreises der Zugelassenen Überwachungsstellen beim TÜV-Verband. Das gilt sowohl für europäische Regelwerke wie die Maschinenverordnung oder die Aufzugsrichtlinie, als auch für nationale Regelwerke wie das Gesetz über überwachungsbedürftige Anlagen (ÜAnlG). Mit dem neuen ÜAnlG hat das Bundesministerium für Arbeit und Soziales (BMAS) nach Aussage des TÜV-Experten einen wesentlichen Beitrag dazu geleistet, den hohen Sicherheitsstandard in Deutschland aufrechtzuerhalten und zukunftssicher zu machen. „Das beinhaltet vor allem auch die unabhängige Drittprüfung durch die Zugelassenen Überwachungsstellen“, betont Roas. „Aufgrund der wachsenden technischen Komplexität und der zunehmenden Vernetzung ist die Prüfung durch unabhängige Dritte unbedingt erforderlich, um die sichere Verwendung von Anlagen und Maschinen nach dem Stand der Technik und den Schutz von Menschen, Umwelt und Sachwerten zu gewährleisten.“