Moderne Aufzüge sind zunehmend digitalisiert und vernetzt, was zwar viele Vorteile bietet, aber ggf. auch Risiken wie Cyberangriffe birgt. Wir geben Ihnen einen aktuellen Überblick über die Gesetzeslage, den Umgang der zugelassenen Überwachungsstellen damit und wie die UNS GmbH Betreibern dabei hilft, Ihre Aufzüge vor möglichen Angriffen zu schützen und die gesetzlichen Pflichten zu erfüllen.

• Seit März 2023 ist die Technische Regel für Betriebssicherheit (TRBS 1115-1) in Kraft, die die Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen regelt.
• Aufzugsbetreiber müssen mögliche Cybergefährdungen identifizieren, geeignete Schutzmaßnahmen treffen und ihre Gefährdungsbeurteilung aktualisieren.
• Bei der nächsten wiederkehrenden Prüfung müssen anlagenspezifische Dokumentationen zur Cybersicherheit vorgelegt werden, um Mängel zu vermeiden.

Die Aufgabe der zugelassenen Überwachungsstelle (ZÜS) ist es, die sichere Verwendung der Aufzugsanlage unter den vorgegebenen Betriebsbedingungen im Rahmen einer wiederkehrenden Prüfung zu bewerten. Als Basis hierzu dienen die Anforderungen der technischen Regeln für Betriebssicherheit (u.a. die TRBS 1115 Teil 1).

In einem ersten Schritt wird durch die ZÜS geprüft, ob der Betreiber das Thema betrachtet hat (Gefährdungsbeurteilung) und gegebenenfalls entsprechende Maßnahmen zur Cybersicherheit getroffen hat, diese plausibel und geeignet sind.

Sie können beruhigt sein, wenn Ihre Anlagen nicht mit dem Internet verbunden sind – was momentan auf die meisten Aufzüge zutrifft. In solchen Fällen genügt es, zur Inspektion ein einfaches Dokument mit der Überschrift „Ergänzung zur Gefährdungsbeurteilung“ vorzulegen. Dieses sollte die Anlagennummer, den Standort und einen Vermerk enthalten, etwa: „Cybersicherheitsmaßnahmen sind für diese Anlage nicht notwendig, da keine Cyberbedrohungen für sicherheitskritische MSR-Systeme identifiziert wurden.“ Abschließend fügen Sie das Datum und Ihre Unterschrift hinzu – und somit ist alles erledigt!

Wie viele andere vernetzte Systeme und Geräte sind auch diese Aufzug-Notrufsysteme, wenn sie über Internet- oder Netzwerkverbindungen verfügen, potenziellen Sicherheitsbedrohungen ausgesetzt.

Zugang zu Netzwerken: Einmal kompromittiert, könnte ein Notrufsystem als Eintrittspunkt in das Gesamtnetzwerk dienen, über das es betrieben wird. Dies könnte Angreifern ermöglichen, Zugriff auf sensiblere Systeme oder Daten zu erhalten.

Um solche Systeme zu schützen, ist es wichtig, dass Betreiber von Aufzugsanlagen und deren Notrufsysteme angemessene Sicherheitsmaßnahmen ergreifen.

Jeder Aufzug, der softwarebasierte Komponenten hat und eine Schnittstelle, wie z. B. bei einem Fernnotrufsystem (über das Internet) besitzt, muss gemäß TRBS 1115-1 durch geeignete Maßnahmen gegen Cyberangriffe geschützt werden. Eine Checkliste des TÜV Rheinland um zu klären, ob Ihr Aufzug betroffen ist, finden Sie hier.

Sollten Sie als Betreiber eine Gefährdungsbeurteilung erstellen bzw. aktualisieren müssen, sollten Sie die jeweiligen Hersteller mit in die Verantwortung nehmen, um sicherzustellen, dass die geforderten Schutzmaßnahmen lt. der jeweiligen Gefährdungsbeurteilung umgesetzt werden.

Wichtige Herstelleraufgaben sind dabei:

• Sichere Softwareentwicklung: Hersteller sollten sicherstellen, dass ihre Software nach bewährten Sicherheitsprinzipien entwickelt wird. Dies umfasst die Verwendung von sicheren Codierungspraktiken, regelmäßige Sicherheitsüberprüfungen und die Behebung von Schwachstellen.
• Netzwerksicherheit: Notrufsysteme sind oft vernetzt. Hersteller sollten sicherstellen, dass Netzwerkkommunikation verschlüsselt ist und Zugriffsrechte streng kontrolliert werden. Firewalls und Intrusion Detection Systems (IDS) können zusätzlichen Schutz bieten.
• Regelmäßige Updates: Hersteller sollten ihre Systeme regelmäßig aktualisieren, um bekannte Sicherheitslücken zu schließen. Dies gilt sowohl für die Software auf den Geräten als auch für die zugrunde liegenden Betriebssysteme.
• Zugriffsbeschränkungen: Notrufsysteme sollten nur von autorisierten Personen zugänglich sein. Hersteller sollten starke Authentifizierungsmethoden implementieren und Standardpasswörter vermeiden.
• Sicherheitsbewusstsein: Schulungen für Entwickler und Mitarbeiter sind wichtig, um das Bewusstsein für Cybersicherheit zu schärfen. Dies hilft, potenzielle Risiken zu erkennen und zu minimieren.

Die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 konkretisiert die Anforderungen aus der Betriebssicherheitsverordnung (BetrSichV). Wenn der Betreiber diese technischen Regeln einhält, kann er davon ausgehen, dass die entsprechenden Anforderungen der Verordnung erfüllt sind. Alternativ kann der Betreiber eine andere Lösung wählen, muss jedoch sicherstellen, dass mindestens die gleiche Sicherheit und der gleiche Gesundheitsschutz für die Beschäftigten gewährleistet sind.

Um Komponenten und Schnittstellen vor Cyberangriffen zu schützen, können folgende Cybersicherheitsmaßnahmen gemäß TRBS 1115 Teil 1 ergriffen werden:

Zugangsschutz: Ähnlich wie beim eigenen Smartphone, das durch PIN, Gesichtserkennung oder biometrische Daten geschützt wird, können auch Aufzugssteuerungen vor unberechtigtem Zugriff geschützt werden. Dies kann beispielsweise durch eine verschließbare Zugangstür oder definierte Zugriffsrechte für die Einstellmöglichkeiten der elektronischen Aufzugssteuerung erfolgen.

Die Hersteller unsere Notrufsysteme sind nach den Normen EN 81-28 und 81-70 zertifiziert. Die Geräte werden vor der Auslieferung oder Installation mit der neuesten Firmware – aktualisiert und sind dementsprechend auf dem jeweiligen Stand der Technik . Durch unsere hervorragenden Beziehungen zu den Herstellern bieten wir persönliche Unterstützung rund um die Fragen der Cybersicherheit und die Schutzmaßnahmen, die unsere Hersteller für das jeweilige Notrufsystem bieten. In unserem Downloadbereich finden Sie zudem Checklisten und andere Downloads zur Cybersicherheit.

Zögern Sie nicht und rufen Sie uns bei Fragen gerne an: 08052 6779777