Cyberangriffe in der Industrie im Fokus

Immer wieder gibt es Cyberangriffe auf Unternehmen, die mit geraubten Daten erpresst werden. Doch was, wenn Hacker nicht nur Daten erbeuten oder Computersysteme lahmlegen, sondern wenn sie Anlagen oder Anlagenteile in gefährliche Zustände versetzen oder Aufzüge unverhofft stoppen lassen? Auf eine derartige Gefahr weist Tüv Nord jetzt in Prüfprotokollen hin. „Betreiber sollten sich schnell Gedanken darüber machen, wie derartigen Angriffen begegnet wird“, sagt Sönke Martensen, Produktmanager bei Tüv Nord. 

Prinzipiell sicherheitsrelevante Mess-, Steuer- und Regeltechnik aller vernetzten Anlagen oder Anlagenteile sowie nicht abgesicherte Sensoren. Die Technischen Regeln für Betriebssicherheit nennen darüber hinaus Maschinen, elektrische Sicherheitseinrichtungen, Notbefehlseinrichtungen sowie Anlagen in explosionsgefährdeten Bereichen. Konkret heißt das: druckführende Leitungen, Kessel, Fördertechnik.  Cyberkriminelle können sich Zugriff auf die Geräte verschaffen und die verbaute Mess-, Steuer- und Regeltechnik manipulieren.

Generell kann digitale Mess-, Steuer- und Regeltechnik Ziel von Cyberangriffen sein – mit gravierenden Folgen. Thermometer können falsche Temperaturen anzeigen, Manometer den falschen Druck. Manipulierte Positionsschalter können falsche Zustände anzeigen, Sensoren falsche Messergebnisse melden. Allgemein gesprochen: Die Technik kann ausgeschaltet werden, ohne dass die Person im Leitstand dies bemerkt. Die Technik kann dahingehend manipuliert werden, dass kritische Zustände nicht erkannt oder dem Leitstand nicht gemeldet werden. Die Technik kann im Leitstand einen kritischen Zustand der Anlage anzeigen, obwohl es gar solchen gibt. Aufzüge können während der Fahrt oder im verkehrten Stockwerk anhalten, Türen können blockiert, die Notrufeinrichtung kann abgeschaltet werden; allerdings kann ein Aufzug aufgrund der Bauart nicht abstürzen. Außerdem könnten Angreifer mittelbar auch in weitere, mit diesen Anlagen und Anlagenteilen vernetzte Technik eindringen und Schäden verursachen. Dazu zählen beispielsweise die Leittechnik, Brandmeldeeinrichtungen, Zugangssysteme.

Viele Betreiber haben schon in der Vergangenheit Maßnahmen hinsichtlich Cybersicherheit ergriffen, die jedoch bislang nicht im Rahmen wiederkehrender Prüfungen betrachtet wurden. Bei diesen steht die technische Sicherheit als solche im Vordergrund. Die Fragestellung lautet: Ist der technische Betrieb einer Anlage sicher? Künftig steht zusätzlich auf dem Prüfkatalog auch die Frage nach der Cybersicherheit: Ist die Anlage vor Cyberangriffen von außen geschützt? Der Verordnungsgeber, das Bundesarbeitsministerium, hat jetzt im Zusammenwirken mit seinem Beratergremium, dem Ausschuss für Betriebssicherheit, auf die zunehmenden Bedrohungen durch Cyberkriminelle reagiert. Dies wird in der soeben veröffentlichten Technischen Regel TRBS 1115-1 geregelt.

Vernetzte Anlagen und Anlagenteile gegen Hackerangriffe sichern. Einfachste Maßnahmen: Firewalls einschalten, Virenschutzprogramme installieren, die Schadsoftware abfangen. Sönke Martensen: „Wer wissen will, wie gut seine Anlagen geschützt sind, macht einen Operation Technology (OT) Security Check. Cyber Risk Assessment und eine Zertifizierung der Informationssicherheit nach der Normenreihe Iso 27000 sind weitergehende und genauere Methoden zur Sicherheitsanalyse eigener IT-Systeme, um gezielt verbesserte Schutzmaßnahmen zu implementieren. Alle diese Maßnahmen bieten die Security-4-Safety-Experten von Tüv Nord an.“ Ein Hinweis im aktuellen Prüfprotokoll sagt, dass Maßnahmen gegen Gefährdungen nicht dokumentiert sind. Schon heute geben Sachverständige von Tüv Nord in Prüfberichten für überwachungsbedürftige Anlagen derartige Hinweise, nachdem sie geprüft haben, ob Maßnahmen zur Cybersicherheit ergriffen wurden.

Momentan nicht. Noch sind die Regelungen für die Prüfung von Cyberangriffen auf Industrieanlagen nicht in den Technischen Regeln für Betriebssicherheit (TRBS 1115) veröffentlicht. Zurzeit wird auf Lücken im Sicherheitssystem nur hingewiesen. In einem zweiten Schritt wird dieser Hinweis als ein geringer Mangel eingestuft. Damit muss der Betreiber innerhalb eines Jahres eine Gefährdungsbeurteilung zur OT-Security vorweisen. In einem dritten Schritt werden auch inhaltliche Prüfungen der Gefährdungsbeurteilung folgen. Wann und in welchem Umfang diese Stufen umgesetzt werden, ist noch nicht entschieden. Aus eigenem Interesse jedoch sollten Betreiber gefährdeter Anlagen schnellstmöglich für einen geeigneten Schutz und für geeignete Abwehrmaßnahmen sorgen. ak