In der Ausgabe 06-07/2023 von KI aktuell hatten wir bereits über Änderungen in der Beschaffung und im Umgang mit Maschinen und anderen Arbeitsmitteln berichtet. Diesen Artikel wollen wir mit dieser Ausgabe fortsetzen. Dabei geht es hier im Schwerpunkt um die Cyber-Sicherheit moderner, vernetzter Maschinen und Arbeitsmittel. Diese können angreifbar sein und es kann zu schweren Personen- und Sachschäden kommen. Dies gilt es zu verhindern.
Ein Berater von KUECK Industries wurde neulich folgendes gefragt: „Unsere Geräte sind heute alle mit dem Netzwerk und dem teilweise dem Internet verbunden, damit Hersteller zum Beispiel eine Fernwartung durchführen können. Unser IT-Sicherheitsbeauftragter fragt nun, ob wir das irgendwie betrachtet haben?“
Was sagt das Recht dazu?
Vor der Inbetriebnahme von Maschinen und Arbeitsmitteln müssen Arbeitgeber nach § 3 BetrSichV eine Gefährdungsbeurteilung erstellt und die daraus resultierenden Schutzmaßnahmen wirksam umgesetzt haben. Bei der Beurteilung und Festlegung der Maßnahmen sind insbesondere die Technischen Regeln (TRBS) und anderen Erkenntnisse wie EmpfBS zu berücksichtigen. Die Gefährdungsbeurteilung soll bereits bei der Beschaffung begonnen werden.
Aus der Verordnung (§ 3 Abs. 3):
Die Gefährdungsbeurteilung soll bereits vor der Auswahl und der Beschaffung der Arbeitsmittel begonnen werden. Dabei sind insbesondere die Eignung des Arbeitsmittels für die geplante Verwendung, die Arbeitsabläufe und die Arbeitsorganisation zu berücksichtigen. Die Gefährdungsbeurteilung darf nur von fachkundigen Personen durchgeführt werden. Verfügt der Arbeitgeber nicht selbst über die entsprechenden Kenntnisse, so hat er sich fachkundig beraten zu lassen.
Zum Thema Cybersicherheit von Maschinen ist die TRBS 1115-1 Cybersicherheit von Maschinen herausgegeben worden, die es zu berücksichtigen gilt, wenn Maschinen und Arbeitsmittel sowie deren Steuerungen vernetzt sind. Dort heißt es sinngemäß, dass der Arbeitgeber den steigenden Vernetzungsgrad bei seiner Gefährdungsbeurteilung berücksichtigen muss. Denn sicherheitsrelevante MSR-Einrichtungen (Mess-, Steuer- und Regeleinrichtungen) werden zunehmend zum Ziel von Cyberbedrohungen.
Cybersicherheit im Sinne der TRBS 1115-1 sind gemäß Verordnung (EU) 2019/881 alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen.
Welche möglichen Gefährdungen können sich aus Cyberangriffen ergeben?
Bei allen vernetzten und mit dem Internet verbundenen Systemen müssen Sie diese Frage mit der Gefährdungsbeurteilung beantworten. Mögliche Auswirkungen von Cyberbedrohungen in Ihrem Unternehmen können nach der TRBS sein:
- Beeinflussung der Verfügbarkeit (z. B. Deaktivieren oder Blockieren der Funktion von sicherheitsrelevanten MSR-Einrichtungen),
- Verletzung der Integrität (z. B. unberechtigte Änderung von Daten),
- Verletzung der Vertraulichkeit (z. B. Abfluss von Daten einschließlich Passwörtern und Signaturen).
Das kann vor allem auch dann zum Problem werden, wenn Software- und Sicherheitsupdates der Hersteller ganz oder teilweise nicht gemacht oder ausgesetzt wurden.
Sicherheitsrelevante Einrichtungen der Mess-, Steuer- und Regeltechnik und ihre Integration in das Arbeitsmittel sowie deren Anwendung müssen Sie nach dem Stand der Technik vor Cyberbedrohungen schützen. Es dürfen keine Gefährdungen für Beschäftigte und bei überwachungsbedürftigen Anlagen auch für andere Personen entstehen. Als Unternehmen müssen Sie durch Cybersicherheitsmaßnahmen die Funktionsfähigkeit von sicherheitsrelevanten MSR-Einrichtungen während der gesamten Verwendungsdauer des Arbeitsmittels, also auch bei konkreten Cyberbedrohungen aufrechterhalten.
Die TRBS 1115-1 liefert hierzu eine Vielzahl von Ansätzen und Lösungsmöglichkeiten. Die Berater von KUECK Industries helfen Ihnen auch bei diesem Thema gerne fachkundig durch die Gefährdungsbeurteilung.
Schreibe einen Kommentar