Immer wieder gibt es Cyberangriffe auf Unternehmen, die mit geraubten Daten erpresst werden. Doch was, wenn Hacker nicht nur Daten erbeuten oder Computersysteme lahmlegen, sondern wenn sie Anlagen oder Anlagenteile auch in der Chemieindustrie in gefährliche Zustände versetzen? Auf eine derartige Gefahr weist der Tüv Nord jetzt in Prüfprotokollen hin. „Betreiber sollten sich schnell Gedanken darüber machen, wie derartigen Angriffen begegnet wird“, sagt Sönke Martensen, Produktmanager bei Tüv Nord.
Besonders Betreiber überwachungsbedürftiger Anlagen sind von Cyberkriminalität bedroht, sofern Mess-, Steuer- und Regeltechnik eingesetzt wird. Denn diese ist durch Schadsoftware oder externen Zugriff beeinflussbar. Prinzipiell ist jegliche sicherheitsrelevante Mess-, Steuer- und Regeltechnik aller vernetzten Anlagen oder Anlagenteile sowie nicht abgesicherte Sensoren von dieser Gefahr betroffen. Die technischen Regeln für Betriebssicherheit nennen darüber hinaus Maschinen, elektrische Sicherheitseinrichtungen, Notbefehlseinrichtungen sowie Anlagen in explosionsgefährdeten Bereichen. Konkret heißt das: druckführende Leitungen, Kessel, Fördertechnik. Cyberkriminelle können sich Zugriff auf die Geräte verschaffen und die verbaute Mess-, Steuer- und Regeltechnik manipulieren.
Generell kann digitale Mess-, Steuer- und Regeltechnik Ziel von Cyberangriffen sein, mit gravierenden Folgen. Thermometer können falsche Temperaturen anzeigen, Manometer den falschen Druck. Manipulierte Positionsschalter können falsche Zustände anzeigen, Sensoren falsche Messergebnisse melden. Allgemein gesprochen:
Außerdem könnten Angreifer mittelbar auch in weitere, mit diesen Anlagen und Anlagenteilen vernetzte Technik eindringen und Schäden verursachen. Dazu zählen beispielsweise die Leittechnik, Brandmeldeeinrichtungen und Zugangssysteme.
Laut Tüv Nod haben schon viele Betreiber in der Vergangenheit Maßnahmen hinsichtlich Cybersicherheit ergriffen. Diese wurde jedoch nicht im Rahmen wiederkehrender Prüfungen betrachtet, denn die technische Sicherheit als solche steht hier im Vordergrund. Die Fragestellung lautet: Ist der technische Betrieb einer Anlage sicher? Künftig steht zusätzlich auf dem Prüfkatalog auch die Frage nach der Cybersicherheit, ob die Anlage vor Cyberangriffen von außen geschützt ist. Der Verordnungsgeber, das Bundesarbeitsministerium, hat jetzt im Zusammenwirken mit seinem Beratergremium, dem Ausschuss für Betriebssicherheit, auf die zunehmenden Bedrohungen durch Cyberkriminelle reagiert. Dies wird in der neu veröffentlichten Technischen Regel TRBS 1115-1 geregelt.
Vernetzte Anlagen und Anlagenteile lassen sich gegen Hackerangriffe sichern. Die einfachsten Maßnahmen sind eingeschaltete Firewalls und installierte Virenschutzprogramme, die Schadsoftware abfangen. Sönke Martensen: „Wer wissen will, wie gut seine Anlagen geschützt sind, macht einen Operation Technology (OT) Security Check. Cyber Risk Assessment und eine Zertifizierung der Informationssicherheit nach der Normenreihe Iso 27000 sind weitergehende und genauere Methoden zur Sicherheitsanalyse eigener IT-Systeme, um gezielt verbesserte Schutzmaßnahmen zu implementieren. Alle diese Maßnahmen bieten die ,Security4Safety‘-Experten von Tüv Nord an.“
Ein Hinweis im aktuellen Prüfprotokoll sagt, dass Maßnahmen gegen Gefährdungen nicht dokumentiert sind. Schon heute geben Sachverständige von Tüv Nord in Prüfberichten für überwachungsbedürftige Anlagen derartige Hinweise, nachdem sie geprüft haben, ob Maßnahmen zur Cybersicherheit ergriffen wurden. Aktuell müssen Betreiber nicht mit Sanktionen rechnen. Noch sind die Regelungen für die Prüfung von Cyberangriffen auf Industrieanlagen nicht in den Technischen Regeln für Betriebssicherheit (TRBS 1115) veröffentlicht. Zurzeit wird auf Lücken im Sicherheitssystem nur hingewiesen. In einem zweiten Schritt wird dieser Hinweis als ein geringer Mangel eingestuft. Damit muss der Betreiber innerhalb eines Jahres eine Gefährdungsbeurteilung zur OT-Security vorweisen. In einem dritten Schritt werden auch inhaltliche Prüfungen der Gefährdungsbeurteilung folgen. Wann und in welchem Umfang diese Stufen umgesetzt werden, ist noch nicht entschieden. Aus eigenem Interesse jedoch sollten Betreiber gefährdeter Anlagen schnellstmöglich für einen geeigneten Schutz und für geeignete Abwehrmaßnahmen sorgen.
