Strategie

Vorgaben für Cybersicherheit fehlen immer noch

Die Zahl der Cyberangriffe auf deutsche Unternehmen hat in den letzten Jahren kontinuierlich zugenommen. Dennoch gibt es bisher weitestgehend keine verbindlichen gesetzlichen Vorgaben für mehr Schutz.

Der Anlagensicherheits-Report 2022, der vom TÜV-Verband unter Mitwirkung aller deutschen Zugelassenen Überwachungsstellen (ZÜS) erstellt wird, lässt Böses ahnen: Die Expertinnen und Experten sehen nicht nur große Konzerne von Cyberangriffen bedroht, sondern vor allem auch kleine und mittlere Unternehmen. Dabei geht es nicht nur um Datendiebstahl oder Industriespionage, sondern auch um gefährliche Eingriffe in den Bereich der sogenannten Operational Technology (OT), also den eigentlichen Betrieb von Anlagen und Maschinen. In einer weitgehend vernetzten Produktion sind Operational Technology sowie Netzwerk- und Computertechnik eng miteinander verbunden. Aber während es für die gängigen Betriebssysteme regelmäßige Patches und Updates gibt, sind Maschinen und Anlagen in der Regel über Jahrzehnte hinweg weitestgehend unverändert im Einsatz und können aufgrund fehlender Anpassungen der Cybersicherheit relativ leicht angegriffen werden. „Aus diesem Grund muss bei industriellen Anlagen die Cybersicherheit von Anfang an mitgedacht werden“, sagt Jörg Becker, Experte für Industrielle Cybersecurity bei TÜV SÜD. „Wenn es Kriminelle beispielsweise schaffen, bis zur elektronischen Anlagensteuerung vorzudringen, können sie vernetzte Maschinen oder Produktionsstraßen übernehmen, zum Stillstand bringen oder bestimmte Prozesse manipulieren.“ Um das zu verhindern, ist nach Aussage des Experten ein integriertes Sicherheitskonzept nach dem Stand der Technik erforderlich, das die funktionale Sicherheit (Safety) und die Cybersecurity sowie ihre Wechselwirkungen umfassend berücksichtigt. „Die Unternehmen sollten sich schon bei der Anschaffung und Errichtung neuer Maschinen und Anlagen intensiv mit den Sicherheitsanforderungen befassen“, so Becker, „und ihre Sicherheitskonzepte im laufenden Betrieb immer wieder auf den neuesten Stand bringen.“

Gesetzliche Vorgaben hinken Technik hinterher

„Um mit der Entwicklung modularer und teilweise schon selbst lernender Anlagen und Systeme schrittzuhalten, müssen zudem die gesetzlichen Vorgaben aktualisiert und dynamisch fortgeschrieben werden“, ergänzt Dieter Roas, Vorsitzender des Erfahrungsaustauschkreises der Zugelassenen Überwachungsstellen beim TÜV-Verband. Das gilt sowohl für europäische Regelwerke wie die Maschinenverordnung oder die Aufzugsrichtlinie, als auch für nationale Regelwerke wie das Gesetz über überwachungsbedürftige Anlagen (ÜAnlG). Mit dem neuen ÜAnlG hat das Bundesministerium für Arbeit und Soziales (BMAS) nach Aussage des TÜV-Experten einen wesentlichen Beitrag dazu geleistet, den hohen Sicherheitsstandard in Deutschland aufrechtzuerhalten und zukunftssicher zu machen. „Das beinhaltet vor allem auch die unabhängige Drittprüfung durch die Zugelassenen Überwachungsstellen“, betont Roas. „Aufgrund der wachsenden technischen Komplexität und der zunehmenden Vernetzung ist die Prüfung durch unabhängige Dritte unbedingt erforderlich, um die sichere Verwendung von Anlagen und Maschinen nach dem Stand der Technik und den Schutz von Menschen, Umwelt und Sachwerten zu gewährleisten.“