Hausverwaltungen sollten sich um Cybersicherheit bemühen

Neue Anforderungen auf die Betreiber von Aufzugsanlagen seit März 2023

Am 22. März 2023 kamen mit der Veröffentlichung der Technischen Regel 1115 Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ im Rechtsbereich der BetrSichV weitere Anforderungen auf die Betreiber von Aufzugsanlagen – Firmen oder Hausverwaltungen – zu: Die Technische Regel 1115 Teil 1 bestimmt, dass nun mögliche Cyber-Bedrohungen an Arbeitsmitteln und überwachungsbedürftigen Anlagen wie Aufzügen identifiziert werden müssen. Das erfolgt im Rahmen einer Gefährdungsbeurteilung. Basierend auf dem Ergebnis müssen Vorkehrungen und Schutzmaßnahmen bestimmt und getroffen werden, um Risiken zu minimieren oder ganz auszuschließen. Das alles muss dokumentiert werden.

Aufzüge als Angriffsziel

Tatsächlich kann der unberechtigte Zugriff, eine Cyberattacke, auf Aufzüge Folgen haben: Steuerungen, Mess- und Notrufsysteme können manipuliert und die Mitfahrer können eingeschlossen werden oder Aufzüge nicht mehr fahren bzw. ausfallen. Hacker könnten die Fahrgeschwindigkeit verändern, den Aufzug zwischen den Stockwerken anhalten lassen oder Türen blockieren.

Gerade vernetzte Anlagen öffnen die Tür für Missbrauch und durch das Internet of Things (IoT) und smarte Gebäude sind Aufzüge immer öfter Teil dieses Netzwerks. Damit erhalten Angreifer im Worst Case Zugriff auf weitere Gebäudefunktionen, seien es Zutrittskontrollen oder Brandschutzeinrichtungen. Hollywood hat den Aufzug-Hack schon vor Jahren im Film „Stirb Langsam 4 (Live Free or Die Hard)“ zum Thema gemacht.

Sicherheit von Aufzügen: die Zuständigkeit

Der Betreiber des Aufzugs – das kann ein Unternehmen oder eine Hausverwaltung sein – ist gemäß Betriebssicherheitsverordung für die Sicherheit zuständig und auch haftbar. Seit dem 01. April 2024 ist die fehlende Dokumentation der Cybersicherheit bei einer Aufzugsprüfung prüfrelevant: Sie wird als geringfügiger Mangel durch die ausführende Prüfgesellschaft festgehalten.

>> IVV-Fachartikel: Betriebssicherheit - Streitfälle um die Übernahme von Kosten

Aufzüge vor potenziellen Attacken schützen

Mit der Technischen Regel für Betriebssicherheit TRBS 1115 Teil 1 und ihrem Fokus auf der Cybersicherheit für Mess-, Steuer- und Regeleinrichtungen ist der Schutz vor Cyberangriffen verpflichtend geworden. Betreiber müssen die sicherheitsrelevanten Komponenten der Aufzüge und Schnittstellen vor Hackerangriffen schützen. Dafür ist es notwendig, bestehende Sicherheitskonzepte zu überarbeiten und der Bedrohung von Cyberattacken Rechnung zu tragen.

Für viele bedeutet dies, die Gefährdungsbeurteilung (nach § 4 ÜAnlG sowie § 3 BetrSichV) zu aktualisieren und zu erweitern: Zunächst erfolgt eine Analyse der Gefährdungen, bei der gefährdete Komponenten, Software oder Schnittstellen und Schwachstellen untersucht werden. Dem schließt sich die Bewertung von Risiken und die Ermittlung des jeweiligen Schutzbedarfs an. Daraus werden wiederum Cybersicherheitsmaßnahmen abgeleitet, die umgesetzt werden müssen. Angesichts der dynamischen Bedrohungslage muss die Gefährdungsbeurteilung aktuell gehalten werden, auch mit Blick auf Gesetzesänderungen oder Umbauten bzw. Modernisierungen am Aufzug. Damit setzt der Betreiber alle von der TRBS 1115-1 geforderten Maßnahmen um.

Die Gefährdungsbeurteilung wird den Prüfern bei der regelmäßigen Aufzugsprüfung vorgelegt – die Umsetzung der Maßnahmen wird bei der Wiederholungsprüfung untersucht. Es wird geprüft, ob die identifizierten Cyberbedrohungen zutreffen und vollständig sind, ob die Sicherheitsvorkehrungen plausibel sind und ob die Dokumentation vollständig vorliegt.

Die Erfüllung der TRBS 1115-1 ist also nicht mit einer Checkliste erledigt; auch Schreiben des Herstellers zur Sicherheitseinschätzung des Aufzugs oder seiner Komponenten reichen nicht mehr aus.

Gefährdungsbeurteilung mit erfahrenem Partner

Wichtig ist es, dass eine unabhängige Prüforganisation und zugelassene Überwachungsstelle (ZÜS) nicht nur die Prüfungen vor Inbetriebnahme einer Aufzuganlage üernimmt, sondern auch die wiederkehrenden Haupt- und Zwischenprüfungen. Damit sind die externen Partner auch Ansprechpartner für die notwendigen Sicherheitsanalysen hinsichtlich der Cybersicherheit. Die Dokumentation der Prüfungen dient Betreibern als rechtssicherer Nachweis, dass alle Anforderungen der BetrSichV erfüllt werden.

Hausverwaltungen sind verantwortlich, mögliche Bedrohungen zu identifizieren

Aufzüge müssen sicher sein – der Gesetzgeber regelt die verschiedenen Facetten mit einigen Vorschriften. Hier ist die Cybersicherheit als weiterer Faktor hinzugekommen: Die Technische Regel Betriebssicherheit (TRBS) 1115 Teil 1 nennt die notwendigen Schutzmaßnahmen für Cybersicherheit, ihre Umsetzung und Überprüfung. Betreiber wie Firmen oder Hausverwaltungen sind verantwortlich, mögliche Bedrohungen zu identifizieren und ihre Anlagen entsprechend aufzurüsten und zu sichern. Bei den regelmäßigen Prüfungen der Aufzugsanlagen kann die Cybersicherheit nachgewiesen werden.

Autor: Stefan Löbig, Leiter Geschäftsfeld Fördertechnik TÜV Hessen