Die Zahl der Cyberangriffe auf deutsche Unternehmen hat in den letzten Jahren kontinuierlich zugenommen. Dennoch gibt es bisher weitestgehend keine verbindlichen gesetzlichen Vorgaben für die Cybersecurity der meisten Anlagen und Maschinen. Darauf hat der TÜV-Verband bei der Vorstellung des Anlagensicherheits-Reports 2022 hingewiesen. Der Verband fordert die Aufnahme entsprechender Vorgaben in die europäischen und nationalen Regelwerke.

Konzerne und KMUs sind gleichermaßen gefährdet

Der Anlagensicherheits-Report 2022 wird vom TÜV-Verband unter Mitwirkung aller deutschen Zugelassenen Überwachungsstellen (ZÜS) erstellt. Die Expertinnen und Experten sehen nicht nur große Konzerne von Cyberangriffen bedroht, sondern vor allem auch kleine und mittlere Unternehmen. Dabei geht es nicht nur um Datendiebstahl oder Industriespionage, sondern auch um gefährliche Eingriffe in den Bereich der sogenannten Operational Technology (OT), also den eigentlichen Betrieb von Anlagen und Maschinen.

In einer weitgehend vernetzten Produktion sind Operational Technology sowie Netzwerk- und Computertechnik eng miteinander verbunden. Aber während es für die gängigen Betriebssysteme regelmäßige Patches und Updates gibt, sind Maschinen und Anlagen in der Regel über Jahrzehnte hinweg weitestgehend unverändert im Einsatz und können aufgrund fehlender Anpassungen der Cybersicherheit relativ leicht angegriffen werden.

„Aus diesem Grund muss bei industriellen Anlagen die Cybersicherheit von Anfang an mitgedacht werden“, sagt Jörg Becker, Experte für Industrielle Cybersecurity bei TÜV SÜD. „Wenn es Kriminelle beispielsweise schaffen, bis zur elektronischen Anlagensteuerung vorzudringen, können sie vernetzte Maschinen oder Produktionsstraßen übernehmen, zum Stillstand bringen oder bestimmte Prozesse manipulieren.“

Integriertes Sicherheitskonzept ist notwendig

Um das zu verhindern, ist nach Aussage des Experten ein integriertes Sicherheitskonzept nach dem Stand der Technik erforderlich, das die funktionale Sicherheit (Safety) und die Cybersecurity sowie ihre Wechselwirkungen umfassend berücksichtigt. „Die Unternehmen sollten sich schon bei der Anschaffung und Errichtung neuer Maschinen und Anlagen intensiv mit den Sicherheitsanforderungen befassen“, so Becker, „und ihre Sicherheitskonzepte im laufenden Betrieb immer wieder auf den neuesten Stand bringen.“

„Um mit der Entwicklung modularer und teilweise schon selbst lernender Anlagen und Systeme schrittzuhalten, müssen zudem die gesetzlichen Vorgaben aktualisiert und dynamisch fortgeschrieben werden“, ergänzt Dieter Roas, Vorsitzender des Erfahrungsaustauschkreises der Zugelassenen Überwachungsstellen beim TÜV-Verband.

Das gilt sowohl für europäische Regelwerke wie die Maschinenverordnung oder die Aufzugsrichtlinie, als auch für nationale Regelwerke wie das Gesetz über überwachungsbedürftige Anlagen (ÜAnlG). Mit dem neuen ÜAnlG hat das Bundesministerium für Arbeit und Soziales (BMAS) nach Aussage des TÜV-Experten einen wesentlichen Beitrag dazu geleistet, den hohen Sicherheitsstandard in Deutschland aufrechtzuerhalten und zukunftssicher zu machen.

Prüfung durch Dritte unbedingt erforderlich

„Das beinhaltet vor allem auch die unabhängige Drittprüfung durch die Zugelassenen Überwachungsstellen“, betont Roas. „Aufgrund der wachsenden technischen Komplexität und der zunehmenden Vernetzung ist die Prüfung durch unabhängige Dritte unbedingt erforderlich, um die sichere Verwendung von Anlagen und Maschinen nach dem Stand der Technik und den Schutz von Menschen, Umwelt und Sachwerten zu gewährleisten.“

Der Anlagensicherheits-Report 2022 wurde in der Zeitschrift „Technische Überwachung“ des TÜV-Verbandes veröffentlicht und unter Mitwirkung aller deutschen Zugelassenen Überwachungsstellen (ZÜS) erstellt.

Weitere Informationen dazu gibt es unter www.tuev-verband.de sowie www.technische-ueberwachung.de. Den TÜV-Anlagensicherheitsreport steht hier zum kostenfreien Download zur Verfügung.