TRBS 1115-1 ignoriert: Wenn mangelnde Cybervorsorge Menschenleben gefährdet

Cybersicherheit bei Druckanlagen ist ein unterschätztes Risiko mit potenziell fatalen Folgen, es gibt Handlungsbedarf.

Zur Minderung des Risikos, welches die Cybersicherheit betrifft, hat der Gesetzgeber bereits 2023 im Rechtsbereich der Betriebssicherheitsverordnung (BetrSichV) die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 veröffentlicht. Die in der TRBS 1115-1 geforderten Vorkehrungen zur Cybersicherheit werden anhand der vom Betreiber vorgelegten Dokumentation seitdem auch auf Plausibilität, sowie zu einem späteren Zeitpunkt auf Wirksamkeit der getroffenen Maßnahmen bewertet. Das erleichtert den Betreibern, sich hier vorzubereiten, um ein vorhandenes Konzept zu aktualisieren und zu verbessern oder – sofern nötig – eines zu erarbeiten.

Mit der Veröffentlichung der – additiven - TRBS 1115-1 für Sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen hat der Gesetzgeber eine klare Botschaft gesendet: Sicherheit von Druckanlagen endet nicht bei mechanischer Integrität, Materialprüfung oder klassischem Explosionsschutz.

Moderne Druckanlagen sind heute hochgradig digitalisiert, vernetzt und softwaregesteuert. Damit sind sie auch potenzielles Ziel von Cyberangriffen.

Die Technische Regel fordert daher ausdrücklich, dass Betreiber ein Cybersicherheitskonzept vorhalten und dieses im Rahmen von Prüfungen vorweisen können. Doch in der Praxis zeigt sich zunehmend eine gefährliche Entwicklung: Das Thema wird häufig als Formalität behandelt – nicht als sicherheitskritischer Bestandteil des Anlagenbetriebs. Es wird gar nicht geliefert oder man weist nur auf die allgemeinen Schutzmaßnahmen hin oder es ist aktuell oder nicht gut genug auf das Risiko abgestimmt.

Digitalisierung macht Druckanlagen angreifbar

Denn Druckanlagen werden heute über SPS-Systeme, Fernwartungslösungen und Industrie-Netzwerke gesteuert. Diese Systeme erhöhen Effizienz und Verfügbarkeit, öffnen jedoch gleichzeitig Angriffsflächen. Ein erfolgreicher Cyberangriff kann beispielsweise:

• Sicherheitsgrenzwerte verändern

• Druckregelungen manipulieren

• Schutzabschaltungen deaktivieren

• Messwerte verfälschen

• Bedienpersonal in falscher Sicherheit wiegen

Anders als bei klassischen IT-Störungen geht es hier nicht nur um Datenverlust oder Produktionsausfall. Manipulierte Steuerungen können unmittelbar physische Gefahren erzeugen – von unkontrollierten Druckanstiegen bis hin zu Explosionen oder Freisetzungen gefährlicher Stoffe. Damit wird Cybersicherheit zu einer direkten Frage des Arbeitsschutzes und des Schutzes von Menschenleben.

Das Papierproblem: Konzepte ohne Substanz

Trotz dieser Risiken entstehen vielerorts Cybersicherheitskonzepte, die primär auf das Bestehen von Prüfungen ausgerichtet sind. Häufig bestehen sie aus allgemeinen Beschreibungen, Verweisen auf IT-Richtlinien oder Standardformulierungen ohne konkrete technische Umsetzung. Typische Schwachstellen sind z. B.:

• Fehlende Risikoanalysen speziell für die Steuerungs- und Automatisierungstechnik

• Unklare Verantwortlichkeiten zwischen IT, OT und Betrieb

• Unzureichende Segmentierung von Netzwerken

• Fehlende Notfall- und Wiederanlaufkonzepte

• Kaum Schulungen für Bedien- und Wartungspersonal

• Unzureichende Kontrolle von Fernwartungszugängen

• Fehlende Durchführung von Schwachstellenanalysen mit Systemscans

• Unzureichende Anwendung einschlägiger anderer Normen (z. B. IEC 62443) und kein aktueller Stand der Technik

Ein solches Vorgehen vermittelt trügerische Sicherheit. Ein Dokument ersetzt keine Schutzmaßnahmen.

Prüfungen zwischen Formalprüfung und Sicherheitsbewertung

Eine wirksame Sicherheitsprüfung müsste jedoch auch bewerten:

• Ist das Konzept technisch umgesetzt?

• Werden Schutzmaßnahmen regelmäßig getestet?

• Sind Steuerungssysteme tatsächlich gegen Manipulation geschützt?

• Gibt es eine funktionsfähige Incident-Response-Organisation?

Wenn Prüfungen sich auf formale Nachweise beschränken, entsteht eine Sicherheitslücke zwischen regulatorischer Erwartung und realem Schutz.

Cyberangriffe sind kein Zukunftsszenario mehr

Industrieanlagen stehen zunehmend im Fokus organisierter Cyberkriminalität und staatlicher Akteure. Angriffe auf kritische Infrastrukturen zeigen bereits heute, dass Angreifer gezielt industrielle Steuerungssysteme manipulieren können.

Druckanlagen besitzen dabei ein besonderes Gefährdungspotenzial, da Fehlfunktionen unmittelbar physische Auswirkungen haben. Anders als bei vielen anderen IT-Systemen können hier Sekunden über schwere Unfälle entscheiden.

Betreiberverantwortung wächst

Die Verantwortung für die Sicherheit von Druckanlagen liegt eindeutig beim Betreiber. Cybersicherheit darf daher nicht als reines IT-Thema betrachtet werden. Sie ist integraler Bestandteil der Anlagensicherheit und damit Teil der Betreiberpflichten nach Betriebssicherheitsrecht.

Ein belastbares Cybersicherheitskonzept muss mindestens umfassen:

• Systematische Risikoanalyse für Steuerungs- und Automatisierungssysteme

• Klare Sicherheitsarchitektur für OT-Netzwerke

• Kontrollierte und abgesicherte Fernwartung

• Regelmäßige Sicherheitsüberprüfungen und Penetrationstests

• Schulung und Sensibilisierung des Personals

• Notfall- und Wiederherstellungspläne

Stilllegung

Es bleibt ein Risiko, kein Cybersicherheitskonzept zu haben, denn im Extremfall kann eine Anlage stillgelegt werden, wenn dieses nicht vorhanden ist. Allein das „Fehlen“ ist es jedoch nicht, es geht um die Folgewirkung. Die Schließung erfolgt dabei nicht auf Basis des TRBS, das ist nur eine Technische Regel. Aber fehlt ein Cybersicherheitskonzept vollständig, ist das in der Regel ein Hinweis darauf, dass die Gefährdungsbeurteilung unvollständig ist und sicherheitsrelevante Risiken nicht bewertet wurden. Dann ist das ein formaler und ggf. materieller Mangel.

Es hängt dann von der Gefährdungsbewertung und der behördlichen Bewertung ab, ob die zuständigen Behörden einschreiten und den Betrieb untersagen.

Cybersicherheit ist Explosionsschutz im digitalen Zeitalter

Die TRBS 1115-1 erkennt richtigerweise an, dass Cyberangriffe reale Gefahren für Mensch, Umwelt und Anlagen darstellen können. Entscheidend ist jedoch, dass diese Erkenntnis auch in der Praxis konsequent umgesetzt wird.

Cybersicherheitskonzepte dürfen daher nicht zu Pflichtdokumenten verkommen, die lediglich „auf dem Papier“ die formellen Prüfanforderungen erfüllen. Sie müssen belastbar sein, funktionieren und wirksam sein, sie müssen zudem als lebendiges Sicherheitsinstrument verstanden werden, das kontinuierlich weiterentwickelt und überprüft wird.

Denn wenn Cyberangriffe sicherheitskritische Anlagen beeinflussen, weil diese schlecht oder gar nicht geschützt sind, geht es nicht mehr um IT-Probleme. Dann geht es um den Schutz von Menschenleben.