Analysiert: TRBS 1115 Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“
Im folgenden Video auf der eco COMPLIANCE Couch berichten Astrid Dolezych und Karsten Aldenhövel ausführlich über die neuen Anforderungen an sicherheitsrelevanten MSR-Einrichtungen. Für alle die lieber lesen wollen folgt nach dem Video ein Textbeitrag. Die Technische Regel TRBS 1115 Teil 1 kann hier heruntergeladen werden.
Betroffenheit
Betriebe mit Einsatz von Mess-, Steuer- und Regeleinrichtungen (MSR); Elektrofachkräfte/MSR-Ingenieure; Anlagensicherheit; Fachkräfte für Arbeitssicherheit; Instandhaltung; IT-Abteilung
Wie werden sicherheitsrelevante MSR-Einrichtungen identifiziert? (siehe auch TRBS 1115)
Die Technische Regel beschreibt dies nur sehr sperrig. Die „einfachste“ Vorgehensweise zur Ermittlung sicherheitsrelevanter MSR-Einrichtungen ist, die Gefährdungsbeurteilung für diesen Part als Ausfalleffektanalyse durchzuführen. Das heißt
- jede MSR-Einrichtung lässt man in einer theoretischen Analyse ausfallen und
- es werden die daraus resultierenden Effekte zunächst ohne Wertung beschrieben. Das Auftreten von mehreren Fehlern ist – abgesehen von Kernkraftwerken – nicht zu unterstellen, jedoch kann ein Fehler, der zum Ausfall einer MSR-Einrichtung führt, weitere Folgen haben. Inhärent sichere Maßnahmen können in jedem Fall als wirksam berücksichtigt werden.
- Dann findet eine Bewertung statt, ob die Auswirkungen des Ausfalls eine Gefahr für Leib und Leben oder auch für die Umwelt darstellen. Ist dies der Fall, handelt es sich bei der Einrichtung um eine sicherheitsrelevante MSR-Einrichtung, deren
- Klassifikation des SIL (erforderliche Risikominderung) nach der IEC 62061 ggf. zusätzlich anhand der Einschätzung von Schwere, Häufigkeit und Wahrscheinlichkeit des Ausfalls ermittelt werden kann.
Cybersicherheit
Cybersicherheit bezieht sich in der TRBS auf alle technischen und organisatorischen Maßnahmen, die notwendig sind, um Netz- und Informationssysteme sowie Nutzer solcher Systeme vor Cyberbedrohungen zu schützen. Die TRBS verwendet den Begriff „Cybersicherheit“ jedoch nur für den Schutz sicherheitsrelevanter MSR-Einrichtungen, die als technische Schutzmaßnahme für die sichere Verwendung eines Arbeitsmittels inklusive einer überwachungsbedürftigen Anlage eingesetzt werden.
IT/OT-Umgebung
Die IT/OT-Umgebung bezeichnet IT/OT-Systeme, die mit sicherheitsrelevanten MSR-Einrichtungen kommunizieren. Eine mögliche Bedrohung durch die IT/OT-Umgebung kann die Zuverlässigkeit der MSR-Einrichtungen beeinträchtigen. IT-Systeme sind Hard- und Softwarekomponenten zur elektronischen Datenverarbeitung, während OT-Systeme zur Steuerung, Regelung, Überwachung und Kontrolle von Maschinen, Anlagen und Prozessen dienen.
Instandhaltung
Instandhaltung im Sinne dieser TRBS umfasst die für die Aufrechterhaltung der Cybersicherheit erforderlichen Tätigkeiten an der Hard- und Software der betroffenen Komponenten. Insbesondere zählen hierzu sicherheitsrelevante Software-Updates.
Nachricht
Um die neue TRBS 1115 Teil 1 einzuhalten und die Anforderungen der Cybersicherheit an sicherheitsrelevante MSR-Einrichtungen zu erfüllen, muss der Arbeitgeber zunächst eine Gefährdungsbeurteilung durchführen bzw. bestehende fortschreiben und notwendige Maßnahmen ableiten. Dabei sind Cyberbedrohungen einzuschätzen/zu beurteilen, um Gefährdungen für Beschäftigte und andere Personen zu vermeiden. Sicherheitsrelevante MSR-Einrichtungen müssen nach dem Stand der Technik vor Cyberbedrohungen geschützt sein, um ihre Funktionsfähigkeit während der gesamten Verwendungsdauer des Arbeitsmittels sicherzustellen. Dazu sind Cybersicherheitsmaßnahmen zu implementieren und regelmäßig zu überprüfen. Cybersicherheit muss während des gesamten Sicherheitslebenszyklus der sicherheitsrelevanten MSR-Einrichtung gewährleistet sein, einschließlich
- Hardware,
- Software,
- Daten/Informationen,
- Schnittstellen sowie die mit ihrer Verwendung verbundenen
- Prozesse,
- Richtlinien,
- Organisationen sowie
- Personen und der
- IT/OT-Umgebung.
SICHERHEITSRELEVANTE MSR-EINRICHTUNG FÜR EIN ARBEITSMITTEL PLANEN UND REALISIEREN UNTER BERÜCKSICHTIGUNG VON CYBERSICHERHEIT (Pkt. 4)
Wird die sicherheitsrelevante MSR-Einrichtung als Teil eines verwendungsfertigen Produktes auf dem Markt bereitgestellt, unterliegt dieses Produkt insgesamt den Anforderungen der entsprechenden Rechtsvorschriften zum Inverkehrbringen. Wenn das Arbeitsmittel jedoch keine bestätigten Schutzmaßnahmen gegen Cyberbedrohungen hat oder wenn die MSR-Einrichtung vom Arbeitgeber in eigener Verantwortung zur Verfügung gestellt wird, muss der Arbeitgeber die erforderlichen Cybersicherheitsmaßnahmen im Rahmen eines eigenen Schutzkonzepts der Cybersicherheit festlegen und dokumentieren.
Zur Festlegung von Cybersicherheitsmaßnahmen müssen zunächst alle sicherheitsrelevanten MSR-Einrichtungen und die IT/OT-Umgebung erfasst werden. Anschließend müssen potenzielle Bedrohungen für die Integrität und Verfügbarkeit dieser Elemente durch Cyberbedrohungen erfasst und bewertet werden. Basierend auf diesen Bewertungen sollten geeignete Cybersicherheitsmaßnahmen ausgewählt und umgesetzt werden, wobei vorhandene Maßnahmen berücksichtigt werden können. Dabei ist es wichtig, die Rückwirkungsfreiheit der Maßnahmen auf die Sicherheitsfunktion zu gewährleisten. Schließlich müssen Fristen oder Anlässe für Aktualisierungen und Kontrollen festgelegt werden und ein Vorgehen zur regelmäßigen Ermittlung von Schwachstellen und Bedrohungen in der IT/OT-Umgebung definiert werden.
Wenn eine sicherheitsrelevante MSR-Einrichtung mit bestätigtem Schutz gegen Cyberbedrohungen nach dem Stand der Technik vom Hersteller bereitgestellt wird, muss der Arbeitgeber die vom Hersteller festgelegten technischen und organisatorischen Cybersicherheitsmaßnahmen aufrechterhalten. Die Unterlagen, Fristen für Aktualisierungen und Kontrollen sowie Informationsquellen zu aktuellen Cyberbedrohungen müssen in die eigene Gefährdungsbeurteilung aufgenommen werden.
ORGANISATORISCHE MASSNAHMEN (Pkt. 3.3)
Die folgenden organisatorischen Maßnahmen sind erforderlich, um die Wirksamkeit der Cybersicherheitsmaßnahmen dauerhaft sicherzustellen:
- Festlegung von Zugriffsrechten, Fachkunde (Qualifikation), Tätigkeiten, Verantwortlichkeiten, Zuständigkeiten und Aufgaben der Personen, die für den Auswahl-, Beschaffungs- und Integrationsprozess verantwortlich sind oder im Betrieb mit einer sicherheitsrelevanten MSR-Einrichtung und der IT/OT-Umgebung umgehen können.
- Festlegung eigener Verfahren zur Anwendung geeigneter Cybersicherheitsmaßnahmen für die sicherheitsrelevanten MSR-Einrichtungen, wenn die Einrichtungen als Teil eines Arbeitsmittels ohne ausreichende Cybersicherheitsmaßnahmen bereitgestellt werden, nicht entsprechend den Herstellervorgaben betrieben werden oder durch den Arbeitgeber in eigener Verantwortung zur Verfügung gestellt werden.
- Berücksichtigung der Maßnahmen aus dem eigenen Management der Cybersicherheit, wenn der Arbeitgeber zur Aufrechterhaltung von Eignung und Anwendung von Cybersicherheitsmaßnahmen ein Management der Cybersicherheit im Betrieb einführt. Hierzu gehören:
- Initiierung des Informationssicherheitsprozesses
- Erstellung einer Leitlinie zur Cybersicherheit auf Basis der sicherheitstechnischen Anforderungen
- Organisation des Sicherheitsprozesses
- Erstellung einer Cybersicherheitskonzeption
- Umsetzung der Cybersicherheitskonzeption und Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen
- Aufrechterhaltung des Cybersicherheitsniveaus und Verbesserung.
Darüber hinaus müssen fachkundige Personen die Gefährdungsbeurteilung durchführen, um Gefährdungen der Beschäftigten bei der Verwendung von sicherheitsrelevanten MSR-Einrichtungen bzw. Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen systematisch zu ermitteln und zu bewerten sowie aus dem Ergebnis Schutzmaßnahmen abzuleiten. Der Arbeitgeber muss die erforderliche Qualifikation unter Berücksichtigung der vorliegenden technischen Systeme festlegen und dokumentieren. Die erforderliche Fachkunde umfasst technische Kenntnisse, Ausbildung und Erfahrung auf mehreren Gebieten, einschließlich gesetzlicher Anforderungen und Vorschriften sowie Normen zur Cybersicherheit, grundlegende Kenntnisse im Bereich Cybersicherheit sowie Branchenkenntnisse. Für die Beurteilung der Cybersicherheit der sicherheitsrelevanten MSR-Einrichtungen sind im Wesentlichen Kenntnisse zu den Cyberbedrohungen der jeweiligen Schnittstellen notwendig.
CYBERSICHERHEITSMASSNAHMEN (Pkt. 4.5)
Zu den Grundsätzen und Anforderungen an Cybersicherheitsmaßnahmen wird betont, dass auf die Widerstandsfähigkeit der betroffenen technischen Systeme geachtet werden muss. Die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen innerhalb der MSR-Einrichtung oder zwischen Einrichtungen und ihrer Umgebung müssen gewährleistet sein. Es wird auch empfohlen, dass Methoden und Verfahren so gestaltet werden sollten, dass sie die Ergonomie und die Akzeptanz der Beschäftigten berücksichtigen, um unsichere Verhaltensweisen zu vermeiden. Darüber hinaus werden folgende Maßnahmen empfohlen, die im Rahmen der Gefährdungsbeurteilung zu diskutieren und hinsichtlich ihrer spezifischen Umsetzung festzulegen sind:
- Segmentierung und Fernzugriffsmöglichkeit
Die IT/OT-Umgebung und die MSR-Einrichtungen müssen abhängig von ihrem Schutzbedarf in entsprechend geschützten Segmenten betrieben werden. Der Zugriff auf die IT/OT-Umgebung und die MSR-Einrichtungen aus dem Internet und umgekehrt (Fernzugriff) ist mit besonders hohen Risiken verbunden und deshalb technisch zu unterbinden oder mit besonderen Cybersicherheitsmaßnahmen zu schützen. - Regelungen zu Zugang und Zugriff
Der Schutz der Komponenten wird u.a. durch die Kontrolle und Restriktion des physischen und logischen Zugangs auf die Komponenten erreicht. Entsprechend sind den jeweiligen Tätigkeitsprofilen (Rollen) zugeordnete Rechte, wirksame Authentifizierungsverfahren (Zugangskarten, Passwörter etc.) und physische Barrieren (Räume, Schränke etc.) festzulegen. - Härtung von Komponenten
Die Funktionalität der Hard- und Softwarekomponenten sind auf ein dem Einsatzzweck entsprechendes Mindestmaß zu reduzieren. - Unabhängigkeit von sicherheitsrelevanten MSR-Einrichtungen
Sicherheitsrelevante MSR-Einrichtungen müssen so ausgelegt sein, dass sie durch die IT/OT-Umgebung nicht unzulässig beeinflusst werden können. - Überwachung
Um sicherheitsrelevante Ereignisse rechtzeitig zu erkennen, sollten Überwachungen innerhalb der IT/OT-Umgebung an geeigneten Stellen installiert werden. - Notfallmanagement
Es müssen Maßnahmen festgelegt werden, wie im Fall einer Kompromittierung der sicherheitsrelevanten MSR-Einrichtung eine Gefährdung von Beschäftigten ausgeschlossen wird.
ÜBERPRÜFUNG DER WIRKSAMKEIT DER CYBERSICHERHEITSMASSNAHMEN (Pkt. 5)
Die neue TRBS 1115 Teil 1 schreibt mit Verweis auf die Betriebssicherheitsverordnung vor, dass der Arbeitgeber die Wirksamkeit der Cybersicherheitsmaßnahmen vor der erstmaligen Verwendung eines Arbeitsmittels überprüfen muss. Die Überprüfung erfolgt, um sicherzustellen, dass die erforderliche Cybersicherheit der sicherheitsrelevanten MSR-Einrichtungen gegeben ist. Die Wirksamkeit der Cybersicherheitsmaßnahmen kann angenommen werden, wenn diese den Spezifikationen entsprechen, funktionsfähig sind und die Beschäftigten über die organisatorischen Cybersicherheitsmaßnahmen informiert und geschult wurden.
Bei der Überprüfung müssen bestimmte Punkte beachtet werden, insbesondere muss sichergestellt sein, dass die Spezifikationen der Cybersicherheitsmaßnahmen den Anforderungen der Gefährdungsbeurteilung entsprechen. Des Weiteren müssen alle Cybersicherheitskomponenten funktionsfähig sein, die Beurteilungskriterien zur Bewertung der Cybersicherheitsmaßnahmen eindeutig festgelegt sein und Art und Umfang der Überprüfung definiert werden.
Es darf durch die Überprüfung keine Gefährdung durch unzulässige Rückwirkungen auf die sicherheitsrelevanten MSR-Einrichtungen entstehen. Nach der Überprüfung müssen alle Arbeitsmittel wieder in den normalen Betriebszustand zurückversetzt werden, falls temporäre Veränderungen vorgenommen wurden, um die Überprüfung durchführen zu können.
INSTANDHALTUNG (Pkt. 6 f.)
Nach Betriebssicherheitsverordnung mit Berücksichtigung des Aspekts der Cybersicherheit sind folgende Punkte für die Prüfung des Arbeitsmittels vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtiger Änderung zu berücksichtigen:
- Prüfung der geeigneten und funktionsfähigen Cybersicherheitsmaßnahmen anhand der Dokumentation des Herstellers und der Spezifikation der Cybersicherheitsmaßnahmen
- Überprüfung auf mögliche Cyberbedrohungen, wenn die Gefährdungsbeurteilung dies ergibt
- Prüfung, ob ein Verfahren vorhanden ist, das anlassbezogen neue Erkenntnisse berücksichtigt
- Möglichkeit, Ergebnisse aus dem eigenen Management der Cybersicherheit zu nutzen oder
- Möglichkeit, Ergebnisse der Überprüfung der Wirksamkeit der Cybersicherheitsmaßnahmen zu nutzen, wenn Durchführung und Ergebnis der Überprüfung für die zur Prüfung befähigte Person oder zugelassene Überwachungsstelle nachvollziehbar sind.
Für die wiederkehrende Prüfung von Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen sind folgende Punkte zu berücksichtigen
- Prüfung, ob Vorgaben zur regelmäßigen Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen vorhanden sind
- Prüfung der geeigneten und funktionsfähigen Cybersicherheitsmaßnahmen anhand der Dokumentation des Herstellers und der Spezifikation der Cybersicherheitsmaßnahmen
- Möglichkeit, Ergebnisse aus dem eigenen Management der Cybersicherheit zu nutzen
- Nachvollziehen, wie die geforderte Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen weiterhin erreicht wird, wenn kein Management der Cybersicherheit angewendet wird
- Feststellung, ob prüfpflichtige Änderungen an sicherheitsrelevanten MSR-Einrichtungen und den Cybersicherheitsmaßnahmen bewertet und anlassbezogene neue Erkenntnisse zu Cyberbedrohungen berücksichtigt wurden und gegebenenfalls Anpassungen vorgenommen wurden.
VERWENDUNG UND KONTROLLEN (Pkt. 8)
Die Technische Regel beschreibt hierzu folgende Anforderungen:
- regelmäßige Unterweisung der Beschäftigten über organisatorische Cybersicherheitsmaßnahmen, korrekte Reaktion auf Cyberbedrohungen und Notfallmanagement (Pkt. 8.1)
- Gewährleistung der Cybersicherheitsmaßnahmen während der gesamten Verwendung des Arbeitsmittels und Ersatzmaßnahmen bei ausgeschalteten oder eingeschränkt verfügbaren Maßnahmen (Pkt. 8.2.1)
- Regelmäßige Kontrollen der Funktionsfähigkeit der Maßnahmen zur Cybersicherheit (Pkt. 8.2.2)
- Durchführung von Tätigkeiten zur Aufrechterhaltung der Cybersicherheit nur von fachkundigen, beauftragten und unterwiesenen Beschäftigten oder von vergleichbar qualifizierten Auftragnehmern (Pkt. 8.2.3)
- Beurteilung von Änderungen an sicherheitsrelevanten MSR-Einrichtungen mit Berücksichtigung der Aspekte der Cybersicherheit und ggf. Durchführung von Prüfungen (Pkt. 8.3)
- Sicherstellung der rückwirkungsfreien Außerbetriebnahme von Cybersicherheitsmaßnahmen und Aussonderung von sicherheitsrelevanten MSR-Einrichtungen oder ihrer IT-Umgebung (Pkt. 8.4)
Handlungsempfehlung
- Führen Sie mit Hilfe von Fachkundigen eine Gefährdungsbeurteilung durch (bzw. schreiben Sie bestehende fort) und leiten Sie notwendige Maßnahmen ab. Dabei sind Cyberbedrohungen einzuschätzen und zu beurteilen.
- Sicherheitsrelevante MSR-Einrichtungen müssen nach dem Stand der Technik vor Cyberbedrohungen geschützt sein, um ihre Funktionsfähigkeit während der gesamten Verwendungsdauer des Arbeitsmittels sicherzustellen.
- Treffen Sie organisatorische Maßnahmen, wie die Festlegung von Zugriffsrechten, Verantwortlichkeiten sowie Aufgaben und erforderliche Qualifikation der relevanten Mitarbeiter. Erstellen Sie eigene Verfahren zur Anwendung geeigneter Cybersicherheitsmaßnahmen.
- Legen Sie Cybersicherheitsmaßnahmen fest, die auf die Widerstandsfähigkeit der betroffenen technischen Systeme achten. Hierzu gehören Segmentierung, Regelungen zu Zugang und Zugriff, Härtung von Komponenten, Unabhängigkeit von sicherheitsrelevanten MSR-Einrichtungen, Überwachung und Notfallmanagement.
- Die Wirksamkeit der Cybersicherheitsmaßnahmen ist vor der erstmaligen Verwendung eines Arbeitsmittels zu überprüfen.
- Bei der wiederkehrenden Prüfung von Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen, ist zu prüfen ob Vorgaben zur regelmäßigen Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen vorhanden sind und sichergestellt ist, dass anlassbezogene neue Erkenntnisse zu Cyberbedrohungen berücksichtigt werden.
- Gewährleisten Sie eine regelmäßige Unterweisung der Beschäftigten über organisatorische Cybersicherheitsmaßnahmen und korrekte Reaktion auf Cyberbedrohungen.
- Implementieren Sie ein Notfallmanagement für den Fall der Kompromittierung von sicherheitsrelevanten MSR-Einrichtungen.