Schutz vor Cyberkriminalität in Aufzügen

Aus gegebenem Anlass möchten wir unsere Kunden aus unserer Sicht zum Thema Cyberkriminalität informieren. Es soll Ihnen als Leitfaden dienen.

Das Thema sollten Betreiber von Aufzugsanlagen sehr ernst nehmen und in Ruhe und mit Vorsicht angehen.

Im März 2023 ist auf der Seite der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin (baua) die Technische Regel für Betriebssicherheit TRBS 1115-1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ veröffentlicht worden und somit für alle Betreiber verbindlich anzuwenden.

Die Zugelassenen Überwachungsstellen (ZÜS) haben seit Beginn 2023 bei Prüfungen überwachungs-bedürftiger Anlagen hinterfragt, ob im Rahmen der Gefährdungsbeurteilung ebenfalls die Möglichkeit einer Bedrohung durch Cyberattacken betrachtet wurde.

Sollte das nicht erfolgt sein, wurde der Betreiber seitens der Zugelassenen Überwachungsstelle bis zum 30.06.2023 mit dem Hinweis, auf diesen Umstand aufmerksam gemacht.

Gem. EK-ZÜS-Beschluss B-002 wird seit dem 01.07.2023 aus dem bisherigen „Hinweis“ in der Prüfbescheinigung, nun ein „geringfügiger Mangel“, sofern der Betreiber nicht nachweisen kann, dass er die Cyberbedrohung in der Gefährdungsbeurteilung aufgenommen hat. Es ist davon auszugehen, dass bei einer Nichtbefolgung der Vorgabe aus einem geringen Mangel bei der nächsten Prüfung ein schwerer Mangel werden kann.

Was müssen Ihre Wohnungsunternehmen und Verwaltungen als Betreiber beachten:

• Bei sicherheitsrelevanten MSR-Einrichtungen von Aufzügen handelt es sich gem. VDMA Fachverband Aufzüge und Fahrtreppen „ausschließlich um programmierbare elektronische Systeme in sicherheitsbezogenen Anwendungen (PESSRAL=Programmable Electronic System in Safety-Realeted Applications for Lifts), die für sicherheitsbezogene Anwendungen gemäß DIN EN 81-20:2020 Anhang A eingesetzt werden. Diese müssen durch geeignete Maßnahmen gegen Cyberangriffe geschützt werden.

• Zweiwege-Kommunikationssysteme (z.B. GSM) oder andere Komponenten, die keine Sicherheitsbausteine (PESSRAL) gem. Aufzugsrichtlinie sind, fallen nicht unter diese Regelung und sind aus dem ZÜS-Bericht zu streichen.

• Der Punkt „Cyberkriminalität“ muss in die Gefährdungsbeurteilungen aller überwachungs-bedürftiger Aufzugsanlagen aufgenommen werden und gem. BetrSichV § 3 Abs. 7 „auf dem Stand der Technik“ gehalten werden.

Leider können uns im Augenblick weder unsere Servicepartner, noch die Prüfungsorganisationen einen genauen und rechtssicheren Ablauf der Abarbeitung der Mängel geben. Uns fehlt eine genau Vorgabe, wie die Einträge in der GBU aussehen könnten, welche Testate zur Verfügung stehen und mit welchen Kosten zu rechnen ist. Wir haben zu allen genannten Partnern Kontakt aufgenommen und hoffen, dass wir bald zielführender informieren können.

Wowilift GmbH

Hans-Thoma-Str. 21

68163 Mannheim

Tel. 0621 – 42260-0

Ansprechpartner: Werner Huck und Henrik Erkens

E-Mail:  service@wowilift.de