Die zunehmende Digitalisierung macht auch vor Aufzugsanlagen nicht halt. Was einst rein mechanische und elektrische Systeme waren, hat sich in den letzten Jahren durch moderne Vernetzung zu potenziellen Zielen für Cyberangriffe entwickelt. Die Technisierung von Aufzügen bringt zweifellos viele Vorteile mit sich, doch sie birgt auch neue Risiken. So können Cyberkriminelle versuchen, Aufzüge zu manipulieren, was sowohl die Sicherheit der Nutzer als auch den Betrieb gefährden kann.
Seit März 2023 gibt es neue gesetzliche Vorschriften, die Betreiber von Aufzugsanlagen dazu verpflichten, Maßnahmen zur Cybersicherheit zu ergreifen. Diese Regularien sind in der Technischen Regel für Betriebssicherheit (TRBS) 1115-1 festgeschrieben. Sie verlangen von Betreibern, eine Gefährdungsbeurteilung durchzuführen, um mögliche Cyberbedrohungen zu identifizieren und geeignete Gegenmaßnahmen zu treffen. Ziel dieser Regelungen ist es, Aufzugsanlagen gegen digitale Angriffe zu schützen und gleichzeitig die Sicherheit für die Nutzer zu erhöhen.
Warum ist Cybersicherheit bei Aufzügen wichtig?
Aufzüge zählen zu den am häufigsten genutzten Verkehrsmitteln weltweit. In modernen Gebäuden sind sie häufig digital gesteuert und überwacht. Wartungsunternehmen können per Fernzugriff feststellen, ob eine Anlage ordnungsgemäß funktioniert oder eine Störung vorliegt. Durch diese Vernetzung wird es aber auch möglich, dass Cyberkriminelle Aufzüge aus der Ferne angreifen. Matthias Springer, Cybersecurity-Experte bei TÜV NORD, beschreibt die potenziellen Risiken solcher Angriffe: Hacker könnten sich Zugang zu den Steuerungen verschaffen, die Geschwindigkeit des Aufzugs verändern, Türen blockieren oder sie während der Fahrt öffnen.
Noch bedrohlicher wird das Szenario, wenn mehrere Aufzüge in einem Gebäude gleichzeitig von einem Angriff betroffen sind. Besonders schlimm wäre es, wenn zusätzlich die Notrufeinrichtungen deaktiviert würden, sodass Rettungskräfte nicht wüssten, wo sich eingeschlossene Personen befinden. Solche Cyberangriffe könnten nicht nur die direkte Funktionsfähigkeit des Aufzugs beeinflussen, sondern auch andere vernetzte Systeme im Gebäude, wie Klimaanlagen oder Brandschutzvorrichtungen.
Neue Regelungen zur Erhöhung der Cybersicherheit
Die TRBS 1115-1 setzt genau an diesen Gefahrenpunkten an. Sie fordert, dass Betreiber von Aufzügen eine Risikoanalyse durchführen und dabei auch mögliche Cyberbedrohungen berücksichtigen. Dazu gehört, alle sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR) auf potenzielle Schwachstellen zu überprüfen. Diese Einrichtungen sind häufig digital und bieten damit eine Angriffsfläche für Cyberkriminelle.
Obwohl diese Regelung neu ist, ist sie für Betreiber von Aufzugsanlagen gesetzlich verpflichtend. Die Betriebssicherheitsverordnung (BetrSichV) sowie das Gesetz über überwachungsbedürftige Anlagen (ÜAnlG) machen es für Betreiber erforderlich, Cybersicherheitsmaßnahmen zu implementieren. Andernfalls drohen nicht nur Mängelanzeigen bei der regelmäßigen Aufzugsprüfung, sondern auch ernsthafte Sicherheitsprobleme.
Welche Maßnahmen müssen ergriffen werden?
Betreiber müssen ihre bestehenden Gefährdungsbeurteilungen erweitern, um potenzielle Cyberbedrohungen zu identifizieren und zu bewerten. Die TRBS 1115-1 bietet dabei eine konkrete Hilfestellung, welche Maßnahmen erforderlich sind, um die Cybersicherheit von Aufzügen zu gewährleisten. Hierzu gehört beispielsweise die regelmäßige Überprüfung der eingesetzten Software sowie die Installation von Sicherheitsupdates, um Sicherheitslücken zu schließen.
Auch wenn nicht alle Aufzüge sicherheitsrelevante MSR-Einrichtungen haben, gilt die TRBS 1115-1 als Vorlage für alle Arten von Aufzügen. Cyberbedrohungen können nicht nur die Aufzugssteuerung betreffen, sondern auch andere digitale Systeme wie Notrufeinrichtungen oder Gebäudezugangskontrollen. Betreiber müssen daher ihre gesamten Anlagen auf potenzielle Risiken hin überprüfen und geeignete Schutzmaßnahmen ergreifen.
Die Rolle von Prüforganisationen
Die regelmäßigen Prüfungen durch zugelassene Überwachungsstellen (ZÜS) spielen eine entscheidende Rolle bei der Sicherstellung der Cybersicherheit von Aufzügen. Prüfingenieure analysieren dabei, ob die notwendigen IT-Systeme identifiziert und die richtigen Schutzmaßnahmen implementiert wurden. Laut Christian Thielmann von TÜV Rheinland besteht die Hauptaufgabe darin, digitale Schwachstellen zu erkennen, bevor diese von Cyberkriminellen ausgenutzt werden können.
In Deutschland zählen Aufzüge zu den am häufigsten geprüften Anlagen. Regelmäßige Inspektionen haben in den letzten Jahren dazu beigetragen, dass die Zahl der erheblichen Mängel kontinuierlich zurückgegangen ist. Im Jahr 2023 wies jeder zehnte Aufzug erhebliche Mängel auf, wobei die Zahl in den Vorjahren noch höher war. Cybersecurity ist nun ein weiterer Aspekt, der in die Prüfungen einfließt und dazu beitragen soll, diese Zahlen weiter zu senken.
Die ganzheitliche Verantwortung für Cybersecurity
Cybersicherheit bei Aufzügen ist nicht nur die Verantwortung der Betreiber, sondern auch der Hersteller wie cibeslift.com sind hier mit im Boot. Gemeinsam müssen sie dafür sorgen, dass sowohl die Hardware als auch die Software der Aufzüge vor Cyberangriffen geschützt sind. Die digitale Sicherheit von Aufzügen kann nur durch eine enge Zusammenarbeit zwischen Betreibern, Herstellern und Prüfstellen gewährleistet werden.
Das Thema Cybersicherheit ist komplex und betrifft nicht nur einzelne Komponenten, sondern das gesamte vernetzte System eines Aufzugs. Dies erfordert eine ganzheitliche Betrachtung, um alle potenziellen Gefahren zu identifizieren und entsprechende Schutzmaßnahmen zu treffen.
Die Anforderungen an die Cybersicherheit von Aufzügen sind zwar noch relativ neu, doch sie werden in den kommenden Jahren weiter an Bedeutung gewinnen. Es ist daher entscheidend, dass Betreiber die notwendigen Maßnahmen ergreifen, um die Sicherheit ihrer Anlagen zu gewährleisten.
