Vernetzte Aufzüge im Gebäude schützen

Die Digitalisierung bietet Betreibern von Aufzügen zahlreiche Vorteile. Vorausschauende Wartung und kontinuierliches Monitoring über einen Onlinezugang können die Anlagenverfügbarkeit erhöhen, da ohne physische Anwesenheit Fehler erkannt werden können. Dazu teilen die Systeme Informationen zu Anlagenzuständen über so genannte „Dashboards“ am PC, Handy oder am Laptop und geben sie in Echtzeit zum Beispiel an das Wartungspersonal weiter. Oder sie kommunizieren direkt mit anderen Einrichtungen der TGA im Sinne einer smarten Gebäudeverwaltung. Innerhalb eines Gebäudes kann über drahtgebundene oder drahtlose Schnittstellen wie zum Beispiel WLAN kommuniziert werden.

Allerdings steigt mit der Vernetzung das Risiko, dass Unbefugte auf sicherheitsrelevante Systeme zugreifen. Moderne oder modernisierte Aufzüge, die über das Internet, kabelgebunden oder über WLAN mit anderen Netzwerkteilnehmern kommunizieren, sind anfälliger für Cyberangriffe als unvernetzte Systeme. Insbesondere bei den sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR-Einrichtungen), beim Zwei-Wege-Kommunikationssystem des Aufzugs („Notruf“) oder bei der Aufzugssteuerung können Manipulationen zu unsicheren Betriebszuständen führen. Möglich ist dabei zum Beispiel, dass Personen eingeschlossen werden, Notrufsysteme nicht funktionieren, Steuerungen manipuliert werden oder Aufzüge ganz ausfallen. Je digitalisierter eine Aufzugsanlage ist, desto höher ist die Wahrscheinlichkeit von Schwachstellen im System, die als Einfallstor für Cyberangriffe dienen können.

Anforderungen der TRBS 1115 Teil 1

Gesetzliche Vorgaben verlangen von den Betreibern bereits entsprechende Cybersecurity-Maßnahmen beim Betrieb von Aufzugsanlagen. Wer ein Gebäude neu plant oder die TGA modernisieren will, muss seit März 2023 für die zu installierende Aufzugsanlage die Technische Regel für Betriebssicherheit „TRBS 1115 Teil 1 – Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“ beachten.

Die TRBS 1115 Teil 1 beschreibt die Pflichten der Betreiber in Bezug auf die Cybersicherheit von Aufzugsanlagen und konkretisiert damit die Anforderungen der Betriebssicherheitsverordnung (BetrSichV). Demnach müssen Betreiber ihre Gefährdungsbeurteilung um die Belange zur Cybersicherheit erweitern. Zu betrachten ist jede Komponente der Aufzugsanlage, die über Datenschnittstellen verfügt und relevant ist für den sicheren Betrieb der Aufzugsanlage – unter anderem das Notrufsystem oder die Steuerung. Zwei Beschlüsse des EK ZÜS vom Mai 2024 spezifizieren die Anforderungen an die Cybersicherheit weiter und stellen das Vorgehen für Betreiber auch grafisch dar: Der EK ZÜS B-002 beschreibt das allgemeine Vorgehen für schutzbedürftige Systeme. Der EK ZÜS BA-017 konkretisiert das Vorgehen für Aufzugsanlagen.

Seit März 2023 verlangt eine technische Regel für Betriebssicherheit, bestimmte Aufzugskomponenten gegen Cyberbedrohungen abzusichern. Bild: TÜV SÜD

Betreiber müssen in der nach BetrSichV beziehungsweise ÜAnlG zu erstellenden Gefährdungsbeurteilung auch die erforderlichen Maßnahmen zur Abwehr von Cyberbedrohungen dokumentieren. Bei der gesetzlich vorgeschriebenen Prüfung muss die zugelassene Überwachungsstelle prüfen, ob Aufzugsanlagen den Vorgaben der TRBS 1115-1 entsprechen. Damit können auch die vertraglichen Anforderungen an die Planung und Installation steigen.

Eine Gefährdungsbeurteilung ist für alle relevanten Komponenten nötig. Bild: TÜV SÜD

Relevante Regelwerke und Normen

Als grundlegende Maßnahmen zur Cybersicherheit empfiehlt die TRBS 1115 Teil 1 zum Beispiel, unerlaubte Zugriffe durch verschließbare Zugangstüren oder definierte Zugriffsrechte zur elektronischen Aufzugsteuerung zu erschweren. Konkretere Vorgaben machen die ISO 2700x-Reihe, die IEC 62443-Reihe und die ISO 8102-20, die sich speziell mit der Cybersicherheit von Aufzügen und Fahrtreppen befasst.

Während sich die ISO 27001 mit den grundlegenden IT-Sicherheitsanforderungen aller Bereiche befasst, behandelt die IEC 62443 die so genannte OT-Security, also den Schutz operativer technologischer Systeme. Sie definiert Anforderungen an die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen (Industrial Automation and Control System, IACS). Sie umfasst sowohl Software- als auch Hardwareaspekte sowie Prozesse, die für den sicheren Betrieb entscheidend sind. Zu beachten ist, dass sich die IEC 62443 neben Herstellern und Betreibern ausdrücklich auch an die Integratoren richtet.

Die ISO 8102-20, veröffentlicht im Jahr 2022, baut auf der IEC 62443 auf und stellt umfassende Anforderungen an die Cybersicherheit von Aufzügen, Fahrtreppen und Fahrsteigen. Sie benennt spezifische Komponenten und die für sie geltenden Sicherheitsanforderungen.

Bezogen auf die IEC 62443 teilt die ISO 8102-20 Aufzüge in vier sicherheitsrelevante Domänen ein:

• Essential: Betriebsrelevante Komponenten wie Steuerung, Türantrieb oder Frequenzumrichter
• Alarm: Notrufsysteme, die für die Rettung eingeschlossener Personen notwendig sind
• Safety: SIL-bewertete MSR-Einrichtungen wie digitale Fangvorrichtungen und Geschwindigkeitsbegrenzer
• Others: Komponenten, die keinen Einfluss auf den sicheren Betrieb haben.

Sicherheitsrelevante MSR-Einrichtungen umfassen programmierbare Komponenten in Aufzügen, die für die sichere Funktion und den Schutz von Personen und Gütern verantwortlich sind. Bei ihrer Überprüfung muss festgestellt werden, ob sie ausreichend vor Cyberangriffen geschützt sind. Bild: TÜV SÜD

Unterschied zwischen Security Level (SL) und Safety Integrity Level (SIL)

Für Sicherheitseinrichtungen mit elektronisch programmierbaren Elementen in Aufzügen gelten die Anforderungen der Funktionalen Sicherheit. Sie werden mit einem Safety Integrity Level (SIL) gemäß der IEC 61508 bewertet. Ein hohes SIL bedeutet, dass die Einrichtung besonders relevant ist für den sicheren Betrieb. Es steht zugleich für eine hohe Zuverlässigkeit und lässt darauf schließen, dass die eingesetzte Technik eine geringe Fehlerwahrscheinlichkeit aufweist. Der Anhang A der DIN EN 81-20:2020 listet die elektrischen Sicherheitsfunktionen auf. Komponenten der Funktionalen Sicherheit werden automatisch der Domäne „Safety“ zugeordnet.

Die Security Level (SL) definieren hingegen das erforderliche Schutzniveau für Cybersecurity. Ein höherer SL erfordert umfassendere Schutzmaßnahmen gegen gezielte Angriffe.

Der SL einer Einrichtung kann allgemein oder mittels SL-Vektoren festgelegt werden, die verschiedene Sicherheitsaspekte bewerten und charakterisieren.

Cybersicherheit von Beginn an einplanen

Planende können beim Aufsetzen der TGA die Grundlage für cybersichere Systeme schaffen, indem sie sichere Kommunikationsprotokolle wie TLS (Transport Layer Security) und VPNs (Virtual Private Networks) integrieren. Die Segmentierung einzelner TGA-Bereiche hilft, die Ausbreitung von Cyberangriffen innerhalb des Gebäudenetzwerks einzudämmen. Effektive Zugangskontrollen, wie Zwei-Faktor-Authentifizierungen oder biometrische Kontrollen, die den Zugriff auf sicherheitsrelevante Systeme und Steuerungen begrenzen, werden idealerweise gleich zu Anfang mit vorgesehen.

Die eingesetzte Software sollte regelmäßig aktualisiert werden. Redundante Systeme und Notfallwiederherstellungspläne gewährleisten die Verfügbarkeit und Integrität aller Bereiche der Gebäudeautomation, einschließlich der Aufzüge. Betreiber wie auch Wartungspersonal müssen für die Gefahren durch Cyberattacken sensibilisiert und für die implementierten Maßnahmen zur Cybersicherheit geschult werden.

Insgesamt können Planende von TGA und Gebäudeautomation durch die Umsetzung umfassender Cybersicherheitsmaßnahmen für Aufzugsanlagen die Sicherheit und Zuverlässigkeit der Systeme erhöhen. Wer Bauherren ein umfassendes Cybersecurity-Konzept vorlegen kann, das die Integration des Aufzugs in die TGA bereits berücksichtigt, liefert damit auch einen nachhaltigen Investitionsschutz, weil das die gesetzlichen Vorschriften erfüllt und die Betriebszuverlässigkeit wesentlich verbessert. Das sorgt für einen Vertrauensgewinn bei Nutzern und Stakeholdern.

Um die Cybersecurity von Aufzugsanlagen nachhaltig zu gewährleisten, ist die frühzeitige Berücksichtigung der Regelwerke ISO 8102-20 und IEC 62443 entscheidend. Je früher Cybersecurity im Lebenszyklus eines Aufzugs integriert wird, desto geringer ist der Aufwand für erforderliche Maßnahmen. Unabhängige Dienstleister wie TÜV SÜD unterstützen Planende bei der Einhaltung aller relevanten Regelwerke und der Erfüllung der Vorgaben der TRBS 1115 Teil 1. Zusätzlich kann der Prüfdienstleister die Aufzugsanlagen zertifizieren, um die Einhaltung der Vorgaben zu belegen.