Nachricht

Anlagensicherheit: Vernetzung ist das größte Risiko

TÜV warnt vor Cyberattacken auf Anlagen

3.100 Aufzuganlagen mussten die Prüfer der Zugelassenen Überwachungsstellen (ZÜS) im Jahr 2018 stilllegen. Bei weiteren 12 % bzw. 73.500 der in 2018 geprüften 587.000 Aufzuganlagen stellten sie sicherheitserhebliche Mängel fest, die zwar eine Reparatur erforderten, aber eine Stilllegung nicht nötig machten.

"Bei den Kontrollen der unabhängigen Prüforganisationen tauchen immer wieder gefährliche Mängel wie beschädigte Absturzsicherungen oder defekte Notrufsysteme auf, die Menschen in akute Gefahr bringen können", sagt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands (VdTÜV). Die Zahlen stammen aus dem Anfang Juli 2019 veröffentlichten Anlagensicherheits-Report 2019 des TÜV.


Übrigens: Aufzugprüfungen sind seit dem Jahr 2015 laut der Betriebssicherheitsverordnung Pflicht.


Doch nicht nur Materialermüdung und Verschleiß führen dazu, dass Fahrstühle zum Risiko werden. Bühler nennt die Digitalisierung und die Vernetzung der Anlagen im Internet of Things (IoT) als neue Gefahren: "Cyberangriffe können Aufzüge zwischen den Etagen zum Stehen bringen oder sogar einen Absturz herbeiführen." Wegen dieser neuen Herausforderung ist das zentrale Thema des aktuellen Anlagensicherheits-Reports auch die Prüfung von Anlagen, die zunehmend mit Hilfe von Software gesteuert, von Sensoren überwacht und im IoT digital vernetzt werden.


Steuerungssoftware als Blackbox ...

Aufzüge verfügen immer öfter über eine digitale Steuerung, die mit dem Internet verbunden ist. So können die Anlagen bequem aus der Ferne bedient, überwacht oder sogar gewartet werden. Auch in smarten Gebäuden sind Fahrstuhlanlagen eine zentrale Komponente. "Die digitale Aufzugssteuerung ist ein Einfallstor für kriminelle Hacker", sagt Bühler. "Angreifer könnten nicht nur die Aufzüge selbst manipulieren, sondern die gesamte technische Gebäudeausrüstung." Bühlers Forderung: Unabhängige Prüfer müssen kontrollieren können, ob die Steuerungssoftware von Aufzügen einwandfrei funktioniert und bei der Cybersicherheit auf dem neuesten Stand ist. Er erklärt: "Die Steuerungssoftware von Aufzügen ist für die Prüfer bis heute oft eine Blackbox." Eine unabhängige Prüfung solcher kritischen Systeme sei aber noch nicht möglich, denn es fehlten die gesetzlichen Regelungen. "Der Gesetzgeber muss jetzt handeln, bevor es zu ernsten Cyberattacken auf Maschinen und Anlagen kommt."

Die ZÜS prüfen aber nicht nur Aufzuganlagen, sondern auch Druckbehälteranlagen wie beispielsweise Gasspeicher und Dampfkessel sowie bestimmte Anlagen in explosionsgefährdeten Bereichen (Ex-Anlagen), darunter Tankstellen und Flugfeldbetankungsanlagen.


Cyberangriffe auf Ex-Anlagen können zur Katastrophe führen

Tankstellen weisen eine hohe Mängelquote auf: Bei 14 % der 6.865 geprüften Tankstellen in 2018 wurden "erhebliche Mängel" festgestellt, die sofort beseitigt werden mussten. Geringfügige Mängel gab es bei 26 %. Eine gute Nachricht gibt es hier aber auch: Der Anteil der mängelfreien Tankstellen stieg um 10 Punkte auf 59 %. Der TÜV-Experte erklärt, dass die digitale Vernetzung auch bei Ex-Anlagen die größte Herausforderung für die Sicherheit ist. So würden beispielsweise Tanklager für entzündliche Kraftstoffe oder Gase immer öfter digital überwacht, um Füllstände oder den Druck zu messen. "Die Manipulation von Messwerten kann bei Ex-Anlagen zu einer Katastrophe führen", sagt Bühler. „Ein nur knapp gescheiterter Cyberangriff auf eine petrochemische Fabrik in Saudi-Arabien im Jahr 2017 hat gezeigt, dass solche Szenarien eine reale Gefahr sind."

Bei Druckanlagen scheint die Digitalisierung weniger schnell voranzuschreiten, dennoch ermöglichen digitale Systeme auch hier zum Beispiel die vorausschauende Wartung (predictive maintenance). Anhand von laufend gesammelten Betriebsdaten können relativ genaue Prognosen über den Verschleiß erstellt und die Ursachen von Schäden schneller und präziser ermittelt werden als bisher. "Auch heute noch hängen die Produktionsprozesse vieler Unternehmen von Energieerzeugung, Prozessdampf und Wärmeproduktion ab", sagt Bühler. "Die Herausforderung ist, dass die einzelnen Druckanlagen jetzt Teil einer globalen Industrie-4.0-Infrastruktur werden."

Das Sicherheitsniveau von Druckanlagen ist sehr hoch, wie der Anlagensicherheits-Report 2019 zeigt:  81 % der im Jahr 2018 geprüften Druckanlagen waren "mängelfrei", 14 % wiesen "geringfügige" und 5 % "erhebliche Mängel" auf.


Klare Forderungen an die Politik

Aus Sicht des TÜV-Verbands sowie der ZÜS sind unabhängige Prüfungen auch in der digitalen Welt dringend erforderlich. Dafür muss die Politik jetzt die Grundlagen schaffen:

  • Gesetzgebung anpassen: Zahlreiche Sicherheitsanforderungen für Maschinen und Anlagen sind in der EU-Gesetzgebung geregelt. Spezifische IT-Sicherheitsanforderungen müssen in die Legislativvorhaben wie die Richtlinien für Maschinen, Aufzüge, Druckgeräte oder Ex-Geräte integriert werden. Nationale Regelungen sind ebenfalls entsprechend zu erweitern. Mit dem kürzlich verabschiedeten "Cyber Security Act" wurde für IoT-Geräte ein europäischer Rechtsrahmen geschaffen, auf den bei den zukünftigen sektorspezifischen Regulierungsvorhaben oder im Zuge der Anpassung bereits existenter Regulierungen referenziert werden sollte.
  • Zugang zu Software und Daten: Die Prüforganisationen müssen den Zugang zu relevanter Software und für die Sicherheit wichtiger Daten erhalten. Das gilt insbesondere für die Steuerungssoftware und für Werte wie die Geschwindigkeit von Aufzügen, den Füllstand in einem Gastank oder den Druck in einem Kessel.
  • Prüfung nach Gefährdungspotenzial: Die Entscheidung über die Notwendigkeit einer unabhängigen Prüfung sollte in Abhängigkeit vom Gefährdungspotenzial einer Anlage getroffen werden.
  • Überprüfbarkeit von künstlicher Intelligenz: Beim Einsatz von künstlicher Intelligenz in Maschinen und Anlagen sollten Prüforganisationen testen können, ob die KI-Systeme im laufenden Betrieb verlässlich arbeiten. 

Auch diese Nachrichten könnten Sie interessieren:

Durch die Nutzung unserer Website stimmen Sie zu, dass Cookies in Ihrem Browser platziert werden.  [mehr erfahren] OK, verstanden