Ü-Anlagengesetz und die Cybersicherheit von OT

Ü-Anlagengesetz

Das Ü-Anlagengesetz (Gesetz über überwachungsbedürftige Anlagen) vom 27. Juli 2021 gilt für die Errichtung, die Änderung und den Betrieb überwachungsbedürftiger Anlagen.

Dabei geht es um die Sicherheit und den Gesundheitsschutz der Beschäftigten, die sich im Gefahrenbereich dieser Anlagen befinden.

Die Pflichten der Betreiber sind in §3 geregelt. Dabei heißt es im Abschnitt (1), dass die Betreiber überwachungsbedürftigen Anlagen so errichten müssen, ändern und betreiben, dass Sicherheit und Gesundheitsschutz der Beschäftigten sichergestellt ist.

Cybersicherheit von OT

Die Sicherheit der operativen Technologie (OT) wandelt sich derzeit durch die Digitalisierung, und die Cybersicherheit wird jetzt auch im Rahmen der Ü-Anlagengesetzes Thema im Arbeitsschutz bei der OT. Im Herbst 2023 soll eine neue TRBS zu diesem Thema erscheinen.

Es werden dann Gefährdungsbeurteilungen auch für diese Aspekte der Cybersicherheit von OT notwendig. Denn Cyberangriffe legen nicht nur die IT lahm, sondern die Störung oder die feindliche Übernahme von OT kann schwere Folgen für die Beschäftigten mit sich ziehen, wenn der Arbeitsschutz außer Kraft gesetzt wird.

Cybersicherheit von OT mit IEC 62443 Reihe

Den Stand der Technik dafür spiegelt dabei die IEC 62443 Reihe, die sich mit der IT-Sicherheit der „Industrial Automation and Control Systems (IACS)“ befasst, wieder. (IACS: umfasst die Systeme, Komponenten, Prozesse Softwarekomponenten, Anwendungen, Organisation, die für einen sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind.)

Die IEC 62443-Reihe ist auf den Industriebereich ausgerichtet, während die ISO 27001 sich mit der klassischen IT beschäftigt.

Cybersicherheit anhand des ICS-Security-Kompendium

Das ICS-Security-Kompendium ist durch das Bundesamt für Sicherheit in der Informationstechnik veröffentlicht worden und liegt in der Fassung von 2013 vor. Es soll in 2023 evtl. eine Überarbeitung geben. Hier ist der Link zum ICS-Security-Kompendium. Es beinhaltet unter anderem die Grundlagen von ICS mit den Begriffserklärungen und Hierarchischen Gliederungen von ICS sowie Kommunikationsvorgänge, Gefährdungen der IT-Security, Best Practice und Methoden von Audits.