3 Anforderungen der Cybersicherheit an sicherheitsrelevante MSR-Einrichtungen

3.1 Allgemeines

(1) Durch den steigenden Vernetzungsgrad können sicherheitsrelevante MSR-Einrichtungen zunehmend zum Ziel von Cyberbedrohungen werden. Dies hat der Arbeitgeber bei seiner Gefährdungsbeurteilung zu berücksichtigen.

(2) Der Arbeitgeber hat nach § 3 BetrSichV die auftretenden Gefährdungen zu beurteilen und daraus notwendige Maßnahmen für das sichere Verwenden von Arbeitsmitteln abzuleiten. Nach § 5 Absatz 1 BetrSichV dürfen nur Arbeitsmittel zur Verfügung gestellt werden, also auch zugehörige sicherheitsrelevante MSR-Einrichtungen, die für den Einsatzzweck geeignet und unter den vorgesehenen Einsatzbedingungen sicher sind. Im Rahmen der Gefährdungsbeurteilung und bei der Auswahl und Implementierung der sicherheitsrelevanten MSR-Einrichtungen sind auch Cyberbedrohungen zu berücksichtigen.

(3) Mögliche Auswirkungen von Cyberbedrohungen können sein:

  1. Beeinflussung der Verfügbarkeit (z. B. Deaktivieren oder Blockieren der Funktion von sicherheitsrelevanten MSR-Einrichtungen),
  2. Verletzung der Integrität (z. B. unberechtigte Änderung von Daten),
  3. Verletzung der Vertraulichkeit (z. B. Abfluss von Daten einschließlich Passwörtern und Signaturen).

(4) Sicherheitsrelevante MSR-Einrichtungen, ihre Integration in das Arbeitsmittel und ihre Anwendung müssen nach dem Stand der Technik vor Cyberbedrohungen derart geschützt sein, dass Gefährdungen für Beschäftigte und bei überwachungsbedürftigen Anlagen auch andere Personen in deren Gefahrenbereich vermieden werden. Cybersicherheitsmaßnahmen dienen dazu, die Funktionsfähigkeit von sicherheitsrelevanten MSR-Einrichtungen während der gesamten Verwendungsdauer des Arbeitsmittels auch bei Cyberbedrohungen aufrechtzuerhalten.

(5) Zur Erfüllung der Vorgaben des § 3 Absatz 7 BetrSichV in Verbindung mit § 4 Absatz 6 BetrSichV sind Verfahren zu etablieren, um die Eignung und Funktionsfähigkeit der Cybersicherheitsmaßnahmen

  1. regelmäßig in geeigneten Zeitabständen,
  2. bei Änderungen am Arbeitsmittel (siehe hierzu Abschnitt 8.3),
  3. bei neuen Erkenntnissen zu Cyberbedrohungen z. B. aus veröffentlichten oder firmeninternen Cybersicherheitsvorfällen und Schwachstellenmeldungen oder aus einschlägigen Veröffentlichungen,
  4. bei Änderungen des Stands der Technik der Cybersicherheit

zu überprüfen.

3.2 Cybersicherheit im Sicherheitslebenszyklus

Cybersicherheit muss während des gesamten Sicherheitslebenszyklus der sicherheitsrelevanten MSR-Einrichtung gewährleistet sein (siehe auch Abbildung 1). Betroffen sind folgende Elemente:

  1. Hardware,
  2. Software,
  3. Daten/Informationen,
  4. Schnittstellen

sowie die mit ihrer Verwendung verbundenen

  1. Prozesse,
  2. Richtlinien,
  3. Organisationen sowie
  4. Personen,
  5. IT/OT-Umgebung.
Abb. 1 Berücksichtigung der Cybersicherheitsmaßnahmen in den Abläufen bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung

Abb. 1 Berücksichtigung der Cybersicherheitsmaßnahmen in den Abläufen bei Planung, Realisierung und Verwendung einer sicherheitsrelevanten MSR-Einrichtung


3.3 Organisatorische Maßnahmen

3.3.1 Allgemeines

(1) Die Wirksamkeit der Cybersicherheitsmaßnahmen muss dauerhaft sichergestellt werden. Dafür ist es erforderlich, Zugriffsrechte, Fachkunde (Qualifikation), Tätigkeiten, Verantwortlichkeiten, Zuständigkeiten und Aufgaben derjenigen Personen eindeutig festzulegen, die

  1. für den Auswahl-, Beschaffungs- und Integrationsprozess verantwortlich sind oder
  2. im Betrieb Umgang mit einer sicherheitsrelevanten MSR-Einrichtung und der IT/OT-Umgebung haben können (in der Regel auch die Verwender eines Arbeitsmittels).

Die unter Nummer 1. aufgeführten Personen müssen über eine der Aufgabe entsprechende Fachkunde verfügen. Die unter Nummer 2. aufgeführten Personen müssen mindestens über die erforderlichen Kenntnisse zu den in ihrem Zuständigkeitsbereich festgelegten Cybersicherheitsmaßnahmen verfügen.

(2) Für die Art und den Umfang der erforderlichen Festlegung von Cybersicherheitsmaßnahmen sind zwei Fälle zu unterscheiden:

  1. Die sicherheitsrelevante MSR-Einrichtung wird als Teil eines verwendungsfertigen Arbeitsmittels durch den Hersteller des Arbeitsmittels auf dem Markt bereitgestellt, wobei ein anforderungsgerechter Schutz gegen Cyberbedrohungen nach dem Stand der Technik bestätigt wurde.

    In diesem Fall hat der Arbeitgeber die vom Hersteller festgelegten technischen (z. B. Firewall) und organisatorischen (z. B. Installieren von Updates) Cybersicherheitsmaßnahmen für das Arbeitsmittel aufrechtzuerhalten.
  2. Die sicherheitsrelevante MSR-Einrichtung wird
    a) verwendungsfertig als Teil des Arbeitsmittels durch den Hersteller auf dem Markt ohne ausreichende Cybersicherheitsmaßnahmen bereitgestellt,
    b) nicht entsprechend den Herstellervorgaben hinsichtlich der vorgesehenen Umgebungsrandbedingungen oder Cybersicherheitsmaßnahmen betrieben oder
    c) durch den Arbeitgeber in eigener Verantwortung zur Verfügung gestellt (siehe auch TRBS 1115).
    Hierbei hat der Arbeitgeber eigene Verfahren festzulegen, um die Anwendung von geeigneten Cybersicherheitsmaßnahmen für die sicherheitsrelevanten MSR-Einrichtung über die gesamte Verwendungsdauer des Arbeitsmittels sicherzustellen. Über die Festlegungen des Absatz 1 hinaus sind hierbei die zu nutzenden Werkzeuge und Methoden festzulegen (siehe hierzu Abschnitt 4).

(3) Wenn der Arbeitgeber zur Aufrechterhaltung von Eignung und Anwendung von Cybersicherheitsmaßnahmen sicherheitsrelevanter MSR-Einrichtungen ein Management der Cybersicherheit im Betrieb einführt, sind die in Anhang 1 beschriebenen Maßnahmen zu berücksichtigen.

3.3.2 Qualifikation zur Durchführung der Gefährdungsbeurteilung

(1) Nach § 3 Absatz 3 BetrSichV darf eine Gefährdungsbeurteilung nur von fachkundigen Personen durchgeführt werden. Diese müssen in der Lage sein, Gefährdungen der Beschäftigten bei der Verwendung von sicherheitsrelevanten MSR-Einrichtungen bzw. Arbeitsmitteln mit sicherheitsrelevanten MSR-Einrichtungen systematisch zu ermitteln und zu bewerten sowie aus dem Ergebnis Schutzmaßnahmen abzuleiten. Die notwendige Qualifikation muss der Arbeitgeber unter Berücksichtigung der vorliegenden technischen Systeme festlegen und dokumentieren.

(2) Die erforderliche Fachkunde für eine Beurteilung der Cybersicherheit umfasst technische Kenntnisse, Ausbildung und Erfahrung auf mehreren Gebieten. Der Umfang hängt von den Schnittstellen und den vom Hersteller bereitgestellten Informationen über das Arbeitsmittel ab. Die nachstehend genannten Aspekte hat der Arbeitgeber bei der Festlegung von Art und Umfang der erforderlichen Fachkunde zu berücksichtigen:

  1. Kennnisse gesetzlicher Anforderungen und Vorschriften sowie Normen zur Cybersicherheit
  2. Grundlegende Kenntnisse im Bereich Cybersicherheit sowie Branchenkenntnisse

    Für die Beurteilung der Cybersicherheit der sicherheitsrelevanten MSR-Einrichtungen sind im Wesentlichen Kenntnisse zu den Cyberbedrohungen der jeweiligen Schnittstellen notwendig. Daher sind grundlegende Kenntnisse und Erfahrung im Bereich der Cybersicherheit unerlässlich. Dazu gehören
    a) Arbeitsprozesse zur Bewertung und Aufrechterhaltung der Cybersicherheit (z. B. Erfahrung mit einem Informationssicherheitsmanagement oder eine IT-Risikobeurteilung),
    b) Typische Schwachstellen und Cyberbedrohungen für das Arbeitsmittel und daraus resultierende Folgen.
    Für die Behandlung der Cybersicherheit im Rahmen der Gefährdungsbeurteilung sind ergänzende branchenspezifische Kenntnisse erforderlich.
  3. spezifische Kenntnis über das jeweilige Unternehmen

    Für die Festlegung von wirksamen Cybersicherheitsmaßnahmen sind die Kenntnis des Managements der Cybersicherheit des Betriebs und die verwendeten Technologien notwendig. Dies sind unter anderem Prozesse zum Umgang mit Updates, Protokollierung, Überwachung.
  4. angemessene Kenntnisse über Maßnahmen zum Schutz vor Cyberbedrohungen

    Ungeeignete oder fehlerhafte Cybersicherheitsmaßnahmen können selbst zusätzliche Angriffe auf sicherheitsrelevante MSR-Einrichtungen ermöglichen oder diese negativ beeinflussen. Deshalb ist technisches Wissen und Erfahrung zur Verwendung geeigneter Maßnahmen erforderlich, insbesondere zu:
    a) grundsätzlichen Funktionen der geeigneten Cybersicherheitsmaßnahmen,
    b) möglichen Nachteilen und Auswirkungen der jeweiligen Cybersicherheitsmaßnahmen,
    c) Beurteilung der Eignung der Cybersicherheitsmaßnahmen,
    d) Methoden zur wirkungsvollen Überwachung der Maßnahmen,
    e) Prinzip der minimalen Rechte.

(3) Falls der Arbeitgeber für eine sicherheitsrelevante MSR-Einrichtung eigenständig Cybersicherheitsmaßnahmen ermittelt und umsetzt, sind gegenüber den Anforderungen des Absatzes 2 tiefergehende Fachkunde und Qualifikationen erforderlich. Zusätzlich sind ausreichende Kenntnisse zu den folgenden Bereichen erforderlich:

  1. Informationssicherheitsmanagement,
  2. Vorgehensweisen zur Ermittlung von relevanten Cybergefährdungen auf Basis der Cyberbedrohungen und Schwachstellen,
  3. Vorgehensweisen zur systemspezifischen Auswahl von geeigneten Cybersicherheitsmaßnahmen, z. B.
    a) Hardwarearchitektur und Segmentierung (siehe hierzu Abschnitt 4.5.2 Absatz 2 Nummer 1),
    b) Zugangs- und Zugriffskontrolle,
    c) sichere Installation und Änderung von Cybersicherheitsmaßnahmen,
    d) Funktionsreduktion und Härtung,
    e) Überwachung von Hardware, Software und ihrer Kommunikation,
    f) Notfallmanagement (z. B. response and recover, Disaster Recovery).

3.4 Dokumentation

Entsprechend den Anforderungen des § 3 Absatz 8 BetrSichV sind auch die Cybersicherheitsmaßnahmen für sicherheitsrelevante MSR-Einrichtungen zu dokumentieren. Dazu gehören auch Art und Umfang der diesbezüglichen Festlegungen zu Prüfungen sowie deren Fristen. Eine elektronische Form der Dokumentation ist zulässig.