4 Planung und Realisierung der Ausrüstung eines Arbeitsmittels mit einer sicherheitsrelevanten MSR-Einrichtung im Hinblick auf Cybersicherheit durch den Arbeitgeber

4.1 Allgemeines

In diesem Abschnitt werden Maßnahmen beschrieben, die der Arbeitgeber im Zuge der Planung und Realisierung sicherheitsrelevanter MSR-Einrichtungen zu treffen hat, sofern diese nicht als Bestandteil eines verwendungsfertigen Arbeitsmittels mit bestätigtem Schutz vor Cyberbedrohungen geliefert werden.

4.2 Festlegung des Schutzkonzepts für die Cybersicherheit des Arbeitsmittels durch den Arbeitgeber

(1) Für Arbeitsmittel mit sicherheitsrelevanten MSR-Einrichtungen sind die erforderlichen Cybersicherheitsmaßnahmen zu ermitteln. Es wird empfohlen, diese Maßnahmen in einem Schutzkonzept der Cybersicherheit zu dokumentieren. Dies kann auch durch eine Ergänzung des Schutzkonzepts der funktionalen Sicherheit (siehe TRBS 1115) erfolgen.

(2) Die Vorgaben der Hersteller sicherheitsrelevanter MSR-Einrichtungen zur Cybersicherheit sind bei der Einbindung in das Arbeitsmittel zu beachten.

(3) Bei der Ermittlung des Schutzkonzepts sind auch Ersatzmaßnahmen für die Zeitdauer ausgeschalteter oder eingeschränkt verfügbarer Maßnahmen der Informationssicherheit, z. B. für den Fall von Fernwartung, zu berücksichtigen.

4.3 Umsetzung des Schutzkonzepts für die Cybersicherheit bezogen auf sicherheitsrelevante MSR-Einrichtungen

(1) Entsprechend den möglichen Gefährdungen werden gemäß TRBS 1115 für jede sicherheitsrelevante MSR-Einrichtung die Anforderungen an ihre Zuverlässigkeit festgelegt. Die Cybersicherheitsmaßnahmen müssen geeignet sein, um die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtungen zu schützen und an deren Zuverlässigkeit angepasst sein.

(2) Bei Bildung von Segmenten mit mehreren sicherheitsrelevanten MSR-Einrichtungen (siehe hierzu Abschnitt 4.5.2) richten sich die Cybersicherheitsmaßnahmen für das gesamte Segment nach der sicherheitsrelevanten MSR-Einrichtung mit den höchsten Anforderungen an die Cybersicherheit.

4.4 Anforderungen an die Cybersicherheit sicherheitsrelevanter MSR-Einrichtungen

4.4.1 Sicherheitsrelevante MSR-Einrichtungen als Teil eines verwendungsfertigen Produktes mit bestätigtem Schutz vor Cyberbedrohungen

(1) Wird die sicherheitsrelevante MSR-Einrichtung verwendungsfertig als Teil des Arbeitsmittels mit bestätigtem Schutz gegen Cyberbedrohungen nach dem Stand der Technik durch den Hersteller auf dem Markt bereitgestellt, hat der Arbeitgeber die vom Hersteller festgelegten technischen und organisatorischen Cybersicherheitsmaßnahmen aufrechtzuerhalten.

(2) Für die sicherheitsrelevanten MSR-Einrichtungen sowie ggf. für einzelne Komponenten oder die IT/OT-Umgebung sind

  1. die von den jeweiligen Herstellern erstellten Unterlagen wie z. B. Betriebsanleitung, Konfigurations-Identifikationsdokumente (KID) und IT-Sicherheitshandbücher,
  2. die Festlegungen der für die Gewährleistung der Funktionsfähigkeit der Cybersicherheitsmaßnahmen einzuhaltenden Fristen oder Anlässe der notwendigen Aktualisierungen (z. B. Updates der Virensignaturen), Prüfungen und Kontrollen sowie
  3. die Festlegung von Informationsquellen zu aktuellen Cyberbedrohungen und deren Nutzung

in die Dokumentation nach Abschnitt 3.4 aufzunehmen.

4.4.2 Sicherheitsrelevante MSR-Einrichtungen als Teil eines verwendungsfertigen Produktes ohne bestätigten Schutz vor Cyberbedrohungen

Wird die sicherheitsrelevante MSR-Einrichtung als Teil eines verwendungsfertigen Produktes auf dem Markt bereitgestellt, unterliegt dieses Produkt insgesamt den Anforderungen der entsprechenden Rechtsvorschriften zum Inverkehrbringen. Zum Zeitpunkt der Erarbeitung dieser TRBS berücksichtigen die meisten gesetzlichen Rechtsvorschriften zum Inverkehrbringen die Behandlung von Cyberbedrohungen noch nicht ausreichend. Es obliegt dem Arbeitgeber zu beurteilen, ob bei der bestimmungsgemäßen Verwendung des Produktes Gefährdungen durch Cyberbedrohungen entstehen können. Ist dieses der Fall, finden die Regelungen unter Abschnitt 4.4.3 Anwendung.

4.4.3 Sicherheitsrelevante MSR-Einrichtungen, die vom Arbeitgeber in eigener Verantwortung zur Verfügung gestellt werden

(1) Im Schutzkonzept der Cybersicherheit sind die erforderlichen Cybersicherheitsmaßnahmen für die sicherheitsrelevanten MSR-Einrichtungen festgelegt. Basierend auf dem Schutzkonzept sind Anforderungen an die Komponenten der sicherheitsrelevanten MSR-Einrichtungen und falls erforderlich an die IT/OT-Umgebung in einer Spezifikation der Cybersicherheit festzulegen. Die erforderliche Dokumentation kann auch durch eine Ergänzung der Spezifikation der funktionalen Sicherheit (siehe TRBS 1115) erfolgen.

(2) Für die Festlegung der erforderlichen Cybersicherheitsmaßnahmen ist wie folgt vorzugehen:

  1. Erfassung aller Elemente gemäß Abschnitt 3.2 der sicherheitsrelevanten MSR-Einrichtungen und der IT/OT-Umgebung im erforderlichen Umfang.
  2. Erfassung und Bewertung von Bedrohungen der Integrität und Verfügbarkeit der sicherheitsrelevanten MSR-Einrichtungen, die durch Cyberbedrohung dieser Elemente ausgehen.
  3. Auswahl und Umsetzung von Cybersicherheitsmaßnahmen, um den Cyberbedrohungen in geeigneter Weise zu begegnen und die Auswirkungen im erforderlichen Umfang zu begrenzen. Bereits bestehende Cybersicherheitsmaßnahmen können hierbei berücksichtigen werden. Auf die erforderliche Rückwirkungsfreiheit der Cybersicherheitsmaßnahmen auf die Sicherheitsfunktion ist zu achten.
  4. Festlegungen der einzuhaltenden Fristen oder Anlässe für die Durchführung von Aktualisierungen (z. B. Updates der Virensignaturen) und Kontrollen.
  5. Festlegung eines Vorgehens zur regelmäßigen Ermittlung von Schwachstellen in der IT/OT-Umgebung und den Cyberbedrohungen.

4.5 Cybersicherheitsmaßnahmen

4.5.1 Auslegungsgrundsätze

(1) Zum Schutz vor Cyberbedrohungen sind die Schnittstellen von sicherheitsrelevanten MSR-Einrichtungen, der Vernetzungsgrad und die Zugriffsmöglichkeiten auf das für die Verwendung des Arbeitsmittels notwendige Maß zu reduzieren.

(2) Zusätzlich ist auf die ausreichende Widerstandsfähigkeit der betroffenen technischen Systeme der sicherheitsrelevanten MSR-Einrichtung selbst und der IT/OT-Umgebung gegenüber Cyberbedrohungen zu achten.

(3) Methoden und Verfahren sind so festzulegen, dass auch ergonomische Aspekte sowie ihre Akzeptanz bei den Beschäftigten berücksichtigt werden, damit eine Maßnahme der Cybersicherheit keine unsicheren Verhaltensweisen begünstigt (z. B. längere Wechselintervalle und starke Passwörter oder Einsatz von Token anstatt häufige Passwortwechsel).

4.5.2 Anforderungen an Cybersicherheitsmaßnahmen

(1) Zur Sicherstellung der Widerstandsfähigkeit der sicherheitsrelevanten MSR-Einrichtung sind Cybersicherheitsmaßnahmen im erforderlichen Umfang zu implementieren. Die IT/OT-Umgebung ist hierbei im erforderlichen Umfang einzubeziehen. Dies betrifft

  1. Verfügbarkeit
    a) von Informationen, die innerhalb einer sicherheitsrelevanten MSR-Einrichtung oder zwischen MSR-Einrichtungen oder der Umgebung ausgetauscht werden und Einfluss auf die Funktion der sicherheitsrelevanten MSR-Einrichtung besitzen, z. B. Schutz gegen Blockierung der Funktion durch DoS-Ereignisse (Denial of Service),
    b) von innerhalb einer sicherheitsrelevanten MSR-Einrichtung gespeicherten Informationen, wie z. B. die Parameter eines Sensors oder das Applikationsprogramm des Logiksystems, die unmittelbar die Integrität der sicherheitsrelevanten MSR-Einrichtung bestimmen,
    c) von Programmen, die für die Funktion der sicherheitsrelevanten MSR-Einrichtung erforderlich sind.
  2. Integrität
    a) von Informationen, die innerhalb einer sicherheitsrelevanten MSR-Einrichtung oder zwischen MSR-Einrichtungen oder der Umgebung ausgetauscht werden und
    b) von innerhalb einer sicherheitsrelevanten MSR-Einrichtung gespeicherten Informationen, wie z. B. die Parameter eines Sensors oder das Applikationsprogramm des Logiksystems, die unmittelbar die Integrität der sicherheitsrelevanten MSR-Einrichtung bestimmen,
    c) von anderen gespeicherten Informationen (z. B. Material- und Anlagenspezifikationen, Betriebsanleitungen, Risikoanalysen für Prozessanlagen, Funktionspläne, Systemarchitekturdiagramme), die in einem mittelbaren Zusammenhang mit der Integrität der sicherheitsrelevanten MSR-Einrichtung oder ihrer Funktionsfähigkeit stehen.
  3. Vertraulichkeit von Informationen, die kommuniziert werden oder gespeichert sind und Angreifer bei Planung und Ausführung von Angriffen unterstützen. Dies schließt Dokumentationen zu sicherheitsrelevanten Einrichtungen ein, z. B. Grenzwertlisten in Office-Dokumenten.

(2) Insbesondere die folgenden Maßnahmen sind zu berücksichtigen:

  1. Segmentierung und Fernzugriffsmöglichkeit

    Segmentierung von Netzwerken ist ein Verfahren, bei dem ein Netzwerk in kleinere, separate Subnetzwerke unterteilt wird, z. B. um Bereiche mit unterschiedlichen Schutzbedarfen oder Funktionen zusammenzufassen (Zonenbildung). Die IT/OT-Umgebung als auch die sicherheitsrelevanten MSR-Einrichtungen müssen abhängig von ihrem Schutzbedarf in entsprechend geschützten Segmenten betrieben werden.

    Um eine unzulässige Beeinflussung der sicherheitsrelevanten MSR-Einrichtung zu verhindern, dürfen Netzwerkteilnehmer Verbindungen nur zu den anderen Netzwerkteilnehmern aufbauen können, zu denen eine Verbindung sicherheitstechnisch erforderlich ist. Dies kann logisch (z. B. mit einem virtuellen lokalen Netz, VLAN) oder bevorzugt physisch (z. B über eine separate Leitung) erfolgen.

    Der Zugriff auf die IT/OT-Umgebung und die sicherheitsrelevante MSR-Einrichtung aus dem Internet und umgekehrt (Fernzugriff) ist mit besonders hohen Risiken verbunden und deshalb technisch zu unterbinden oder mit besonderen Cybersicherheitsmaßnahmen (z. B. zwingende Freigabe des Zugriffs durch den Arbeitgeber) zu schützen.

    Der Zugriff auf die sicherheitsrelevante MSR-Einrichtung aus der IT/OT-Umgebung durch automatisierte Dienste, z. B. Auslesen von Statusinformationen, ist rückwirkungsfrei zu initiieren und geeignet abzusichern.
  2. Regelungen zu Zugang und Zugriff

    Der Schutz der Komponenten wird u. a. durch die Kontrolle und Restriktion des physischen und logischen Zugangs auf die Komponenten erreicht. Entsprechend sind
    a) den jeweiligen Tätigkeitsprofilen (Rollen) zugeordnete Rechte,
    b) wirksame Authentifizierungsverfahren (Zugangskarten, Passwörter etc.) und
    c) physische Barrieren (Räume, Schränke etc.)
    festzulegen.
  3. Härtung von Komponenten

    Die Funktionalität der Hard- und Softwarekomponenten ist auf ein dem Einsatzzweck entsprechendes Mindestmaß zu reduzieren. Die Reduzierung umfasst insbesondere:
    a) Verzicht auf oder Deaktivieren oder Blockieren von nicht benötigten Hardwareschnittstellen,
    b) Verzicht auf oder Entfernen/Deaktivieren von Softwarekomponenten und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe nicht zwingend notwendig sind,
    c) Abschalten oder Unterdrücken von nicht autorisierten Kommunikationsverbindungen, Diensten oder Funktionen (z. B. durch Whitelisting).
  4. Unabhängigkeit von sicherheitsrelevanten MSR-Einrichtungen

    Sicherheitsrelevante MSR-Einrichtungen müssen so ausgelegt sein, dass sie durch die IT/OT-Umgebung nicht unzulässig beeinflusst werden können. Dies schließt die teilweise oder vollständige Nichtverfügbarkeit von Systemfunktionen ein (z. B. DoS-Angriff).

    In Einzelfällen können Komponenten von verschiedenen Systemen gemeinsam genutzt werden, d. h. es erfolgt eine Kombination von sicherheitsrelevanten und betrieblichen Funktionen innerhalb einer Komponente, z. B. auf Sensor-/Aktor-Ebene, beim Logiksystem, beim Programmiergerät und bei der IT/OT-Umgebung. Dies ist in der Gefährdungsbeurteilung zu berücksichtigen.
  5. Überwachung

    Um sicherheitsrelevante Ereignisse rechtzeitig zu erkennen, sollten Überwachungen innerhalb der IT/OT-Umgebung an geeigneten Stellen installiert werden, beispielsweise an der Segmentgrenze. Die Auswertung von Meldungen kann je nach Relevanz durch die Aufschaltung auf Meldeanlagen oder durch regelmäßige Prüfung am System selbst erfolgen. Die Überwachungs- und Protokolldaten sind durch geeignete Maßnahmen vor Veränderung zu schützen.
  6. Notfallmanagement

    Es müssen Maßnahmen festgelegt werden, wie im Fall einer Kompromittierung der sicherheitsrelevanten MSR-Einrichtung eine Gefährdung von Beschäftigten ausgeschlossen wird. Mindestens sind folgende Szenarien zu berücksichtigen:
    a) Kompromittieren der sicherheitsrelevanten MSR-Einrichtung,
    b) Kompromittieren von Kommunikationspartnern der sicherheitsrelevanten MSR-Einrichtung (z. B. Verbindungsabbruch, Schadsoftware auf der Engineering Station).

    Bei den möglichen Maßnahmen ist
    a) die Notwendigkeit eines Notfallplans zur Abschaltung unter Verwendung vorhandener nicht-digitaler Infrastrukturen, z. B. Abschaltmöglichkeiten der Hilfsenergie von Ventilen, unabhängige Not-Aus-Systeme, gezielte Deaktivierung von Steuerausgangssignalen, zu prüfen,
    b) vor der Wiederinbetriebnahme sicherzustellen, dass die Sicherheitslücke behoben ist und keine Spuren vom Angriff im System verblieben sind.

4.6 Cybersicherheit bei der Errichtung der sicherheitsrelevanten MSR-Einrichtung

(1) Bei der fachgerechten Auswahl und Installation sicherheitsrelevanter MSR-Einrichtungen einschließlich der verwendeten Komponenten müssen die gemäß Abschnitt 4.4.3 Absatz 2 erforderlichen Cybersicherheitsmaßnahmen vom Arbeitgeber berücksichtigt werden.

(2) Hinsichtlich der erforderlichen Cybersicherheit sind mindestens folgende Punkte sicherzustellen:

  1. Die cybersicherheitsrelevanten Einstellparameter von sicherheitsrelevanten MSR-Einrichtungen und Cybersicherheitskomponenten sind vollständig und nach Festlegungen der Gefährdungsbeurteilung konfiguriert,
  2. spezifische Herstellervorgaben hinsichtlich der Cybersicherheit für die Installation und den Betrieb der sicherheitsrelevanten MSR-Einrichtung und der Cybersicherheitskomponenten wurden berücksichtigt und
  3. die Installation der Cybersicherheitsmaßnahmen weist keine Abweichungen von der Spezifikation auf, die die Cybersicherheitsmaßnahmen selbst und/oder ihre Cybersicherheit beeinträchtigen können.