In diesem Abschnitt werden Maßnahmen beschrieben, die der Arbeitgeber im Zuge der Planung und Realisierung sicherheitsrelevanter MSR-Einrichtungen zu treffen hat, sofern diese nicht als Bestandteil eines verwendungsfertigen Arbeitsmittels mit bestätigtem Schutz vor Cyberbedrohungen geliefert werden.
(1) Für Arbeitsmittel mit sicherheitsrelevanten MSR-Einrichtungen sind die erforderlichen Cybersicherheitsmaßnahmen zu ermitteln. Es wird empfohlen, diese Maßnahmen in einem Schutzkonzept der Cybersicherheit zu dokumentieren. Dies kann auch durch eine Ergänzung des Schutzkonzepts der funktionalen Sicherheit (siehe TRBS 1115) erfolgen.
(2) Die Vorgaben der Hersteller sicherheitsrelevanter MSR-Einrichtungen zur Cybersicherheit sind bei der Einbindung in das Arbeitsmittel zu beachten.
(3) Bei der Ermittlung des Schutzkonzepts sind auch Ersatzmaßnahmen für die Zeitdauer ausgeschalteter oder eingeschränkt verfügbarer Maßnahmen der Informationssicherheit, z. B. für den Fall von Fernwartung, zu berücksichtigen.
(1) Entsprechend den möglichen Gefährdungen werden gemäß TRBS 1115 für jede sicherheitsrelevante MSR-Einrichtung die Anforderungen an ihre Zuverlässigkeit festgelegt. Die Cybersicherheitsmaßnahmen müssen geeignet sein, um die Funktionsfähigkeit der sicherheitsrelevanten MSR-Einrichtungen zu schützen und an deren Zuverlässigkeit angepasst sein.
(2) Bei Bildung von Segmenten mit mehreren sicherheitsrelevanten MSR-Einrichtungen (siehe hierzu Abschnitt 4.5.2) richten sich die Cybersicherheitsmaßnahmen für das gesamte Segment nach der sicherheitsrelevanten MSR-Einrichtung mit den höchsten Anforderungen an die Cybersicherheit.
(1) Wird die sicherheitsrelevante MSR-Einrichtung verwendungsfertig als Teil des Arbeitsmittels mit bestätigtem Schutz gegen Cyberbedrohungen nach dem Stand der Technik durch den Hersteller auf dem Markt bereitgestellt, hat der Arbeitgeber die vom Hersteller festgelegten technischen und organisatorischen Cybersicherheitsmaßnahmen aufrechtzuerhalten.
(2) Für die sicherheitsrelevanten MSR-Einrichtungen sowie ggf. für einzelne Komponenten oder die IT/OT-Umgebung sind
in die Dokumentation nach Abschnitt 3.4 aufzunehmen.
Wird die sicherheitsrelevante MSR-Einrichtung als Teil eines verwendungsfertigen Produktes auf dem Markt bereitgestellt, unterliegt dieses Produkt insgesamt den Anforderungen der entsprechenden Rechtsvorschriften zum Inverkehrbringen. Zum Zeitpunkt der Erarbeitung dieser TRBS berücksichtigen die meisten gesetzlichen Rechtsvorschriften zum Inverkehrbringen die Behandlung von Cyberbedrohungen noch nicht ausreichend. Es obliegt dem Arbeitgeber zu beurteilen, ob bei der bestimmungsgemäßen Verwendung des Produktes Gefährdungen durch Cyberbedrohungen entstehen können. Ist dieses der Fall, finden die Regelungen unter Abschnitt 4.4.3 Anwendung.
(1) Im Schutzkonzept der Cybersicherheit sind die erforderlichen Cybersicherheitsmaßnahmen für die sicherheitsrelevanten MSR-Einrichtungen festgelegt. Basierend auf dem Schutzkonzept sind Anforderungen an die Komponenten der sicherheitsrelevanten MSR-Einrichtungen und falls erforderlich an die IT/OT-Umgebung in einer Spezifikation der Cybersicherheit festzulegen. Die erforderliche Dokumentation kann auch durch eine Ergänzung der Spezifikation der funktionalen Sicherheit (siehe TRBS 1115) erfolgen.
(2) Für die Festlegung der erforderlichen Cybersicherheitsmaßnahmen ist wie folgt vorzugehen:
(1) Zum Schutz vor Cyberbedrohungen sind die Schnittstellen von sicherheitsrelevanten MSR-Einrichtungen, der Vernetzungsgrad und die Zugriffsmöglichkeiten auf das für die Verwendung des Arbeitsmittels notwendige Maß zu reduzieren.
(2) Zusätzlich ist auf die ausreichende Widerstandsfähigkeit der betroffenen technischen Systeme der sicherheitsrelevanten MSR-Einrichtung selbst und der IT/OT-Umgebung gegenüber Cyberbedrohungen zu achten.
(3) Methoden und Verfahren sind so festzulegen, dass auch ergonomische Aspekte sowie ihre Akzeptanz bei den Beschäftigten berücksichtigt werden, damit eine Maßnahme der Cybersicherheit keine unsicheren Verhaltensweisen begünstigt (z. B. längere Wechselintervalle und starke Passwörter oder Einsatz von Token anstatt häufige Passwortwechsel).
(1) Zur Sicherstellung der Widerstandsfähigkeit der sicherheitsrelevanten MSR-Einrichtung sind Cybersicherheitsmaßnahmen im erforderlichen Umfang zu implementieren. Die IT/OT-Umgebung ist hierbei im erforderlichen Umfang einzubeziehen. Dies betrifft
a) | von Informationen, die innerhalb einer sicherheitsrelevanten MSR-Einrichtung oder zwischen MSR-Einrichtungen oder der Umgebung ausgetauscht werden und Einfluss auf die Funktion der sicherheitsrelevanten MSR-Einrichtung besitzen, z. B. Schutz gegen Blockierung der Funktion durch DoS-Ereignisse (Denial of Service), |
b) | von innerhalb einer sicherheitsrelevanten MSR-Einrichtung gespeicherten Informationen, wie z. B. die Parameter eines Sensors oder das Applikationsprogramm des Logiksystems, die unmittelbar die Integrität der sicherheitsrelevanten MSR-Einrichtung bestimmen, |
c) | von Programmen, die für die Funktion der sicherheitsrelevanten MSR-Einrichtung erforderlich sind. |
a) | von Informationen, die innerhalb einer sicherheitsrelevanten MSR-Einrichtung oder zwischen MSR-Einrichtungen oder der Umgebung ausgetauscht werden und |
b) | von innerhalb einer sicherheitsrelevanten MSR-Einrichtung gespeicherten Informationen, wie z. B. die Parameter eines Sensors oder das Applikationsprogramm des Logiksystems, die unmittelbar die Integrität der sicherheitsrelevanten MSR-Einrichtung bestimmen, |
c) | von anderen gespeicherten Informationen (z. B. Material- und Anlagenspezifikationen, Betriebsanleitungen, Risikoanalysen für Prozessanlagen, Funktionspläne, Systemarchitekturdiagramme), die in einem mittelbaren Zusammenhang mit der Integrität der sicherheitsrelevanten MSR-Einrichtung oder ihrer Funktionsfähigkeit stehen. |
(2) Insbesondere die folgenden Maßnahmen sind zu berücksichtigen:
a) | den jeweiligen Tätigkeitsprofilen (Rollen) zugeordnete Rechte, |
b) | wirksame Authentifizierungsverfahren (Zugangskarten, Passwörter etc.) und |
c) | physische Barrieren (Räume, Schränke etc.) |
a) | Verzicht auf oder Deaktivieren oder Blockieren von nicht benötigten Hardwareschnittstellen, |
b) | Verzicht auf oder Entfernen/Deaktivieren von Softwarekomponenten und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe nicht zwingend notwendig sind, |
c) | Abschalten oder Unterdrücken von nicht autorisierten Kommunikationsverbindungen, Diensten oder Funktionen (z. B. durch Whitelisting). |
a) | Kompromittieren der sicherheitsrelevanten MSR-Einrichtung, |
b) | Kompromittieren von Kommunikationspartnern der sicherheitsrelevanten MSR-Einrichtung (z. B. Verbindungsabbruch, Schadsoftware auf der Engineering Station). |
a) | die Notwendigkeit eines Notfallplans zur Abschaltung unter Verwendung vorhandener nicht-digitaler Infrastrukturen, z. B. Abschaltmöglichkeiten der Hilfsenergie von Ventilen, unabhängige Not-Aus-Systeme, gezielte Deaktivierung von Steuerausgangssignalen, zu prüfen, |
b) | vor der Wiederinbetriebnahme sicherzustellen, dass die Sicherheitslücke behoben ist und keine Spuren vom Angriff im System verblieben sind. |
(1) Bei der fachgerechten Auswahl und Installation sicherheitsrelevanter MSR-Einrichtungen einschließlich der verwendeten Komponenten müssen die gemäß Abschnitt 4.4.3 Absatz 2 erforderlichen Cybersicherheitsmaßnahmen vom Arbeitgeber berücksichtigt werden.
(2) Hinsichtlich der erforderlichen Cybersicherheit sind mindestens folgende Punkte sicherzustellen: