Umsetzung der TRBS 1115-1
Schutz vor Cyberkriminalität in Aufzügen
Wer einen Blick in die nahe Zukunft der nächsten Jahre werfen möchte, muss zunächst Schlüsse aus den aktuellen Geschehnissen ziehen. Dabei lässt sich insbesondere erkennen, dass sich der Druck auf Hausverwaltungen in den letzten Jahren deutlich erhöht hat – und immer weiter erhöht.
Weil bei vielen Verwaltern Unklarheiten über Sinn, Ablauf und Kosten einer Cyberprüfung bestehen, finden Sie hier Antworten auf die wichtigsten Fragen.
Wer muss handeln?
Der Betreiber der Aufzugsanlage ist für die Umsetzung der Vorgaben der Betriebssicherheitsverordnung einschließlich der TRBS 1115-1 zuständig. Die Haftung liegt beim Betreiber bzw. dem Verwalter. Die Prüfungsgesellschaften tragen seit 1. April 2024 bei einer fehlenden Cyberdokumentation einen geringfügigen Mangel ein. Prinzipiell ist das für den Betreiber noch kein Problem für den Weiterbetrieb – er hat ein Jahr Zeit, diesen Mangel abzustellen. Erst dann wird vermutlich aus dem leichten Mangel ein schwererer Mangel. Die TRBS 1115-1 bleibt für den Betreiber dennoch verbindlich.
Was wird betrachtet?
Der Gesetzgeber verlangt, die nach § 4 ÜAnlG und § 3 BetrSichV vorgeschriebene Gefährdungsbeurteilung (GBU) für Aufzüge zu aktualisieren und um die Gefährdungen zur Cybersicherheit zu erweitern. Wie bei der klassischen GBU gibt es damit die Gefährdungsanalyse (Checkliste), die Gefährdungsbeurteilung und den sich daraus ergebenden Maßnahmenkatalog und seine Abarbeitung. Die Cyber-GBU selbst muss immer wieder aktualisiert werden, wenn sich bei den gesetzlichen Vorgaben etwas ändert, eventuell zutreffende elektronische Bauteile im Aufzug erneuert werden oder es zu einer Modernisierung kommt.
In dem Beschluss des EK ZÜS BA-017 (Arbeitskreis der Prüfgesellschaften) mit Datum 17. April 2024 werden die betreffenden Komponenten zur Dokumentation im Rahmen der Gefährdungsbeurteilung durch Cyberbedrohungen angegeben. Neben den ursprünglichen PESSRAL-Komponenten werden ebenso aufgeführt:
- Sicherheitsrelevante Mess-Steuer-Regeleinrichtungen
- Zwei-Wege-Kommunikationssysteme („Notrufsysteme“)
- Schutzbedürftige IT/OT-Umgebung
- Weitere Bauteile gemäß ISO 8102-20 (sofern digital und cyberrelevant)
- Frequenzumrichter mit sicherheitsrelevanter Funktion
Zertifikate einzelner Komponenten sind als Nachweis für eine vollständige Anlagendokumentation im Sinne der Anforderungen der TRBS 1115-1 nicht ausreichend. Diese können jedoch in die Dokumentation des Betreibers einfließen.
Wie handelt man rechtssicher?
Die vielzitierte Checkliste allein reicht nicht aus. Genauso sollte man nicht auf Schreiben von Wartungsunternehmen oder Herstellern vertrauen, in denen diese mitteilen, dass keine oder nur im geringen Maße mögliche Cyberbedrohungen gegeben sind.
Die TRBS 1115-1 ist nur korrekt umgesetzt, wenn alle erwähnten Maßnahmen abgearbeitet werden. Fehlen die GBU, der Maßnahmenkatalog oder seine zeitliche Abarbeitungsplanung, haftet der Betreiber bzw. Verwalter weiterhin. Und noch viel ärgerlicher: Er muss einen weiteren Dienstleister mit den fehlenden Modulen für zusätzliches Geld beauftragen.
Verfügen Sie als Verwalter über keine klassische Gefährdungsbeurteilung für eine oder mehrere Ihrer Anlagen, sollten Sie deren Erstellung einschließlich Cyber-GBU dringend angehen. Vorhandene Gefährdungsbeurteilungen sollten auf Alter, Inhalt und Stand der Abarbeitung überprüft werden. Eine schön abgeheftete GBU im Ordner oder auf dem Server befreit Verwalter leider nicht von der Haftung, den Aufzug auf den Stand der Technik zu bringen. Dies gilt auch für den Standardsatz „Der TÜV hat dies noch nicht moniert“. Schließlich befinden wir uns hier im Arbeits- und Unfallschutz – und dafür haftet der Betreiber immer.
—
Die WOWILIFT FM GmbH ist ein bundesweit aufgestelltes Dienstleistungsunternehmen für die Wohnungswirtschaft mit Sitz in Hannover. Es unterstützt Kunden bei der Erstellung und der Abarbeitung von Gefährdungsbeurteilungen und mit technischen Aufnahmen zur Beurteilung des Ist-Zustands von Aufzugsanlagen. Wowilift bietet Lösungen im Bereich Modernisierung, Sanierung, Umbau und Ersatz von Aufzugsanlagen und begleitet und berät Kunden bei der Ausführung von Baumaßnahmen rund um ihren Aufzug.
Die Wowilift FM GmbH ist eine Schwestergesellschaft der Wowilift GmbH in Mannheim, die als bundesweiter Dienstleister für den Service am Aufzug, Wartungen, Reparaturen, Liftmanager und Kümmerer in der Wohnungswirtschaft bekannt ist.
Kontakt
ALEXANDER SCHMIDT
Geschäftsführer
Wowilift FM GmbH