Cybersecurity: Normenentwurf mit massiven Folgen

Vor kurzem ist der Entwurf des Teils 20 der ISO 8102-Reihe zur Cybersecurity von Aufzügen und Fahrtreppen erschienen. Wir haben einen Experten um seine Einschätzung gebeten.

Tim Ebeling, Geschäftsführer des Aufzugmessgeräteherstellers Henning, ist Vertreter des VFA-Interlift im Komitee "Digitalization and Cyber Security" des europäischen Aufzugsverbands ELA.

Ist der Inhalt ISO/DIS 8102-20 für Sie überraschend?
Ebeling: Die ISO/DIS 8102-20 wurde für eine ISO-Norm in bemerkenswert kurzer Zeit erarbeitet. Viele der beteiligten Parteien scheinen ein großes Interesse an dieser Norm zu haben. Und selbstverständlich ist Cybersecurity auch ein wichtiges Thema in unserer Branche, da immer mehr Aufzuganlagen z. B. über das Internet vernetzt werden.

Der Inhalt an sich hat mich nicht wirklich überrascht. Der Normentwurf referenziert zu großen Teilen auf die IEC 62443, eine internationale Normenreihe über "Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme". Überraschend waren allerdings einige Ausprägungen, die es vielen Marktteilnehmern sehr schwer machen dürften, auch zukünftig ihre Dienste in gewohnter Weise anzubieten.

Was meinen Sie damit?
Ebeling: Nun, der Schwerpunkt dieses Normentwurfs liegt im Kapitel zur "Secure development life cycle for lifts, escalators and moving walks", also dem sicheren Entwicklungs-Lebenszyklus der Komponenten eines Aufzuges. Dabei richtet sich dieses Kapitel an Komponentenhersteller und Systemintegratoren, wobei mit letzteren wohl die Errichter, bzw. Instandhaltungsunternehmen gemeint sind.

Tim Ebeling, Geschäftsführer des Aufzugmessgeräteherstellers Henning. Foto: © Henning

Das eigentliche Problem ist aber, dass diese Komponentenhersteller in der Regel in die Errichtung einer Anlage und deren Betrieb nicht involviert sind. Dadurch können sie viele der Anforderungen gar nicht erfüllen – gerade in Bezug auf Softwareupdates, Zertifikats-, bzw. Schlüsselhandling und dem geforderten Informationsaustausch zwischen Anlagenbesitzer, Systemintegrator (Instandhaltungs-, bzw. Errichterbetrieb) und Komponentenhersteller.

Dies ist wohl nur möglich, wenn Hersteller, Errichter und Instandhaltungsbetrieb ein und dieselbe Firma sind. Die Cybersecurity-Anforderungen sollten meiner Ansicht nach vor allem technischer Natur sein und nicht organisatorischer und sich auch auf die fertige Anlage beziehen und nicht so sehr den Fokus auf die Arbeitsorganisation der beteiligten Firmen setzen.

Wenn der Normenentwurf in dieser Form bestehen bleibt, scheinen auf die Komponentenhersteller große Anforderungen zuzukommen. Wie sieht es mit den Errichtern und Instandhaltungsfirmen aus?
Ebeling: Schon die Wortwahl Systemintegrator sagt einiges über die Anforderungen aus, die beim Errichten von Anlagen und deren Instandhaltung unter der Berücksichtigung des Normenentwurfs der ISO 8102-20 zu erwarten sind. Die Inbetriebnahme der Anlage oder der spätere Austausch einer Komponente kann dann durchaus auch den Austausch von Softwarezertifikaten und ähnlichem bedeuten.

Damit dürften die meisten kleinen und mittelständischen Wartungsunternehmen momentan überfordert sein. Entweder müssen neue Anforderungsprofile an Monteure erstellt werden oder es wird sich vielleicht eine neue Nische für reine Systemintegrator-Firmen im Aufzugbau auftun.

Eine spezielle Schwierigkeit sehe ich bei modular aufgebauten Anlagen, bei denen sich der Errichter selbst die notwendigen Komponenten zusammenstellt. Gerade dafür würde wohl IT-Systemintegrator-Wissen benötigt werden. Wenn die Anlage unter dem Normenentwurf ISO 8102-20 errichtet werden müsste, würde es sich für KMUs wohl anbieten, stattdessen Aufzug-Komplettpakete zu benutzen.

Provokant gefragt – Sie scheinen große Bedenken gegenüber dieses Norm- entwurfs zu haben. Meinen Sie nicht, dass das Thema Cybersecurity wichtig ist?
Ebeling: Selbstverständlich ist das Thema extrem wichtig. Gerade als Branche, die sich der funktionalen Sicherheit besonders verschrieben hat, können wir solch ein wichtiges Thema nicht einfach ignorieren. Cybersecurity ist auch für die Fördertechnik immens wichtig und wir müssen alles tun, um IT-Attacken auf unsere Anlagen zu verhindern. Ich habe aber Bedenken über die möglichen Auswirkungen dieses Normentwurfs und hätte mir mehr Praktikabilität gewünscht.

Foto: © jeshoots, unsplash.com / berya113 / Collage okapidesign/123RF.com

Natürlich ist dieses Kabel auch nicht wirklich sicher, mit einem einfachen Dreikant kann man sich Zugang zum Kabinendach verschaffen, das Kabel durchschneiden oder sonstige gefährliche Zustände herstellen. Die NEII hat aber den Fernzugang zu dieser "sicheren Zone" als besonders schützenswert herausgearbeitet.

Das bedeutet, dass die Maßnahmen zur Cybersecurity an dieser Stelle ansetzen müssen, also an der Schnittstelle zur Außenwelt. Diese entsprechende Komponente muss besonders gesichert und geschützt werden. Meiner Ansicht nach ist das sinnvoll und auch praktikabel.

Wenn der Entwurf der ISO/DIS 8102-20 unverändert übernommen wird, müssen sich dann die von Ihnen angesprochenen Marktteilnehmer darauf einstellen, neue Qualifikationen, Arbeitsprozesse etc. einzuführen?
Ebeling: Das heißt es nicht unmittelbar. Solange diese Norm nicht in der EU harmonisiert wird, muss sie auch von keinem Marktteilnehmer zur Anwendung gebracht werden, außer sie ist z. B. in einer Ausschreibung explizit gefordert. Das finde ich insofern bedauerlich, als dass wir uns mit dem Thema Cybersecurity tatsächlich auseinandersetzen und auch sichere Fernzugriffe ermöglichen müssen. Aus diesem Grund würde ich mir eine praktikable, technische und funktionale Lösung wünschen, die auch wirklich durch jeden Marktteilnehmer angewendet werden kann.