(Foto: © AaronAmat  iStock.com und justinmedia iStock.com)

Cybersecurity: Die Verunsicherung hält an …

Betreiber

Die Idee ist verführerisch: Warum sollte man nicht einfach rein mechanische Fangvorrichtungen und Geschwindigkeitsbegrenzer verwenden, die sich seit fast 170 Jahren bewährt haben?

Denn bei diesen Teilen müssen sich Betreiber und Aufzugshersteller nicht mit der Frage der Cybersicherheit herumschlagen. Natürlich kann man das Rad nicht zurückdrehen, doch die Idee zeigt, wie groß die Verunsicherung im Markt immer noch ist.

Es hat sich inzwischen herumgesprochen, dass Betreiber seit dem 1. Juli bei der Gefährdungsbeurteilung eine Dokumentation zur Cybersicherheit vorlegen müssen – sonst schreiben die Zugelassenen Überwachungsstellen (ZÜS) einen geringfügigen Mangel auf. Das sagt der neue Teil 1 der Technischen Regel zur Betriebssicherheit (TRBS) 1115. Alles klar? Leider nein: Die Verwirrung ist nach wie vor vorhanden – offensichtlich auch bei den ZÜSen. Denn sie handhaben die neue TRBS 1115-1 ganz unterschiedlich. Fast genauso groß wie die Verwirrung ist aber inzwischen das (kostenpflichtige) Hilfsangebot – interessanterweise auch von den Kreisen, die an dieser neuen Regel mitgearbeitet haben.

Doch Vorsicht: Manche Anbieter schießen über das Ziel hinaus und offerieren dem Betreiber viel mehr, als er tatsächlich braucht. Manche ZÜS bietet zum Beispiel eine sogenannte Sicherheitsanalyse an, die bei der Dokumentation zur Cybersicherheit helfen soll. Sicherheitsanalyse – weil eine ZÜS keine Gefährdungsbeurteilung erstellen darf, denn das wäre eine den ZÜSen verbotene Beratung. Bei anderen Anbietern werden gerne Bedrohungsszenarien aufgebaut, Wahrheiten mit Halbwahrheiten vermischt und eine einfache Lösung für wenig Geld angeboten. Schauen Sie sich solche Angebote kritisch an!

Keine Internet-Verbindung

Zunächst müssen Sie wissen, was Ihre Pflichten tatsächlich sind und worum Sie sich nicht kümmern müssen. Haben Sie einen Standard-Wohnhaus- oder Industrie-Aufzug ohne besondere Förderhöhe und Geschwindigkeit, der vor 2010 gebaut wurde, können Sie sich fast immer entspannt zurücklehnen. Denn in diesen Anlagen gibt es fast nie die sogenannten sicherheitsrelevanten MSR-Einrichtungen (siehe Kasten), um die es bei der Cybersecurity und der neuen TRBS geht.

Entspannen können Sie sich auch, wenn Ihre Anlagen keine Verbindung zum Internet haben – das gilt noch für die meisten Aufzüge derzeit. In diesen Fällen reicht es, wenn Sie bei der Prüfung ein einfaches Blatt Papier vorlegen mit der Überschrift “Ergänzung Gefährdungsbeurteilung”, der Anlagennummer, dem Standort und einem Satz wie zum Beispiel: “Für die vorliegende Anlage sind keine Cybersicherheitsmaßnahmen erforderlich, es konnten keine Cyberbedrohungen auf sicherheitsrelevante MSR-Einrichtungen festgestellt werden.” Darunter kommen das Datum und Ihre Unterschrift – fertig!

Schwierig wird es bei neuen Aufzügen und bei Modernisierungen (Steuerungen!): Fast alle davon können inzwischen fernüberwacht werden, viele Komponenten sind miteinander vernetzt und es lässt sich nicht mehr einfach erkennen, was zu den sicherheitsrelevanten MSR-Einrichtungen gehört und was nicht. Eine Faustregel: Sobald Begriffe wie IoT, Remote- oder Fernüberwachung und -steuerung in der Beschreibung Ihres Aufzugs auftauchen, könnte die Cybersecurity ein Thema sein und Sie müssen sich als Betreiber damit beschäftigen.

Wenn Sie unsicher sind, holen Sie sich Unterstützung – es gibt genügend seriöse und unabhängige Ingenieurbüros und kompetente Aufzugsfirmen, die Ihnen mit Rat und Tat zur Seite stehen.


Sicherheitsrelevante MSR-Einrichtungen? Die TRBS 1201 definiert unter 2.10 die “Sicherheitsrelevanten MSR-Einrichtungen". Es sind “Mess-, Steuer- und Regeleinrichtungen an Arbeitsmitteln, die deren sicherer Verwendung dienen. Sie bestehen aus Sensor-, Aktor- und Logikeinheiten sowie zugehörigen Verbindungseinrichtungen.”

Ein paar Beispiele gefällig? Sicherheitsschalter, Türschalter, Fangschalter, Reglerkontakte, Spanngewichtsschalter – also im weitesten Sinne alles, was zu den Tür- und Sicherheitseinrichtungen gehört und direkt bei der Auslösung das Triebwerk stillsetzen kann. Dazu zählt jedenfalls nicht das Notrufsystem – das können Betreiber (wie alles im Aufzug) prüfen, müssen es aber nicht.

Es geht bei den neuen Pflichten nur um sogenannte PESSRAL-Einrichtungen. PESSRAL steht für Programmierbare Elektronische Systeme in sicherheitsbezogenen Anwendungen für Aufzüge.


Weitere Betreibertipps: Das Billy-Regal der Aufzugsbranche
Das Spiel mit der Angst
Verwaltung des Aufzugs delegieren?
Teure Freundschaft: Architekten und die geschlossenen Systeme
Der beste Instandhaltungsvertrag und seine Kosten
Mythen und Missverständnisse – Teil 2
Mythen und Missverständnisse – Teil 1
Delegieren will gelernt sein
Wie aktuell ist Ihre Gefährdungsbeurteilung?
Der nachhaltige Aufzug…
Welche Änderungen sind prüfpflichtig?
Hauptprüfung ohne Wartungsfirma?
Der mysteriöse Mangel 712
Gefährdungsbeurteilung für Fahrtreppen
Die oft vergessenen Kontrollen…
Gefährdungsbeurteilung: Die Sache mit den Fristen...
Sind Sie ein Aufzug-Betreiber?
Der Betreiber – das unbekannte Wesen
Der schwierige Betrieb von Feuerwehraufzügen
Gefährdungsbeurteilung (Teil 2)
Gefährdungsbeurteilung (Teil 1)