TRBS 1115-1: Cybersicherheit wird Pflicht für Betriebssicherheit

Deutschland verschärft die Vorgaben zum Schutz von Industrieanlagen vor digitalen Angriffen. Eine aktualisierte Fassung der Technischen Regel für Betriebssicherheit TRBS 1115-1 ist jetzt im Gemeinsamen Ministerialblatt veröffentlicht worden. Sie macht IT-Sicherheit zum verpflichtenden Bestandteil des Arbeitsschutzes.

Die Regel konkretisiert die deutsche Betriebssicherheitsverordnung (BetrSichV). Ihr Kern: Der Schutz von Mitarbeitern vor physischen Gefahren muss künftig auch die Abwehr von Cyberangriffen auf sicherheitsrelevante Steuerungen umfassen. Für Betreiber sogenannter überwachungsbedürftiger Anlagen – wie Druckbehälter oder Aufzüge – wird die IT-Sicherheit damit rechtlich bindend.

Die TRBS 1115-1 stellt einen klaren Grundsatz auf: Sicherheitstechnische Systeme müssen auch unter Cyber-Bedrohungen funktionieren. Ursprünglich 2023 eingeführt, wurde die Regel nun präzisiert und gestärkt.

Viele Betriebe unterschätzen, wie Cyber‑Risiken sicherheitstechnische Systeme angreifbar machen – mit Folgen für Not‑Aus‑Funktionen und Prozesssicherheit. Praktische Vorlagen und Checklisten zur Gefährdungsbeurteilung helfen Verantwortlichen konkret dabei, Schwachstellen aufzudecken, Nachrüstpflichten zu planen und rechtssichere Dokumente für Aufsichtsbehörden zu erstellen. Holen Sie sich das gratis Download‑Paket mit Muster‑GBU, Risikomatrix und Prüfchecklisten für Sicherheitsbeauftragte. Jetzt Gefährdungsbeurteilung‑Vorlagen herunterladen

Hintergrund ist die fortschreitende Vernetzung. Wo früher isolierte Steuerungen arbeiteten, sind heute Operational Technology (OT) und IT‑Netze verknüpft. Diese Konvergenz öffnet Einfallstore. Ein erfolgreicher Angriff könnte Not‑Aus‑Systeme lahmlegen, Druckgrenzen manipulieren oder Chemieanlagen steuern. Die Folge wären katastrophale Unfälle.

„Cybersicherheit ist kein rein technisches IT‑Thema mehr“, macht die Regel deutlich. „Sie ist eine fundamentale Säule des betrieblichen Gesundheitsschutzes.“

Drei Gefahren im Fokus der Risikobewertung

Herzstück der Vorschrift ist eine umfassende Gefährdungsbeurteilung, die explizit Cyber‑Risiken einbeziehen muss. Betriebe sind verpflichtet zu analysieren, wie Angriffe ihre Sicherheitssysteme kompromittieren könnten. Drei Hauptgefahrenkategorien stehen im Fokus:

1. Beeinträchtigung der Verfügbarkeit: Ein Angreifer könnte eine Sicherheitsfunktion deaktivieren oder blockieren – genau dann, wenn sie im Notfall gebraucht wird.
2. Verletzung der Integrität: Unbefugte Änderungen an Daten oder Systemparametern könnten Maschinen außerhalb ihrer sicheren Grenzen laufen lassen.
3. Verlust der Vertraulichkeit: Gestohlene Passwörter oder digitale Signaturen ermöglichen Angreifern den Zugriff auf sicherheitskritische Steuerungen.

Auf Basis dieser systematischen Bewertung müssen Betreiber gezielte Schutzmaßnahmen entwickeln.

Klare Pflichten für Anlagenbetreiber

Die TRBS 1115-1 legt Betreibern einen klaren Maßnahmenkatalog auf. Dieser beginnt bereits bei der Planung und Beschaffung neuer Anlagen. Sicherheitsrelevante Systeme müssen von vornherein „stand der Technik“ entsprechen und für ihre Umgebung geeignet sein.

Für bestehende Anlagen ist eine Nachrüstung erforderlich. Die Schutzmaßnahmen gliedern sich in technische und organisatorische Schritte:

• Technisch kommen etwa Netzsegmentierung, Firewalls, strenge Zugangskontrollen und das Abschalten unnötiger Schnittstellen infrage.
• Organisatorisch sind klare Verantwortlichkeiten, sichere Wartungsprozesse und die Schulung von Personal entscheidend.

Die Wirksamkeit aller Maßnahmen muss regelmäßig überprüft und an neue Bedrohungen angepasst werden. Cybersicherheit wird so zum kontinuierlichen Prozess.

Rechtssicherheit in der vernetzten Industrie

Die Veröffentlichung kommt zu einem kritischen Zeitpunkt. Die fortschreitende Digitalisierung der deutschen Industrie – Stichwort Industrie 4.0 – macht klare Regeln unverzichtbar.

Die aktualisierte TRBS bietet mehr als nur Empfehlungen. Sie schafft einen durchsetzbaren rechtlichen Rahmen. Für Betriebe hat dies zwei wesentliche Vorteile: Sie schützen damit nicht nur ihre Belegschaft, sondern erfüllen auch ihre gesetzlichen Pflichten aus der BetrSichV. Im Schadensfall kann die Einhaltung der TRBS vor Haftungsrisiken schützen.

Die Botschaft an die Industrie ist eindeutig. Die Veröffentlichung sollte unmittelbare Handlungen auslösen: eine Überprüfung bestehender Risikobewertungen und die Sicherstellung notwendiger Expertise. In einer vollvernetzten Welt wird die IT-Sicherheit zur Grundvoraussetzung für resilienten und sicheren Betrieb.

PS: Sie wollen Ihre Gefährdungsbeurteilungen so anlegen, dass sie Prüfungen standhalten und gleichzeitig Nachrüstungen priorisieren? Die kostenlose Checkliste enthält eine Schritt‑für‑Schritt‑Anleitung zur GBU inklusive Risikomatrix, Musterformulierungen und Praxisbeispielen – ideal für Sicherheitsfachkräfte und Betriebsverantwortliche. Gefährdungsbeurteilung‑Checkliste gratis sichern