Cybersicherheit für Aufzüge ISO 8100-20

1. Was ist die ISO 8100-20?

1.1 Hintergrund und Entwicklung

Die ISO 8100-20 ist Teil der ISO 8100-Serie, die sich mit der Sicherheit von Aufzügen und Fahrtreppen befasst. Sie wurde entwickelt, um:

  • Cyberrisiken in vernetzten Aufzugssystemen zu minimieren.
  • Hersteller, Betreiber und Wartungsfirmen bei der Absicherung ihrer Systeme zu unterstützen.
  • Internationale Harmonisierung der Sicherheitsstandards zu fördern.

Die Norm wurde 2020 veröffentlicht und ist eine direkte Reaktion auf die zunehmende Digitalisierung in der Branche.

1.2 Geltungsbereich

Die ISO 8100-20 gilt für:

  • Neue Aufzüge und Fahrtreppen mit digitalen Komponenten.
  • Nachrüstungen bestehender Systeme mit vernetzten Funktionen.
  • Alle Beteiligten in der Wertschöpfungskette: Hersteller, Integratoren, Betreiber, Wartungsfirmen.

2. Warum ist die Norm relevant?

2.1 Rechtliche und normative Einbindung

Die ISO 8100-20 wird jedoch zunehmend als Best Practice für Cybersicherheit anerkannt, insbesondere weil:

  • Die EU-Cybersecurity Act (2023) und die NIS2-Richtlinie (Netz- und Informationssicherheit) die Absicherung kritischer Infrastrukturen fordern.
  • Die ÖNORM EN ISO/IEC 8100-20 als nationale Umsetzung erwartet wird.
  • Versicherungen und Haftungsfragen bei Cybervorfällen immer stärker in den Fokus rücken.

3. Zentrale Anforderungen der ISO 8100-20

Die Norm definiert drei Hauptziele für die Cybersicherheit:

  1. Vertraulichkeit: Schutz vor unbefugtem Zugriff auf Daten.
  2. Integrität: Verhinderung von Manipulationen an Systemen oder Daten.
  3. Verfügbarkeit: Sicherstellung, dass Systeme bei Bedarf funktionieren.

3.1 Risikobewertung und -management

  • Identifikation von Bedrohungen: z. B. Hacking, Malware, Denial-of-Service-Angriffe.
  • Bewertung der Eintrittswahrscheinlichkeit und Auswirkung (z. B. Stillstand von Aufzügen, Gefährdung von Personen).
  • Maßnahmen zur Risikominimierung: Technische und organisatorische Lösungen.

3.2 Technische Maßnahmen

BereichAnforderungBeispiel
NetzwerksicherheitSegmentierung, Firewalls, verschlüsselte KommunikationVPN für Fernwartung, getrennte Netzwerke für Steuerung und Wartung
ZugriffskontrolleStarke Authentifizierung, Rollen- und RechtemanagementMulti-Faktor-Authentifizierung für Wartungstechniker
Software-SicherheitRegelmäßige Updates, Patch-Management, sichere EntwicklungSignierte Firmware-Updates, Code-Reviews
DatenintegritätSchutz vor Manipulation, Prüfsummen, LogsDigitale Signaturen für Konfigurationsdateien
ÜberwachungEchtzeit-Monitoring, AnomalieerkennungSIEM-Systeme (Security Information and Event Management)

3.3 Organisatorische Maßnahmen

  • Schulungen: Sensibilisierung von Mitarbeitern für Cyberrisiken.
  • Dokumentation: Nachweis der umgesetzten Sicherheitsmaßnahmen.
  • Notfallpläne: Vorgehen bei Cybervorfällen (z. B. Isolierung betroffener Systeme).

4. Umsetzung in der Praxis: Schritt-für-Schritt

4.1 Phase 1: Bestandsaufnahme

  • Inventarisierung: Welche Systeme sind vernetzt? (z. B. Steuerungen, Sensoren, Wartungsportale)
  • Schnittstellenanalyse: Welche Kommunikationswege existieren? (z. B. Cloud-Anbindung, lokale Netzwerke)

4.2 Phase 2: Risikoanalyse

  • Bedrohungsmodellierung: Welche Angriffsvektoren sind möglich?
    • Externe Angriffe (z. B. über das Internet)
    • Interne Angriffe (z. B. durch Mitarbeiter oder Wartungstechniker)
    • Supply-Chain-Angriffe (z. B. manipulierte Komponenten)
  • Risikobewertung: Einstufung nach Eintrittswahrscheinlichkeit und Schadensausmaß.

4.3 Phase 3: Maßnahmenplanung

  • Technische Lösungen:
    • Verschlüsselung: TLS für Datenübertragung, AES für gespeicherte Daten.
    • Netzwerksegmentierung: Trennung von Steuerungs- und Büro-Netzwerken.
    • Intrusion Detection/Prevention Systems (IDS/IPS): Erkennung von Angriffen.
  • Organisatorische Lösungen:
    • Zugangskontrollen: Wer darf auf welche Systeme zugreifen?
    • Incident-Response-Plan: Klare Prozesse für den Ernstfall.

4.4 Phase 4: Umsetzung und Test

  • Pilotprojekte: Test der Maßnahmen an ausgewählten Aufzügen.
  • Penetrationstests: Simulation von Angriffen zur Überprüfung der Sicherheit.
  • Zertifizierung: Nachweis der Konformität mit der ISO/IEC 8100-20.

4.5 Phase 5: Kontinuierliche Verbesserung

  • Regelmäßige Audits: Überprüfung der Sicherheitsmaßnahmen.
  • Updates: Anpassung an neue Bedrohungen und Technologien.

5. Herausforderungen und Lösungsansätze

5.1 Typische Hindernisse

HerausforderungLösungsansatz
AltsystemeNachrüstung mit Sicherheitsmodulen (z. B. Firewalls, Verschlüsselung)
KostenPriorisierung nach Risiko, schrittweise Umsetzung
Fehlende ExpertiseKooperation mit Cybersicherheits-Spezialisten, Schulungen
Komplexität vernetzter SystemeEinsatz von Zero-Trust-Architekturen (kein Vertrauen ohne Verifizierung)

5.2 Besondere Anforderungen

  • DSGVO-Konformität: Schutz personbezogener Daten (z. B. Nutzerdaten von Aufzügen in Wohnanlagen).
  • Lokale Vorschriften: Einhaltung der ÖNORMEN und EU-Richtlinien.
  • Zusammenarbeit mit Behörden: Meldung von Vorfällen an die Cybersecurity-Beauftragten des Bundes.

6. Zukunftsperspektiven: Was kommt nach der ISO 8100-20?

6.1 Trends in der Aufzugs-Cybersicherheit

  • KI-gestützte Angriffserkennung: Einsatz von Machine Learning zur Erkennung von Anomalien.
  • Blockchain für Datenintegrität: Unveränderliche Protokollierung von Wartungsdaten.
  • Standardisierung auf EU-Ebene: Harmonisierung mit der EU Cyber Resilience Act (CRA).

6.2 Empfehlungen

  1. Frühzeitige Auseinandersetzung: Die Norm wird voraussichtlich verpflichtend für neue Aufzüge.
  2. Investition in Sicherheit: Cyberangriffe können existenzbedrohend sein (z. B. durch Haftung oder Reputationsschäden).
  3. Zusammenarbeit mit Experten: Externe Beratung für komplexe Systeme einholen.