TRBS 1115-1: Praxis-Anwendung für Aufzugbetreiber

TRBS 1115-1: Praxis-Anwendung für Aufzugbetreiber

Für Aufzugbetreiber ist die TRBS 1115-1 kein Randthema, sondern ein konkreter Prüfauftrag: Cyberrisiken gehören inzwischen in die Gefährdungsbeurteilung. Das betrifft vor allem sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen, wenn sie vernetzt sind oder Fernzugriffe zulassen. Wer die Anforderungen sauber umsetzt, reduziert nicht nur Risiken, sondern schafft auch klare Zuständigkeiten für Wartung, Kontrolle und Dokumentation.

Was die TRBS 1115-1 für Betreiber verändert

Die TRBS 1115-1 konkretisiert die Betriebssicherheitsverordnung für den Bereich Cybersicherheit. Für Sie bedeutet das: Nicht nur mechanische oder elektrische Gefährdungen zählen, sondern auch die Frage, ob digitale Schnittstellen die Sicherheit der Anlage beeinträchtigen können. Die Regel ist seit 2023 veröffentlicht und damit in der Praxis ein fester Maßstab für Betreiber überwachungsbedürftiger Anlagen.

Wichtig ist dabei die Eingrenzung: Betroffen sind sicherheitsrelevante Komponenten, nicht jede beliebige digitale Funktion am Aufzug. Entscheidend ist, ob eine Manipulation über Schnittstellen, Fernwartung oder Netzwerke zu einem kritischen Zustand führen könnte.

  • sicherheitsrelevante Komponenten identifizieren
  • Vernetzung und Fernzugriffe prüfen
  • Gefährdungsbeurteilung um Cyberrisiken ergänzen
  • Maßnahmen dokumentieren und nachvollziehbar halten

Welche Anlagen und Schnittstellen im Fokus stehen

In der Praxis sollten Betreiber zuerst eine Bestandsaufnahme machen: Welche Anlage verfügt über Netzwerkzugänge, welche arbeitet mit Fernwartung, wo gibt es WLAN-, Bluetooth- oder andere Schnittstellen? Auch Notruf- und Serviceverbindungen können relevant sein, wenn darüber auf sicherheitsrelevante Funktionen zugegriffen werden kann. Je mehr Technik verbunden ist, desto wichtiger wird eine klare Begrenzung der Zugriffswege.

Die Erfahrung zeigt: Häufig sind nicht große Angriffe das Problem, sondern zu weit geöffnete Zugänge, schwache Passwörter oder dauerhaft aktive Schnittstellen, die nur zeitweise gebraucht werden. Deshalb sollte jede Verbindung technisch und organisatorisch begründet sein.

  • vorhandene Schnittstellen inventarisieren
  • Fernwartung nur bei Bedarf aktivieren
  • nicht benötigte Zugänge sperren oder deaktivieren
  • Berechtigungsebenen sauber trennen

So setzen Sie die Gefährdungsbeurteilung praktisch um

Die TRBS 1115-1 verlangt keine bloße Formalie, sondern eine belastbare Bewertung: Welche Bedrohungen sind realistisch, welche Folgen wären im Ernstfall denkbar und welche Schutzmaßnahmen sind angemessen? Dazu gehören zum Beispiel Netzwerksegmentierung, Zugriffsbeschränkungen, Passwortschutz, Härtung von Schnittstellen und regelmäßige Wirksamkeitskontrollen. Auch die technische Anlagendokumentation und Herstellerangaben sollten dabei herangezogen werden.

Für Aufzugbetreiber ist das vor allem eine Organisationsaufgabe. Wer Zuständigkeiten, Prüfschritte und Fristen nicht klar festlegt, riskiert Lücken zwischen Wartung, Betreiberpflicht und Dokumentation. Sinnvoll ist deshalb ein fester Prozess mit regelmäßiger Überprüfung, statt einer einmaligen Bewertung.

  • Bedrohungen und Auswirkungen bewerten
  • geeignete Maßnahmen schriftlich festlegen
  • Umsetzung terminieren und nachverfolgen
  • Wirksamkeit regelmäßig prüfen lassen

Rolle von Wartung, Dienstleister und Prüfungen

Die Umsetzung gelingt meist nur gemeinsam mit dem Aufzugsdienstleister, dem Hersteller und gegebenenfalls der zugelassenen Überwachungsstelle. Betreiber sollten genau abfragen, welche Funktionen sicherheitsrelevant sind, welche Schutzmechanismen bereits vorhanden sind und welche Updates oder Konfigurationsänderungen empfohlen werden. Wichtig ist auch, dass Cybersicherheit in wiederkehrenden Prüfungen mitgedacht wird.

Gerade bei vernetzten Anlagen ist es sinnvoll, Wartungs- und Fernzugriffsprozesse vertraglich sauber zu regeln. So vermeiden Sie unklare Verantwortlichkeiten, wenn Zugänge geändert, Systeme erweitert oder Komponenten ersetzt werden.

  • Welche Schnittstellen sind sicherheitsrelevant?
  • Welche Zugriffe sind dauerhaft nötig?
  • Welche Schutzmaßnahmen sind bereits aktiv?
  • Wie wird die Wirksamkeit dokumentiert?

Nächste Schritte für Betreiber

Wenn Sie jetzt handeln, starten Sie mit einer technischen Bestandsaufnahme und prüfen Sie Ihre Gefährdungsbeurteilung auf Lücken beim Thema Cybersicherheit. Danach sollten Sie Maßnahmen priorisieren: zuerst Zugänge begrenzen, dann Konfigurationen absichern und schließlich die Dokumentation vollständig machen. Wer bereits Fernzugriffe oder vernetzte Komponenten nutzt, sollte diesen Punkt nicht aufschieben.

Praktische Checkliste:

  • Anlage auf sichere und nicht sichere Schnittstellen prüfen
  • Gefährdungsbeurteilung aktualisieren
  • Schutzmaßnahmen mit dem Dienstleister abstimmen
  • Dokumentation für Prüfungen und Audits bereithalten
  • Fristen für Nachbesserungen festlegen

Wenn Sie unsicher sind, stellen Sie Ihrem Dienstleister diese Fragen: Welche Komponenten sind sicherheitsrelevant? Welche Fernzugriffe gibt es? Welche Maßnahmen sind bereits wirksam? Und wie wird bei Änderungen an der Anlage dokumentiert, dass die TRBS 1115-1 weiterhin erfüllt ist?

Weitere News