Menue

    • Security 4 Safety Assessment nach KAS51 / TRBS1115

    Home / Referenzen / Security 4 Safety Assessment nach KAS51 / TRBS1115

    Security 4 Safety Assessment 
    für Konformität zu KAS51 / TRBS1115-1

    Cybersecurity für Safety-Systeme: Auditbereitschaft für einen Störfallbetrieb

    Auch Einrichtungen der Funktionalen Sicherheit sind Cyberbedrohungen ausgesetzt. Normen und Regularien fordern eine Risikoabschätzung und dementsprechende Sicherheitsmaßnahmen. In Deutschland sind das konkret TRBS1115-1 (Betriebssicherheit) und KAS51 (Anlagensicherheit), sowie auch Vorgaben aus dem Ex-Schutz und der Maschinenrichtlinie. 

    Behörden und Versicherungen zeigen vermehrtes Interesse an Nachweisen. Betreiber wiederum brauchen eine Standortbestimmung „Wo stehe ich beim Thema Security für Sicherheitseinrichtungen?“ und "Wo möchte ich gerne stehen?"

    Unser Kunde

    Unser Kunde ist ein führendes Unternehmen der Chemiebranche mit rund 3.000 Mitarbeitenden an mehreren Standorten in Deutschland. Aufgrund der Produktionstätigkeit unterliegt das Unternehmen strengen regulatorischen Sicherheitsanforderungen, darunter der Störfall-Gesetzgebung (KAS-51) sowie den Vorgaben zur Betriebssicherheit nach TRBS 1115-1. 

    Aufgabe

    Ziel war es, einen Bericht zur Cybersecurity der Safety Systeme zu erstellen. Es handelte sich um mehrere nach der Betriebssicherheitsverordnung (TRBS) überwachungsbedürftige Anlagen, welche darüber hinaus der Störfallverordnung unterliegen. Der Bericht sollte entsprechend zur Vorlage bei der Zugelassenen Überwachungsstelle (ZÜS) und den zuständigen Störfallbehörden geeignet sein. Die Prüfung sollte entsprechend gegen die technischen Regeln TRBS 1115-1 und KAS51 durchgeführt werden.

    Warum war anapur der richtige Dienstleister für das Projekt?

    • 20+ Jahre Erfahrung und Expertise in OT-Security und Funktionaler Sicherheit 
    • 150+ erfolgreich durchgeführte OT-Security-Assessments in komplexen OT-Umgebungen
      insbesondere in Chemie, Öl & Gas und Pharma
    • umfassende Kenntnis der relevanten Regularien KAS 51 und TRBS 1115-1
      und wie diese von Behörden und zulässigen Überwachungsstellen überprüft werden
    • Prüfer mit Betreibererfahrung, die selbst Audits und Überprüfungen durchlaufen haben
    • hohes Bewusstsein für Kosten-Nutzen und methodische Vorgehensweise
      für effizient generierte und praxistaugliche Ergebnisse
    • neutraler und herstellerunabhängiger Dienstleister  

    Ablauf

    Planung:
    Gemeinsam mit unserem Kunden haben wir den Prüfumfang festgelegt und den zeitlichen Ablauf geplant. Unser Vorgehen ist methodisch, zielgerichtet und ressourcenbewusst, sodass auf Kundenseite nur minimaler Aufwand entsteht.
    Im Vorfeld haben wir die relevanten Systeme, Organisationen und Daten sowie die jeweils benötigten Rollen identifiziert. Es ist uns wichtig, dass der Kunde sein Personal nur punktuell nach konkretem Bedarf abstellen muss.
    Die Vorbereitung erfolgte auf Basis praxiserprobter Fragebögen.

    Durchführung des Assessments:
    Zu Beginn des Assessments wurde ein einführendes Training u.a. zu Bedrohung, Gefährdung und Definition von Schutzzielen durchgeführt. Mit dieser Personalschulung konnte bereits eine Anforderung aus den Regularien erfüllt werden.   

    Bei der folgenden Durchführung - inklusive Vor-Ort-Begehung - haben wir in der Rolle des Assessors bestehende Maßnahmen mit den Anforderungen abgeglichen. Bei bereichsübergreifenden Fragestellungen sind wir als Moderator zwischen den unterschiedlichen Organisationseinheiten aufgetreten. Wir verfügen über umfassendes Know-how in Funktionaler Sicherheit und Cybersicherheit und sprechen beide Sprachen – "OT" und "IT"– ein entscheidender Faktor für erfolgreiche Assessments.  
    Unser Assessor vor Ort war selbst langjährig in der Rolle als Betreiber von überwachungsbedürftigen Anlagen und konnte somit „auf Augenhöhe“ auditieren.

    Bei der Durchführung der Prüfungen konnten wir auf bewährtes Material zurückgreifen, welches die o.g. Regelwerke und den Stand der Technik generell abbildet.

    Bei den Prüfungen gehen wir grundsätzlich defensiv vor, so dass der Betriebsablauf nicht gestört wird. 

    Berichterstellung: 
    Als Ergebnis erhielt der Kunde einen umfassenden Assessmentbericht, der die relevanten Anforderungen, bestehende Abweichungen sowie konkrete Verbesserungsvorschläge transparent darstellt. Dieser Bericht dient zugleich als belastbarer Nachweis gegenüber Behörden und zugelassenen Überwachungsstellen (z. B. TÜV, DEKRA) zur Erfüllung der Vorgaben nach KAS 51 und TRBS 1115-1.

    Ergänzend dazu wurden die Ergebnisse in einer kompakten Executive Summary zusammengefasst. Diese Kurzfassung bietet der Führungsebene eine schnelle und fundierte Übersicht und unterstützt eine zielgerichtete Entscheidungsfindung.

    Projekterfolg

    • Effizientes Assessment: Minimale Belastung der Zeitbudgets auf Kundenseite bei gleichzeitig hoher Aussagekraft.

    • Klare Ergebnisse: Transparente Darstellung des Status quo und präzise Identifikation der wichtigsten Schwachstellen.

    • Konkreter Fahrplan: Handlungsoptionen und ein klarer „Path Forward“ zur kontinuierlichen Verbesserung.

    • Belastbarer Nachweis: Der Bericht zur Cybersicherheit wurde von der Störfallbehörde positiv hervorgehoben.

    AUFGABE
    • Cybersecurity-Assessment für Safety Systeme
      nach KAS 51 / TRBS 1115-1
    • Planung, Durchführung und Berichterstellung
    • Ziel: Auditbereitschaft 
    PROJEKTERFOLG
    • Effizient: Minimaler Zeitaufwand, maximale Aussagekraft
    • Transparent: Klarer Status quo und wichtigste Schwachstellen
    • Praxisnah: Konkreter Fahrplan zur Verbesserung
    • Anerkannt: Positiv bewertet durch die Überwachungsbehörde