ISO 8102-20: Security für Aufzüge, Fahrtreppen und Fahrsteige

Markus Müller
vor 1 Monat
3 Min. Lesezeit

Die zunehmende Vernetzung und Digitalisierung machen auch Anlagen wie Aufzüge, Fahrtreppen und Fahrsteige anfällig für Cyberangriffe. Um diesen Herausforderungen zu begegnen, wurde die Norm ISO 8102-20 entwickelt. Sie legt branchenspezifische Cybersicherheitsanforderungen fest, die den gesamten Lebenszyklus solcher Systeme abdecken. Die Norm basiert auf der IEC 62443 und bietet eine maßgeschneiderte Grundlage, um Sicherheitsrisiken in diesem speziellen Bereich zu minimieren.

Anwendungsbereich

Die Norm beschreibt Aanforderungen an die Cybersicherheit in den folgenden Lebenszyklusphasen des sogenannten “Equipment under Control” (EUC):

  • Entwicklung (inklusive sicherer Entwicklungsprozesse)
  • Herstellung
  • Installation
  • Betrieb und Wartung
  • Außerbetriebnahme

Sie gilt für neue EUC, die mit externen Systemen wie Gebäudenetzwerken oder Cloud-Diensten verbunden werden können, jedoch nicht für bestehende Installationen vor dem Veröffentlichungsdatum der Norm.

Die Norm richtet sich primär an Produktlieferanten und Systemintegratoren, während die Verantwortung des Betreibers (“Asset Owner”) indirekt durch geeignete Dokumentation und Empfehlungen unterstützt wird.

Struktur und Inhalte

Die ISO 8102-20 legt folgende zentrale Aspekte fest:

Secure Development Lifecycle
Integration eines sicheren Entwicklungsprozesses nach den Prinzipien der IEC 62443-4-1. Dazu gehören die Risikoanalyse, das Threat Modeling und die kontinuierliche Verbesserung der Sicherheitsmaßnahmen.
Sicherheitsanforderungen für Produkte und Systeme
Definition von Sicherheitskontrollen für essenzielle, sicherheitskritische und Alarmfunktionen der EUC. Hierbei werden Sicherheitsziele wie Authentifizierung, Datenintegrität und Verfügbarkeit priorisiert.
Verifizierung und Validierung
Verpflichtung zu Sicherheitstests wie Penetrationstests, Schwachstellenscans und unabhängigen Überprüfungen.
Management von Sicherheitsvorfällen
Prozesse zur Meldung, Bewertung und Behebung von Sicherheitsvorfällen sowie zur zeitnahen Verteilung von Sicherheitsupdates.
Bereitstellung von Informationen
Dokumentation für Betreiber über empfohlene Sicherheitsmaßnahmen, Konfigurationsanforderungen und sichere Entsorgung.

Einordnung und Bezug zur IEC 62443

Die ISO 8102-20 ergänzt die IEC 62443, indem sie branchenspezifische Anforderungen für EUC definiert. Die Norm verweist direkt auf die IEC 62443-4-1 (sicherer Entwicklungsprozess) und die IEC 62443-4-2 (technische Sicherheitsanforderungen). Sie verwendet zudem das Sicherheitslevel-Modell der IEC 62443-3-3 und bietet spezifische Anforderungen für Alarm-, Sicherheits- und essentielle Funktionen.

Ein zentraler Unterschied besteht in der Anwendungsfokussierung: Während die IEC 62443 allgemein auf industrielle Kommunikationsnetzwerke abzielt, adressiert die ISO 8102-20 die spezifischen Risiken und Anforderungen von Aufzügen und Fahrtreppen, etwa hinsichtlich ihrer Konnektivität zu Gebäudenetzwerken und Cloud-Diensten.

Die enge Verzahnung mit der IEC 62443 gewährleistet eine hohe Kompatibilität und ermöglicht Herstellern, bestehende Zertifizierungsprozesse zu nutzen.

Fazit

Die ISO 8102-20 ist ein wertvolles Werkzeug für Hersteller und Integratoren, um die Cybersicherheit von Aufzügen, Fahrtreppen und Fahrsteigen systematisch zu adressieren. Ihre Orientierung an der IEC 62443 sichert eine konsistente Umsetzung bewährter Sicherheitsstandards, während ihre branchenspezifischen Anforderungen helfen, die Einhaltung aktueller und zukünftiger Cyberregulierungen zu erleichtern.

Das könnte Sie auch interessieren