Text: Anja Blüthner

Die Schnittstellen zwischen Cybersicherheit und Arbeitsschutz sind dabei vielfältig. Ein Cyberangriff kann nicht nur IT-Infrastrukturen lahmlegen, sondern auch direkte Auswirkungen auf die Arbeitsplätze und das Wohl der Mitarbeiter haben. Beispielsweise können durch Cyberattacken Maschinensteuerungen manipuliert oder industrielle Steuerungssysteme gefährdet und kompromittiert werden. Dies kann im schlimmsten Fall zu Arbeitsunfällen führen oder sicherheitsrelevante Prozesse unterbrechen. Daher muss ­Cybersicherheit als integraler Bestandteil des modernen Arbeitsschutzes verstanden werden. Arbeitsschutz und Cybersicherheit verfolgen letztlich dasselbe Ziel: die Gesundheit und Sicherheit der Beschäftigten zu gewährleisten.

Abgrenzung von Cybersicherheit und Datenschutz

Es ist wichtig, zwischen Cybersicherheit und Datenschutz zu unterscheiden, obwohl beide Begriffe oft im gleichen Kontext verwendet werden. Datenschutz fokussiert sich auf den Schutz personenbezogener Daten, also die Vermeidung des Missbrauchs von Informationen, die Rückschlüsse auf Einzelpersonen zulassen. Cybersicherheit hingegen zielt darauf ab, die Integrität, Vertraulichkeit und Verfügbarkeit von IT-Systemen, Netzwerken und Daten generell zu schützen. Im Kontext des Arbeitsschutzes geht es bei der Cybersicherheit also um den Schutz der digitalen Infrastruktur, die Sicherheit der Maschinensteuerungen und die Sicherstellung reibungsloser Arbeitsabläufe – Aspekte, die vom Schutz persönlicher Daten abzugrenzen sind.

Neue Gefahren – alte Ansprüche: Arbeitsschutzrisiken durch Cyberangriffe

Die Risiken durch Cyberangriffe am Arbeitsplatz sind vielschichtig, was jedoch bei Arbeitssicherheit und Gesundheitsschutz zu keinerlei Abstrichen führen darf. Die Ansprüche an das Arbeitsschutzniveau sind und bleiben hoch. Arbeitgeber sind gesetzlich verpflichtet, sichere Arbeitsbedingungen zu gewährleisten. Dies umfasst auch den Schutz vor Gefährdungen, die von Cyberangriffen ausgelöst werden. Andererseits tragen auch die Arbeitnehmer diese Verantwortung mit, indem sie sicherheitsbewusst mit den IT-Systemen umgehen und sich an die festgelegten Schutzmaßnahmen halten.

Angriffe auf Unternehmensnetzwerke, Produktionssysteme oder IoT-Geräte aus dem virtuellen Raum können schwerwiegende Folgen für die physische Sicherheit der Belegschaft haben. Ein klassisches Beispiel sind Cyberangriffe auf Maschinensteuerungen in der Produktion. Wird beispielsweise die Steuerungssoftware einer Maschine manipuliert, kann dies zum Versagen der Schutzvorrichtungen führen oder plötzliche unkontrollierte Bewegungen des Geräts auslösen. Die Maschine arbeitet dann außerhalb sicherer Betriebsparameter, was zu schwerwiegenden Gefahren für Leben und Gesundheit der Beschäftigten führen kann, weil die auf funktionierende Systeme ausgerichteten Arbeitsschutzmaßnahmen nicht mehr greifen können. Denselben negativen Effekt auf ein arbeitssicheres Umfeld haben Angriffe mit Schadprogrammen. Sogenannte Ransomware oder auch Erpressungstrojaner verschlüsseln wichtige Daten, die für den gefahrlosen Betrieb von Anlagen erforderlich sind. In diesem Zusammenhang benötigt es wenig Fantasie, sich vorzustellen, welche Folgen der Ausfall kritischer Sicherheitsmechanismen wie Brandmelde- oder Notfallsysteme auf die Arbeitssicherheit im Unternehmen hat.

Neben der physischen Sicherheit können Cyberangriffe auch die mentale Gesundheit der Beschäftigten beeinträchtigen – ein Fakt, der bei den Betrachtungen der Gefahren aus dem virtuellen Raum nicht vernachlässigt werden darf. Wenn es durch eine Cyberattacke zu Datenabflüssen kommt, können diese missbraucht werden, um gezielte Phishingattacken gegen einzelne Mitarbeiter durchzuführen. In einigen Fällen werden betroffene Personen sogar erpresst. Solche Angriffe können spürbare psychische Folgen haben, die für den Gesundheitsschutz relevant sind.

Integration von Cybersicherheitsfragen in den Arbeitsschutz

Allen Arbeitsschutzakteuren ist klar, dass eine starke Sicherheitskultur im Unternehmen ein wesentlicher Bestandteil eines gefährdungsarmen – im besten Falle gefährdungsfreien – Arbeitsplatzes ist. Eben diese Sicherheitskultur muss jedoch unbedingt um den Punkt der Cybersicherheit ergänzt werden. Die zunehmende Vernetzung von Arbeitsplätzen macht es erforderlich, Cybersicherheitsmaßnahmen systematisch in bestehende Arbeitsschutzkonzepte und -strategien zu integrieren. Ein ganzheitlicher Ansatz, der beide Bereiche berücksichtigt, ist notwendig, um potenzielle Risiken zu minimieren. Dazu gehört die enge Zusammenarbeit zwischen den Fachkräften für Arbeitssicherheit (Sifas) und den IT-Sicherheitsteams, um Gefahren durch Cyberangriffe zu erkennen, sowie präventive Maßnahmen zu ergreifen und darauf basierend ein ganzheitliches Sicherheitskonzept zu entwickeln.

Während die IT-Sicherheit sich auf den Schutz digitaler Systeme konzentriert, müssen Arbeitsschutzexperten sicherstellen, dass die entsprechenden physischen und auch psychischen Risiken minimiert werden. Sifas haben dabei qua ihrer Verpflichtung eine zentrale Rolle. Sie müssen nicht nur klassische Arbeitsschutzmaßnahmen überwachen, sondern auch in der Lage sein, potenzielle Gefahren durch Cyberangriffe zu identifizieren und in die Risikobewertungen einzubeziehen. Das Mittel der Wahl für die Sifa ist dabei die konsequente Inte­gration von Risikoaspekten in die Gefährdungsbeurteilung, die durch Cyberangriffe oder unsichere IT-Systeme verursacht werden. Die Dokumentation der Cybersicherheitsrisiken in der Gefährdungsbeurteilung unterliegt einer regelmäßigen Aktualisierungspflicht, wobei auch neue Technologien oder Veränderungen in der IT-Landschaft Betrachtung finden müssen. Es sollten dabei alle IT-Systeme, Netzwerke und verbundenen Geräte identifiziert werden. Hierzu gehört das Erfassen von Arbeitsmitteln, die an das Netzwerk angeschlossen sind (zum Beispiel Maschinensteuerungen, IoT-Geräte), von externen Zugängen (zum Beispiel mobile Geräte, Fernzugriffe) und von kritischen Infrastrukturen, die bei einem Cyberangriff stillgelegt werden könnten.

Klassisch werden im nächsten Schritt die Arbeitssicherheitsrisiken identifiziert, die sich daraus ergeben. Hier kommen die bereits erwähnten Manipulationen von Steuerungssystemen zum Tragen. Durch gehackte Maschinensteuerungen beeinflusste Anlagen sind per se nicht sicher und bergen ein hohes Risikopotenzial. Der Eintritt von Verletzungen ist in einem solchen Fall nicht unwahrscheinlich.

Ergänzende Maßnahmen und Schulungen

Die Rolle der Fachkraft für Arbeitssicherheit beschränkt sich nicht nur auf die Analyse und Integration von Cyberrisiken. Auch technische und organisatorische Maßnahmen müssen ergriffen werden, um die Resilienz der Arbeitsplätze gegen Cyberbedrohungen zu stärken. Dazu gehört die enge Zusammenarbeit mit der IT-Abteilung bei der Umsetzung technischer Schutzmaßnahmen wie Firewalls, regelmäßige Software-Updates, die Implementierung von Zugangskontrollen und der Schutz von Fernzugriffen.

Zudem sind die Sensibilisierung und Schulung der Mitarbeiter ein zentraler Baustein in der ­Cybersicherheitsstrategie. Alle Beschäftigten müssen unabhängig von ihrer Rolle ein Bewusstsein für Cyberrisiken entwickeln und entsprechend präventiv handeln.

Es ist notwendig, dass die Mitarbeiter die möglichen Auswirkungen von Cyberangriffen über ihre eigene Arbeitsschutzsituation hinaus verstehen und wissen, wie sie sich im Ernstfall verhalten sollen. Deshalb bietet es sich an, entsprechende Fragestellungen in die jährliche Arbeitssicherheitsunterweisung zu integrieren. Die Mitarbeiter müssen in der Lage sein, Cybergefahren am Arbeitsplatz und deren Relevanz für den Gesundheitsschutz zu erkennen und richtig zu handeln. Zudem sollten immer entsprechende Notfallpläne und Verhaltensregeln für den Fall eines Cyberangriffs klar kommuniziert werden.

Ein Beispiel aus der Praxis: TRBS 1115

Ein konkretes Beispiel, wie Fragen der Cybersicherheit, des Arbeitsschutzes und der damit zusammenhängenden Gefährdungsbeurteilung bereits Eingang in die untergesetzliche Normengebung gefunden haben, ist die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 – „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“. Sie wurde am 22. März 2023 veröffentlicht und schreibt vor, dass in der Gefährdungsbeurteilung Betrachtungen zu Gefährdungen für Arbeitnehmer oder dritte Personen im Gefahrenbereich vorgenommen werden müssen, die von Cyberbedrohungen verursacht sind. Entsprechende Gegenmaßnahmen sind ebenfalls zu definieren.

Die zugelassenen Überwachungsstellen (ZÜS) werden künftig auch prüfen, ob die Anforderungen der TRBS 1115-1 bezüglich Cyberbedrohungen im Zusammenhang mit dem sicheren Anlagenbetrieb in der Gefährdungsbeurteilung niedergeschrieben sind.

Fazit und Ausblick

Cybersicherheit ist ein wesentlicher Bestandteil eines modernen und umfassenden Arbeitsschutzes. Die zunehmende Digitalisierung bringt neue Risiken mit sich, die Fachkräfte im Bereich Arbeitssicherheit unbedingt berücksichtigen müssen. Durch eine enge Zusammenarbeit zwischen IT-Sicherheits- und Arbeitsschutzverantwortlichen sowie durch Schulungen und Sensibilisierungsmaßnahmen der Mitarbeiter können Unternehmen und Organisationen ihre (Cyber-)Sicherheitsstandards erhöhen und Arbeitsplätze risikoarm gestalten. Letztlich geht es darum, die Gesundheit und Sicherheit der Beschäftigten in einer zunehmend digitalisierten Arbeitswelt zu gewährleisten.

Es ist davon auszugehen, dass sich mit der weiteren Digitalisierung und dem erweiterten Einsatz von Technologien wie Künstlicher Intelligenz (KI) und 5G-Netzwerken auch die Herausforderungen im Bereich Cybersicherheit und Arbeitsschutz verändern werden. Neue Angriffsvektoren – wie etwa komplett autonom arbeitende Maschinen – entstehen, was angepasste, erhöhte Arbeitssicherheitsanforderungen nach sich zieht. Unternehmen müssen proaktiv auf diese Entwicklungen reagieren und ihre Schutzkonzepte kontinuierlich aktualisieren.