Schindler-Deutschland-Gutachten verschärft Streit um Cybersicherheits-Regeln

Ein neues Rechtsgutachten heizt die Debatte um die praktische Umsetzung deutscher Cybersicherheits-Vorschriften für den Arbeitsschutz weiter an. Fast drei Jahre nach Einführung der umstrittenen Regel TRBS 1115-1 herrscht in der Industrie noch immer erhebliche Unsicherheit.

Veröffentlicht: 18. Januar 2026

Die Unsicherheit ist groß, die Verwirrung auch. Fast drei Jahre nach Inkrafttreten der Technischen Regel für Betriebssicherheit (TRBS) 1115-1 wissen viele deutsche Unternehmen noch immer nicht genau, wie sie Cybersicherheit in ihre Gefährdungsbeurteilungen integrieren sollen. Jetzt verschärft ein Rechtsgutachten, das der Aufzugsbauer Schindler Deutschland in Auftrag gab, die Debatte erneut. Es geht um Millionenbeträge, Haftungsrisiken und im schlimmsten Fall um die körperliche Sicherheit von Beschäftigten.

Die im März 2023 vom Bundesinstitut für Arbeitsschutz und Arbeitsmedizin (BAuA) veröffentlichte Regel hat die industrielle Sicherheitslandschaft grundlegend verändert. Sie erkennt Cyberangriffe erstmals offiziell als mögliche Ursache für physische Gefahren am Arbeitsplatz an. Konkret müssen Unternehmen nun in ihrer Gefährdungsbeurteilung nach der Betriebssicherheitsverordnung (BetrSichV) auch potenzielle Schwachstellen in ihren Sicherheitssystemen identifizieren.

Das betrifft alle Branchen mit überwachungsbedürftigen Anlagen – von der Chemieindustrie über die Fertigung bis hin zum Gebäudemanagement. Der Hintergrund: Im Zeitalter von Industrie 4.0 sind vormals isolierte Steuerungssysteme (Operational Technology, OT) zunehmend vernetzt. Das schafft neue Angriffsvektoren. Die TRBS 1115-1 zwingt Betreiber dazu, Szenarien zu bedenken, in denen Hacker eine Sicherheitssteuerung manipulieren, eine Not-Aus-Funktion außer Kraft setzen oder eine Maschine außerhalb ihrer sicheren Parameter betreiben könnten.

Passend zum Thema TRBS 1115-1: Viele Gefährdungsbeurteilungen übersehen heute Cyber‑Risiken in OT- und MSR‑Systemen – das kann zu Mängelnoten, Nachrüstpflichten und erheblichen Haftungsrisiken führen. Kostenlose, praxisnahe Vorlagen und Checklisten erklären Schritt für Schritt, wie Sie Ihre Gefährdungsbeurteilung rechtssicher aufsetzen, typische Prüffragen beantworten und Nachweise für Aufsichtsbehörden dokumentieren. Die Materialien sind speziell auf vernetzte industrielle Anwendungen zugeschnitten und sparen Sicherheitsfachkräften sowie Betreibern Stunden an Arbeit. Jetzt GBU‑Vorlagen & Checklisten gratis herunterladen

Der Kern des Streits: Was muss genau geprüft werden?

Das jetzt bekannt gewordene Gutachten für Schindler bringt das zentrale Problem auf den Punkt: Es fehlt an Konsens darüber, welche konkreten Systemkomponenten überhaupt von der Cybersicherheits-Bewertung erfasst werden müssen. Die Regel gilt für „sicherheitsgerichtete Mess-, Steuer- und Regelungseinrichtungen“ (MSR-Einrichtungen). Doch die Interpretation dieser Definition variiert in der Industrie erheblich.

Wie das Fachmagazin LIFTjournal berichtet, herrscht selbst innerhalb der Aufzugsbranche Uneinigkeit über den Umfang der erforderlichen Analyse. Manche verstehen die Vorgabe eng, andere fordern eine umfassende Bewertung aller vernetzten Komponenten, die potenziell kompromittiert werden könnten. Diese Unklarheit verwirrt sowohl die Anlagenbetreiber, die die Gefährdungsbeurteilung durchführen müssen, als auch die Dienstleister, die sie dabei unterstützen.

Die Entscheidung eines großen Herstellers wie Schindler, ein formelles Rechtsgutachten einzuholen, ist ein deutliches Signal: Die bestehenden Leitlinien werden als unzureichend empfunden, um Compliance sicherzustellen. Die finanziellen und haftungsrechtlichen Konsequenzen einer Fehlinterpretation sind immens.

Druck von den Prüforganisationen

Die Herausforderungen bei der Auslegung der TRBS 1115-1 beschränken sich nicht auf die Aufzugsbranche. Sie betreffen die gesamte deutsche Industrie, die sicherheitsgerichtete Systeme betreibt. Zugelassene Überwachungsstellen (ZÜS) prüfen bei ihren Routine-Kontrollen, ob die Cybersicherheits-Aspekte in der Gefährdungsbeurteilung berücksichtigt wurden.

Kann ein Betreiber nicht nachweisen, dass er Cyberbedrohungen angemessen adressiert hat, können die Prüfer dies als „geringen Mangel“ vermerken. Dieser Compliance-Druck zwingt die Unternehmen zum Handeln – auch angesichts der regulatorischen Grauzonen. Experten raten daher oft, sich an etablierte Industriestandards wie die IEC-62443-Reihe anzulehnen, die einen Rahmen für die Sicherheit von Automatisierungs- und Steuerungssystemen bietet.

Was kommt als Nächstes?

Die aktuelle Unsicherheit zeigt ein grundsätzliches Problem der digitalen Transformation auf: Wie lassen sich hochtrabende Cybersicherheits-Prinzipien in konkrete, überprüfbare Schritte für tausende verschiedene industrielle Anwendungen übersetzen? Das Gutachten eines Großkonzerns macht klar, dass die finanziellen und rechtlichen Risiken erheblich sind und der Streit um die Haftung gerade erst beginnt.

Die Branche blickt nun gespannt auf das Ergebnis dieser juristischen Analyse und auf mögliche Reaktionen der Aufsichtsbehörden. Weitere Klarstellung könnte vom Ausschuss für Betriebssicherheit (ABS) kommen, der für die Entwicklung dieser Technischen Regeln zuständig ist. Sein nächstes Treffen ist für April 2026 angesetzt. Bis dahin müssen deutsche Unternehmen einen schwierigen Spagat meistern: Sie müssen ihre Anlagen und Mitarbeiter dringend vor Cybergefahren schützen – und gleichzeitig eine Vorschrift umsetzen, deren genaue Grenzen noch immer umkämpft sind.

PS: Fast alle Prüforganisationen erwarten mittlerweile eine dokumentierte Berücksichtigung von Cyber‑Risiken in der Gefährdungsbeurteilung. Eine kurze Anleitung erläutert die sieben häufigsten Fehler bei GBU-Dokumentationen, liefert fertige Textbausteine für vernetzte MSR- und OT-Systeme und zeigt, wie Sie Prüfern schnell nachweisen, dass Cyberaspekte angemessen bewertet wurden. So reduzieren Sie Haftungsrisiken und sparen sich zeitraubende Nacharbeiten. Kostenlosen GBU‑Leitfaden jetzt downloaden