SucheKontaktRessourcen

Technische Maßnahmen und kontinuierliche Anomalieerkennung zur Erfüllung der Betriebssicherheitsverordnung (Stand 2026)

TRBS 1115-1 konform umsetzen: Schutz für sicherheitsrelevante OT-Systeme

Nicolai Sukup
Key Account Manager Rhebo
29.6.2026
5 min

In der modernen Industriebranche ist die Operational Technology (OT) längst nicht mehr vom Rest der Welt isoliert und das bringt damit neue Risiken mit sich. Mit der Veröffentlichung der Technischen Regel für Betriebssicherheit (TRBS) 1115 Teil 1 hat der Gesetzgeber (veröffentlicht 11/2022 und zuletzt geändert 2026) eine klare Antwort auf diese Realität gegeben. Die Richtlinie konkretisiert die Anforderungen der Betriebssicherheitsverordnung (BetrSichV) und setzt verbindliche Standards für die Cybersicherheit von sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR).  

Als Spezialist für OT-Cybersicherheit wissen wir bei Rhebo, dass die Brücke zwischen funktionaler Sicherheit (Functional Safety) und Cybersecurity oft wie eine Mammutaufgabe wirkt. Im Folgenden schlüsseln wir für Sie auf, was die TRBS 1115 Teil 1 konkret für Ihren Betrieb bedeutet und wie Sie die Vorgaben effizient umsetzen, ohne Ihre betriebliche Kontinuität zu gefährden.  

Das Kernproblem: Cyberbedrohungen sind handfeste Sicherheitsrisiken

Früher konzentrierte sich die klassische Anlagensicherheit primär auf mechanisches Versagen, Materialermüdung oder Bedienfehler. Heute ist das anders: Moderne Cyberbedrohungen können aktiv verhindern, dass eine sicherheitsrelevante MSR-Einrichtung ihre lebenswichtige Schutzfunktion ausführt, oder sie können sogar direkt neue physikalische Gefahren für Mensch und Umwelt herbeiführen.  

Die TRBS 1115 Teil 1 stellt unmissverständlich klar, dass Arbeitgeber Cyberbedrohungen zwingend im Rahmen ihrer regulären Gefährdungsbeurteilung nach § 3 BetrSichV berücksichtigen müssen. Ein erfolgreicher Angriff gefährdet typischerweise die folgenden drei Grundpfeiler:  

  • Verfügbarkeit: Das Blockieren oder Deaktivieren von kritischen Sicherheitsfunktionen.  
  • Integrität: Die unberechtigte Manipulation von Sensordaten, Grenzwerten oder Applikationsprogrammen.  
  • Vertraulichkeit: Der Abfluss von sensiblen Daten, Passwörtern oder Systemdokumentationen, die Angreifern als Blaupause dienen.  

Die 6 technischen und organisatorischen Kernmaßnahmen

Um Beschäftigte und die Umgebung wirksam zu schützen, fordert die TRBS 1115 Teil 1 einen robusten Schutz nach dem aktuellen Stand der Technik. Wenn die Cybersicherheit nicht bereits vom Hersteller beim Inverkehrbringen garantiert wurde, stehen Betreiber in der Pflicht, eigenständig Schutzmaßnahmen zu etablieren. Die Richtlinie nennt hierzu sechs zentrale Säulen:  

1. Segmentierung und Fernzugriffsschutz

Netzwerke müssen in kleinere, separate Sicherheitszonen unterteilt werden, die sich am jeweiligen Schutzbedarf orientieren. Netzwerkteilnehmer dürfen nur Verbindungen aufbauen können, die für ihre technische Funktion zwingend erforderlich sind – idealerweise durch physische Trennung oder logische Segmentierung (z. B. via VLAN). Besonders risikoreiche Fernwartungszugriffe über das Internet müssen streng limitiert, überwacht und explizit durch den Arbeitgeber freigegeben werden.  

2. Zugang und Zugriffskontrolle

Der physikalische und logische Zugriff auf kritische Komponenten muss restriktiv beschränkt werden. Dies beinhaltet die Zuweisung minimaler Rechte gekoppelt an rollenbasierte Tätigkeitsprofile, wirksame Authentifizierungsverfahren (z. B. Passwörter, Token oder Zugangskarten) sowie physische Barrieren wie verschlossene Server- und Schaltschränke.  

3. Härtung von Komponenten

Die Funktionalität der Hard- und Softwarekomponenten muss auf das absolute Mindestmaß reduziert werden, das zur Erfüllung der eigentlichen Aufgabe nötig ist. Ungenutzte Hardwareschnittstellen (z. B. USB-Ports) sind zu deaktivieren oder zu blockieren, unnötige Software ist zu entfernen und nicht autorisierte Kommunikationsdienste müssen (beispielsweise durch Blacklisting) unterdrückt werden.  

4. Unabhängigkeit von MSR-Einrichtungen

Sicherheitsrelevante MSR-Einrichtungen müssen so konzipiert sein, dass sie nicht durch Anomalien oder Ausfälle in der allgemeinen IT/OT-Umgebung unzulässig beeinflusst werden können. Selbst im Falle eines massiven Denial-of-Service-Angriffs (DoS) auf das restliche Netzwerk muss die Kernfunktion der Sicherheitssteuerung autark und stabil bleiben.  

5. Kontinuierliche Überwachung (Monitoring)

Um cybersicherheitsrelevante Vorfälle rechtzeitig zu erkennen, verlangt die TRBS 1115 Teil 1 die Installation von Überwachungssystemen an geeigneten, kritischen Punkten innerhalb der IT/OT-Umgebung – insbesondere an den Segmentgrenzen. Diese Systeme dienen dazu, die Integrität der Netzwerke kontinuierlich zu prüfen und Abweichungen sofort zu melden.  

6. Notfallmanagement

Sollte es trotz aller Vorsichtsmaßnahmen zu einer Kompromittierung kommen, muss ein klar definierter Notfallplan greifen. Dieser muss sicherstellen, dass Gefährdungen für die Belegschaft ausgeschlossen werden, etwa durch die Möglichkeit einer manuellen Abschaltung über nicht-digitale Infrastrukturen (wie unabhängige Not-Aus-Systeme). Vor einer Wiederinbetriebnahme muss garantiert sein, dass die Sicherheitslücke geschlossen ist und keinerlei Schadsoftwarereste im System verbleiben.  

Sicherheit als kontinuierlicher Prozess: Der Sicherheitslebenszyklus

Ein entscheidender Aspekt der TRBS 1115 Teil 1 ist die Erkenntnis, dass Cybersicherheit kein einmaliges Projekt ist, das man nach der Installation abhaken kann. Sie muss über den gesamten Sicherheitslebenszyklus der MSR-Einrichtung hinweg aktiv gelebt werden:  

Verfahren zur Überprüfung der Cybersicherheitsmaßnahmen müssen gemäß Richtlinie in folgenden vier Szenarien zwingend etabliert sein:  

  1. Regelmäßig: In geeigneten, definierten Zeitabständen im laufenden Betrieb.  
  1. Bei Änderungen: Sobald Modifikationen am Arbeitsmittel oder an den Schutzmaßnahmen vorgenommen werden.  
  1. Bei neuen Erkenntnissen: Sobald neue Schwachstellenmeldungen, interne oder externe Cybersicherheitsvorfälle bekannt werden.  
  1. Bei Wandel des Stands der Technik: Wenn sich die allgemeinen Standards und Abwehrmethoden in der IT/OT-Sicherheit weiterentwickeln.  

Der Rhebo-Ansatz: Souveräne Umsetzung des Überwachungsmandats

Die Anforderungen an die Sichtbarkeit, Rückwirkungsfreiheit und permanente Kontrolle im Netzwerk sind hoch. Genau hier setzt die Lösung von Rhebo an. Unsere industriellen Anomalieerkennungs- und Monitoringlösungen unterstützen Sie dabei, die strengen regulatorischen Erwartungen der TRBS 1115 Teil 1 mühelos und transparent zu erfüllen:  

  • Vollständige Netzwerktransparenz: Wir validieren und überwachen kontinuierlich, ob Ihre implementierten Netzwerksegmentierungen in der Praxis fehlerfrei funktionieren und keine unerlaubten Zonenübergänge stattfinden.  
  • Echtzeit-Anomalieerkennung: Durch die automatisierte Überwachung des OT-Netzwerks identifizieren wir unautorisierte Kommunikationsversuche, unbekannte Geräte oder verdächtige Parameteränderungen sofort im Moment des Entstehens.  
  • Zielgerichtete Vorfallsanalyse: Im Ernstfall liefern unsere Systeme präzise, detaillierte Daten zum Datenverkehr. Dadurch kann Ihre IT/OT-Mannschaft Bedrohungen sofort isolieren und Notfall- sowie Disaster-Recovery-Pläne schnell und sicher exekutieren.  
  • Unterstützung bei der Funktionskontrolle: Automatisierte Überwachungssysteme können direkt zur regelmäßigen, vom Gesetzgeber geforderten Kontrolle der Funktionsfähigkeit der Cybersicherheitsmaßnahmen herangezogen werden, um Systemmeldungen zyklisch auszuwerten.  



Überprüfen Sie die Belastbarkeit Ihrer Abwehrketten. Die Absicherung schutzbedürftiger MSR-Anlagen ist längst keine rein freiwillige "IT-Best-Practice" mehr, sondern eine verbindliche regulatorische Pflicht für die Betriebssicherheit.  

Weitere Informationen und Materialien über die Härtung Ihrer Systeme, kontinuierliches OT-Monitoring oder gesetzlicher Vorgaben finden Sie in unseren Ressourcen. Für ein persönliches Beratungsgespräch können Sie hier einen Termin buchen.