Worldwide China Indien

IT-Sicherheit

Freigabe des Branchenstandards IT-Sicherheit Wasser/Abwasser

| Autor / Redakteur: Dipl.-Ing. Hans-Jürgen Bittermann / Dr. Jörg Kempf

Übergabe des BSI-Eignungsbescheids für den Branchenstandard „IT-Sicherheit Wasser/Abwasser“ an DVGW und DWA (v.l.n.r.: Gerald Linke (DVGW), Arne Schönbohm (BSI), Otto Schaaf (DWA))
Übergabe des BSI-Eignungsbescheids für den Branchenstandard „IT-Sicherheit Wasser/Abwasser“ an DVGW und DWA (v.l.n.r.: Gerald Linke (DVGW), Arne Schönbohm (BSI), Otto Schaaf (DWA)) (Bild: BSI/Wagner)

Mit dem aktuellen IT-Sicherheitsrecht, der sogenannten BSI-Kritis-Verordnung, entstehen auch für Betreiber großer wasserwirtschaftlicher Infrastrukturen neue Verpflichtungen. Ein Bericht zum Status quo.

In seinem Buch mit dem programmatischen Titel „Blackout“ hat Marc Elsberg eindrucksvoll beschrieben, was ein Hacker-Angriff beispielsweise auf den lokalen Energieversorger bewirken würde – nämlich einen umfassenden Blackout in allen Lebensbereichen. Auf den Bereich Wasser/Abwasser bezogen würde das bedeuten: Die Wasserversorgung und die Abwasserentsorgung in Wohngebäuden und Produktionshallen bricht unmittelbar zusammen, weil die dort installierten Pumpen (Druckerhöhungsanlagen, Abwasserhebeanlagen) keinen Strom mehr erhalten. Und auch wenn die Wasserwirtschaft hinsichtlich ihrer Infrastruktur kurzfristig auf Notstromaggregate zugreifen kann, wird sie über kurz oder lang ebenfalls „ausfallen“.

Alles Fiktion? Keineswegs: Ein reales Beispiel sind diverse Cyber-Attacken auf Energieversorger in der Ukraine, in der Türkei und den USA. Als Reaktion auf diese Bedrohungslage hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Liste mit kritischen Infrastrukturen erstellt, die besonderen Richtlinien folgen müssen.

Mit dem aktuellen IT-Sicherheitsrecht (BSI-Gesetz; BSI-Kritis-Verordnung) entstehen für Betreiber kritischer Infrastrukturen neue Verpflichtungen. Hiervon sind auch Betreiber großer wasserwirtschaftlicher Infrastrukturen betroffen. Die Betreiber müssen dazu zunächst selbst ermitteln, welche Sicherheitsrisiken für ihre Anlagen bestehen und welche Auswirkungen erfolgreiche Angriffe haben könnten.

Eignungsfeststellung des Branchenstandards

Nun liegt die Eignungsfeststellung des Branchenstandards IT-Sicherheit Wasser/Abwasser vor: Der in gemeinsamer Gremienarbeit durch die DWA und den DVGW erstellte Branchenspezifische Sicherheitsstandard (B3S) wird damit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt, sodass Wasserversorgungs- und Abwasserentsorgungsunternehmen die gesetzlichen Anforderungen gemäß § 8a (1) BSI-Gesetz erfüllen, wenn diese den B3S umsetzen.

Beide Regelsetzer hatten eigentlich gehofft, schon sehr viel früher die Anerkennung des Sicherheitsstandards zu erhalten, wurden doch von Beginn an die nachgeordneten Behörden des Innenministeriums, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), intensiv in die Erarbeitung mit eingebunden. Dennoch gab es bis ins zweite Quartal 2017 hinein immer wieder Klärungsbedarf und Änderungswünsche, die erhebliche Zeitverzögerungen nach sich zogen.

Nachdem die eingereichten Entwürfe vom BSI zur Eignung festgestellt worden sind, wurde der IT-Sicherheitsleitfaden, das Kernstück des branchenspezifischen Standards, als webbasiertes Tool fertig programmiert. Das Web-Tool wird in einem auf den Internetseiten der Vereinigungen zur Verfügung gestellten Handbuch dokumentiert und erläutert.

Zudem wird an dem Nachweisverfahren für den Branchenstandard gearbeitet, mit dem die Unternehmen dem BSI gegenüber belegen können, dass die implementierten Schutzmaßnahmen den gesetzlichen Anforderungen gemäß § 8a (1) BSI-Gesetz entsprechen.

Anmerkung: Der Branchenstandard IT-Sicherheit Wasser/Abwasser wurde von den ehrenamtlichen Experten so geschrieben, dass sowohl große als auch kleine Betreiber diesen anwenden können. Damit können die Betreiber durch seine Umsetzung eine Sicherung ihrer IT-Infrastruktur erreichen, die dem Stand der Technik entspricht – unabhängig davon, ob sie unter die BSI-Kritis-Verordnung fallen oder nicht. Denn jeder Betreiber sollte seine IT-Sicherheit prüfen und das Risiko vor Angriffen minimieren.

Das Merkblatt DWA-M 1060 (IT-Sicherheit - Branchenstandard Wasser/Abwasser), inhaltsgleich mit dem DVGW-Hinweis 1060, kann unter info@wvgw.de bestellt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44873399 / Wasser/Abwasser)