IT-Sicherheit IT-Sicherheit in der Wasserwirtschaft – so gehen Sie auf Nummer Sicher

Autor / Redakteur: Florian Niere / Dr. Jörg Kempf

Neben den komplexer werdenden Aufgaben und der wachsenden Menge anfallender Daten nehmen in der Wasserwirtschaft auch die Sicherheitsanforderungen zu. Lesen Sie, wie Sie mit dem richtigen Partner an der Seite Ihre IT-Systeme, Komponenten und Prozesse zuverlässig gegen Cyberangriffe schützen.

Firmen zum Thema

Aufgrund der verstärkten Cyberangriffe messen die Betreiber kritischer Infrastrukturen der IT-Sicherheit eine stetig steigende Bedeutung zu.
Aufgrund der verstärkten Cyberangriffe messen die Betreiber kritischer Infrastrukturen der IT-Sicherheit eine stetig steigende Bedeutung zu.
(Bild: Phoenix Contact)

Durch die steigende Vernetzung sowie die Anbindung der Applikationen an das Internet verändert sich die Wasserwirtschaft grundlegend. Vor diesem Hintergrund steht Phoenix Contact den Anwendern in allen Sicherheitsfragen mit vielfältigen Security-Produkten zur Seite. Die Experten entwickeln gemeinsam mit den Anwendern – auf Basis des Branchenstandards IT-Sicherheit Wasser/Abwasser (siehe „Ergänzendes zum Thema“) und langjähriger Erfahrung in der Wasserwirtschaft – umfassende, herstellerunabhängige Lösungen. Das Competence Center Cyber Security hat spezielle Dienstleistungen konzipiert, die den kompletten Lebenszyklus der wasserwirtschaftlichen Anlagen abdecken.

Ergänzendes zum Thema
Der Branchenstandard IT-Sicherheit Wasser/Abwasser

Neben den komplexer werdenden Aufgaben und der wachsenden Menge anfallender Daten nehmen in der Wasserwirtschaft auch die Sicherheitsanforderungen zu. Mit der Finalisierung des Branchenstandards IT-Sicherheit Wasser/Abwasser hat ein Arbeitskreis, der sich aus Vertretern der DWA (Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall) und des DVGW (Deutscher Verein des Gas- und Wasserfaches) zusammensetzt, den Grundstein für die IT-Sicherheit in der Wasserwirtschaft gelegt. Durch den Eignungsbescheid für den Branchenstandard einer kritischen Infrastruktur im Sinne des §8a (2) des BSI-Gesetzes ist ein solches Regelwerk erstmals durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) verabschiedet worden. Unternehmen der Wasserver- und Abwasserentsorgung haben damit die Möglichkeit, den neuen Verpflichtungen durch die Implementierung des Standards nachzukommen.

Dokumentation des Istzustands

Zu den Services gehört die Istanalyse der Applikation hinsichtlich der vorhandenen Sicherheitsstandards. Auf der Grundlage der Ergebnisse werden dann Maßnahmen erarbeitet, mit denen sich die festgestellten Risiken beheben lassen. Darüber hinaus können die Security-Experten zur kontinuierlichen Überprüfung der Anwendung herangezogen werden. Durch eine permanente Anpassung der Maßnahmen im Hinblick auf neue Angriffsszenarien lässt sich das Sicherheitsniveau halten und weiter ausbauen.

Sämtlichen Beteiligten muss bewusst sein, dass sich die IT-Sicherheit aus einer technischen und einer organisatorischen Komponente zusammensetzt. Will heißen die Aktivitäten zur Absicherung der Anlage sind nicht mit der Untersuchung der Netzwerk- und Automatisierungsstruktur sowie der Umsetzung entsprechender Maßnahmen abgeschlossen. Im Vorfeld dokumentieren die Mitarbeiter des Competence Center Cyber Security den technischen und organisatorischen Istzustand der Anwendung. Auf dieser Grundlage können sie dem Betreiber erläutern, in welchen Bereichen das Auftreten von Gefahren möglich ist. Ein charakteristisches Merkmal für die organisatorische Sicherheit ist der Nachweis von Richtlinien, die den Zugang von unternehmensfremden Personen zu bestimmten Anlagenteilen regeln.

Bildergalerie
Bildergalerie mit 5 Bildern

Der Unterschied zwischen organisatorischer und technischer Sicherheit liegt darin, dass es bei der technischen Sicherheit um den physischen Schutz der Applikation geht. Beispielsweise muss berücksichtigt werden, dass sich keine unbefugte Person unerlaubten Zutritt zur Anlage verschafft oder Manipulationen an ihr vornimmt. Als geeignete Schutzmaßnahme bieten sich u.a. die Videoüberwachung der Anwendung, einbruchshemmende Türen und Deckel oder abschließbare Schaltschränke an. Die organisatorische Sicherheit bezieht sich in der Regel auf Arbeitsanweisungen. In diesen ist festgelegt, welche Arbeiten zu welchem Zeitpunkt auf welche Weise zu erledigen sind. Die in der Anlage arbeitenden Mitarbeiter sollten in Schulungen im Hinblick auf die technische und organisatorische Sicherheit sensibilisiert und trainiert werden, damit sie im Ernstfall schnell und sicher handeln.

Zur Risikoermittlung bedarf es einer Istanalyse der Applikation, die meist mit der Überprüfung der Dokumentation auf Aktualität startet. In diesem Zusammenhang werden Stromlaufpläne, Bestandsverzeichnisse aller Software- und Systemkomponenten sowie physikalische und logische Netzwerkpläne gesichtet. Das erweist sich als aufwändiger als die organisatorische Betrachtung der Anwendung. Den fernwirktechnischen Anlagenteilen kommt hier eine ebenso große Bedeutung zu wie den Fernzugriffen der Mitarbeiter auf die Applikation. Der temporäre Zugang von unternehmensfremden Personen, die sich für Wartungsarbeiten in der Anlage befinden und sich deshalb in das Netzwerk einwählen müssen, bildet eine weitere Gefahr, die es zu untersuchen gilt.

Darstellung der Kommunikation

Um den Istzustand der Anwendung detailliert kontrollieren zu können, nutzt Phoenix Contact u.a. die skalierbare Diagnose- und Risikomanagement-Software Irma (Industrie Risiko Management Automatisierung) von Videc Data Engineering. Diese wird auf einem Industrie-PC – wie dem BL Rackmount 2U von Phoenix Contact – mit gehärteter Linux-Anwendung installiert, der in den unterschiedlichen Netzwerksegmenten der Anlage platziert ist. Zur Erhebung der einzelnen Assets benötigt die Software lediglich einen Mirror-Port am zentralen Netzwerk-Switch. Sie scannt das Netzwerk dann nach Teilnehmern und Verbindungen und stellt diese dem Anwender innerhalb von kurzer Zeit anschaulich dar.

Bildergalerie
Bildergalerie mit 5 Bildern

Zusätzlich zu den Verbindungen, welche die identifizierten Teilnehmer in den Netzwerken eingehen, erhält der Betreiber einen genauen Überblick über die Kommunikationsprotokolle, die für den Datenaustausch verwendet werden. Zur Sicherstellung einer einheitlichen Sprache visualisiert die Software Übertragungsstandards wie Modbus TCP in eindeutiger „Automatisierungssprache“. Werden in der Netzwerkstruktur mehrere Industrie-PCs mit Irma eingesetzt, lassen sich alle Tools auf einem Dashboard anzeigen. So wird dem Betreiber die gesamte Kommunikation in seiner Anlage übersichtlich auf einer Oberfläche dargestellt.

Nach der Analyse des Istzustands bekommt der Anwender eine ausführliche Dokumentation der aktuellen Situation. Zur Verbesserung der organisatorischen und technischen Sicherheit erstellen die Security-Experten von Phoenix Contact eine Handlungsempfehlung für die nächsten Schritte. Auf Wunsch lässt sich mit Irma ein fortlaufendes Risikomanagement realisieren, sodass etwaige Angriffe frühzeitig erkannt und sofort Gegenmaßnahmen ergriffen werden können.

Auch nach der Bewertung der wasserwirtschaftlichen Anlage stellt Phoenix Contact eine Vielzahl begleitender Serviceangebote zur Verfügung. Diese reichen vom kontinuierlichen Update der Software über die monatliche Auswertung der generierten Ereignisprotokolle bis zur Unterstützung bei Fragen zu Begebenheiten im aktuellen Prozessalltag.

* Der Autor ist Mitarbeiter im Industry Management Water and Wastewater Treatment, Phoenix Contact Electronics GmbH, Bad Pyrmont.

(ID:45201069)