Den laufenden Betrieb absichern Cybersichere Anlagensteuerung in Wasserwerken

Autor / Redakteur: Oliver Greune / Peter Schmitz

Immer mehr Versorgungsbetriebe geraten zunehmend ins Visier professioneller Hackerangriffe. Der Wassersektor ist da keine Ausnahme. Wasserwerke, die über 500.000 Menschen versorgen, gehören zu den kritischen Infrastrukturen, für die es schon einige Vorgaben gibt, wie zum Beispiel die Einhaltung der Mindeststandards des IT-Sicherheitsgesetzes des Bundes.

Firma zum Thema

Eine fortschrittliche, aber abgesicherte Anlagensteuerung mit intelligenten, vernetzten Komponenten können in Wasserwerken zur Versorgungssicherheit der Bürger beitragen.
Eine fortschrittliche, aber abgesicherte Anlagensteuerung mit intelligenten, vernetzten Komponenten können in Wasserwerken zur Versorgungssicherheit der Bürger beitragen.
(Bild: gemeinfrei / Pixabay )

Unter den 5.000 Wasserwerken hierzulande gelten nur weniger als 30 als Betreiber kritischer Infrastrukturen. Aber was ist mit dem Rest? Ein einziger Cyberangriff kann zum Zusammenbruch eines kompletten Abwassernetzwerks sowie zu Schäden im zweistelligen Millionenbereich führen. Eine sichere Anlageninfrastruktur, die Informationstechnologie (IT) und die Operative Technologie (OT) wie etwa die Steuerungsebene mitdenkt, wird daher wichtiger denn je.

Die gestiegene Anzahl vernetzter Geräte bedeuten neue potentielle Sicherheitslücken. So sind auch Wasserversorger durch die fortschreitende Digitalisierung anfälliger für kriminelle Hackergruppen, wie etwa die Studie eines Beratungsunternehmens zeigt. Im Zuge einer Inspektion der Sicherheitsarchitektur der Berliner Wasserbetriebe (BWB) wurden erhebliche Mängel festgestellt, was gefährlich für die Grundversorgung sein kann. Das aufgestellte Szenario beschreibt den herbeigeführten Ausfall der Abwasserversorgung Berlins. Dies hätte zur Folge, dass nach nur kurzer Zeit Abwasserrohre und Kanäle verstopfen und im schlimmsten Fall sanitäre Anlagen ausfallen. Auch im Ausland werden Wasserversorger zum Ziel: Im Jahr 2018 gab es einen Angriff auf die Kryptowährung eines europäischen Wasserversorgers. Das Besondere hierbei: Die im Netzwerk des Versorgers entdeckte Malware adressierte die industriellen Steuerungssysteme (ICS) und SCADA-Server (Supervisory Control and Data Acquisition). Insgesamt ist zu beobachten, dass sich Angreifer zunehmend Zugriff auf die Steuer- und Regelungstechnik einer kritischen Infrastruktur verschaffen.

IT-Sicherheitsstandard bereits ausreichend definiert

Zahlreiche EU-weite aber auch nationale Gesetzesvorgaben sowie -anforderungen zeigen: das Thema steht längst auf der Agenda der Gesetzgeber. Mit dem Paket aus IT-Sicherheitsgesetz und Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordert der Gesetzgeber Schutzmaßnahmen zentraler Infrastrukturen gegen Cyberangriffe. Davon sind auch Wasser- und Abwasserversorgung betroffen Nicht zuletzt empfiehlt das BSI auch kleineren Betrieben, sich mit dem Thema IT-Sicherheit zu befassen. Aus diesem Grund adressiert der zusätzliche branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3SWA) einen auf dem internationalen Standard DIN EN ISO/IEC 27001 basierenden Leitfaden zur Konkretisierung der beschriebenen Umsetzungsvorgaben.

Dieser IT-Sicherheitsleitfaden dient der Etablierung eines Informationssicherheits-Managementsystems (ISMS) und ist damit ein wichtiger Schritt zur Absicherung der Unternehmen der Wasserwirtschaft. Dennoch reicht er längst nicht aus. Da hier hauptsächlich TK- und EDV-Systeme und somit die „IT“ berücksichtigt werden, bleibt ein entscheidendes Feld außen vor: die Operativen Technologien (OT).

OT-Cybersicherheit über IEC 62443 geregelt

Die OT umfasst im Gegensatz zur IT physische Assets wie industrielle Kontrollsysteme, Steuerungen, Sensoren und integrierte Systeme (Embedded Systems). Die höchste Priorität bei den Schutzzielen genießt hier die funktionale Sicherheit, also Verfügbarkeit und Integrität der Anlage, während es bei der IT vorrangig um die Datensicherheit geht.

In diesem Bereich kommt daher oft die IEC-Normenreihe 62443 (auch bekannt als ANSI/ISA-62443) zum Einsatz, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat. Im Vordergrund steht die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen, zu denen alles gehört, was für einen sicheren Betrieb einer automatisierten Anlage erforderlich ist.

Die beiden Normenreihen ISO/IEC 27000 und IEC 62443 unterscheiden sich somit hinsichtlich ihres individuellen Anwendungsbereichs. Sie schließen sich aber nicht aus, sondern sind komplementär zu betrachten. Mit beiden Bereichen können Wasserversorger sowohl das Verwalten von Informationen (IT) als auch das Verwalten von physischen Prozessen in Anlagen (OT) abdecken.

Mehrschichtiges Verteidigungskonzept entscheidend

Ein umfassendes Sicherheitskonzept sollte grundsätzlich alle relevanten Bereiche für einen potentiellen Angriff bedenken. Beim Ansatz der sogenannten tief gestaffelten Verteidigung (Defense in Depth) muss ein Angreifer mehrere Schichten bzw. Sicherheitsmaßnahmen überwinden, um an sein Ziel zu kommen. Die IEC 62443 beschreibt dazu drei Basisrollen – die Betreiber selbst, die Integratoren und die Hersteller von Anlagenkomponenten:

  • 1. Die Betreiber verantworten die erste Schicht, die hauptsächlich die Mitarbeiteraufklärung sowie den physischen Schutz der Anlage umfasst. Schulungen können für die Gefahren von Cyberangriffen sensibilisieren. Auch gilt es klare Strukturen in der Organisation mit entsprechenden Rollen und Rechten zu schaffen. Neben den physischen Schutzmaßnahmen wie der Abtrennung und Beschränkung bestimmter Sicherheitsbereiche gehört auch eine Zugangskontrolle zu den Grundvoraussetzungen.
  • 2. Die zweite Verteidigungsschicht, für die der Integrationspartner verantwortlich ist, befindet sich auf der Netzwerk- oder Systemebene. Hierzu gehört die Errichtung sogenannter Sicherheitszonen. Zu den beiden Zonen mit dem höchsten Schutzbedarf gehören beispielsweise meistens Automatisierungssysteme für das Steuern und Regeln der Anlage.
  • 3. In der innersten Sicherheitsschicht liegen die für den laufenden Betrieb notwendigen Geräte und Komponenten. Hier sind die Hersteller in der Pflicht, ihre Geräte mit entsprechenden Cybersicherheitsfunktionen auszustatten, um Einfallstore zu vermeiden.

Security-Level – der Schlüssel zur Umsetzung

Für die Errichtung solcher Sicherheitszonen ist der Schutzbedarf zu ermitteln, da sich erst hieraus der konkrete Maßnahmenkatalog herleiten lässt. Eine Risiko- und Bedrohungsanalyse ist für Betreiber also unabdingbar. Es stellen sich die Kernfragen: Welchen potentiellen Bedrohungen ist die Anlage ausgesetzt und welches Security-Level ist passend, um diese Bedrohungen zu adressieren? Folgende vier Einstufungen gibt es:

  • 1. Schutz gegen ungewollte, zufällige Angriffe
  • 2. Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
  • 3. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
  • 4. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation

Das Spektrum reicht somit von zufälligen Angriffen bis hin zu gezielten Attacken mit einem hohen Maß an Vorbereitung und Mitteleinsatz. Der Katalog an Sicherheitsmaßnahmen und damit auch der organisatorische und finanzielle Aufwand steigen mit zunehmendem Security-Level. Bei der korrekten Einstufung der eigenen Anlage sollten dennoch keinerlei Abstriche gemacht werden.

Mit der Steuerungsebene beginnen

Ist das korrekte Security-Level ermittelt, gilt es für die Anlagenbetreiber über ihren Systemintegrationspartner die Sicherheitszonen entsprechend der Security-Level-Vorgaben errichten zu lassen. Hierzu gehört auch die Implementierung entsprechender Hardware. Angefangen bei der wichtigsten Zone: der Automatisierungsebene. Die Anlagensteuerung gehört zu den entscheidenden Systemen für einen reibungslosen Betrieb. Hier haben die Hersteller bereits umgedacht: Waren früher etwa offene Systeme gefragt, verlangen die zukünftigen Cybersicherheitsvorgaben kryptografisch gesicherte Steuerungen, um die neuen Standards zu erfüllen.

Fazit

Eine fortschrittliche Anlagensteuerung mit intelligenten, vernetzten Komponenten bringt große Vorteile mit sich, keine Frage. Entscheidend aber ist vor allem zu erkennen, dass neue Technologien das Cyber-Risiko sowie das Ausmaß potenzieller Folgen eines Cyberangriffs erhöhen. Der Angriffsraum eines Betriebs geht nun weit über die IT hinaus und macht auch OT-Systeme zum Ziel. Wasserversorger stehen jedoch nicht alleine in der Pflicht, ihre Anlage abzusichern. Natürlich fordert ihre Aufgabe eine genaue Risikobewertung samt Einordnung in das richtige Security-Level. Für die anschließende Umsetzung der Maßnahmen sind jedoch Fachplaner und Systemintegratoren verantwortlich. Die Grundlage für die Errichtung von Sicherheitszonen sowie die Absicherung jeder dieser Stufen liefern wiederum die Hersteller neuer sicherheitskonformer Systeme. Eine cybersichere Systemsteuerung kann hier also der erste Schritt zur zuverlässigen Anlagensteuerung sein.

Über den Autor: Oliver Greune ist Technischer Produktmanager Gebäudeautomation bei Saia Burgess Controls.

(ID:47298453)