:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Den laufenden Betrieb absichern Cybersichere Anlagensteuerung in Wasserwerken
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Immer mehr Versorgungsbetriebe geraten zunehmend ins Visier professioneller Hackerangriffe. Der Wassersektor ist da keine Ausnahme. Wasserwerke, die über 500.000 Menschen versorgen, gehören zu den kritischen Infrastrukturen, für die es schon einige Vorgaben gibt, wie zum Beispiel die Einhaltung der Mindeststandards des IT-Sicherheitsgesetzes des Bundes.
Unter den 5.000 Wasserwerken hierzulande gelten nur weniger als 30 als Betreiber kritischer Infrastrukturen. Aber was ist mit dem Rest? Ein einziger Cyberangriff kann zum Zusammenbruch eines kompletten Abwassernetzwerks sowie zu Schäden im zweistelligen Millionenbereich führen. Eine sichere Anlageninfrastruktur, die Informationstechnologie (IT) und die Operative Technologie (OT) wie etwa die Steuerungsebene mitdenkt, wird daher wichtiger denn je.
Die gestiegene Anzahl vernetzter Geräte bedeuten neue potentielle Sicherheitslücken. So sind auch Wasserversorger durch die fortschreitende Digitalisierung anfälliger für kriminelle Hackergruppen, wie etwa die Studie eines Beratungsunternehmens zeigt. Im Zuge einer Inspektion der Sicherheitsarchitektur der Berliner Wasserbetriebe (BWB) wurden erhebliche Mängel festgestellt, was gefährlich für die Grundversorgung sein kann. Das aufgestellte Szenario beschreibt den herbeigeführten Ausfall der Abwasserversorgung Berlins. Dies hätte zur Folge, dass nach nur kurzer Zeit Abwasserrohre und Kanäle verstopfen und im schlimmsten Fall sanitäre Anlagen ausfallen. Auch im Ausland werden Wasserversorger zum Ziel: Im Jahr 2018 gab es einen Angriff auf die Kryptowährung eines europäischen Wasserversorgers. Das Besondere hierbei: Die im Netzwerk des Versorgers entdeckte Malware adressierte die industriellen Steuerungssysteme (ICS) und SCADA-Server (Supervisory Control and Data Acquisition). Insgesamt ist zu beobachten, dass sich Angreifer zunehmend Zugriff auf die Steuer- und Regelungstechnik einer kritischen Infrastruktur verschaffen.
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
IT-Sicherheitsstandard bereits ausreichend definiert
Zahlreiche EU-weite aber auch nationale Gesetzesvorgaben sowie -anforderungen zeigen: das Thema steht längst auf der Agenda der Gesetzgeber. Mit dem Paket aus IT-Sicherheitsgesetz und Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordert der Gesetzgeber Schutzmaßnahmen zentraler Infrastrukturen gegen Cyberangriffe. Davon sind auch Wasser- und Abwasserversorgung betroffen Nicht zuletzt empfiehlt das BSI auch kleineren Betrieben, sich mit dem Thema IT-Sicherheit zu befassen. Aus diesem Grund adressiert der zusätzliche branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3SWA) einen auf dem internationalen Standard DIN EN ISO/IEC 27001 basierenden Leitfaden zur Konkretisierung der beschriebenen Umsetzungsvorgaben.
Dieser IT-Sicherheitsleitfaden dient der Etablierung eines Informationssicherheits-Managementsystems (ISMS) und ist damit ein wichtiger Schritt zur Absicherung der Unternehmen der Wasserwirtschaft. Dennoch reicht er längst nicht aus. Da hier hauptsächlich TK- und EDV-Systeme und somit die „IT“ berücksichtigt werden, bleibt ein entscheidendes Feld außen vor: die Operativen Technologien (OT).
OT-Cybersicherheit über IEC 62443 geregelt
Die OT umfasst im Gegensatz zur IT physische Assets wie industrielle Kontrollsysteme, Steuerungen, Sensoren und integrierte Systeme (Embedded Systems). Die höchste Priorität bei den Schutzzielen genießt hier die funktionale Sicherheit, also Verfügbarkeit und Integrität der Anlage, während es bei der IT vorrangig um die Datensicherheit geht.
In diesem Bereich kommt daher oft die IEC-Normenreihe 62443 (auch bekannt als ANSI/ISA-62443) zum Einsatz, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat. Im Vordergrund steht die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen, zu denen alles gehört, was für einen sicheren Betrieb einer automatisierten Anlage erforderlich ist.
Die beiden Normenreihen ISO/IEC 27000 und IEC 62443 unterscheiden sich somit hinsichtlich ihres individuellen Anwendungsbereichs. Sie schließen sich aber nicht aus, sondern sind komplementär zu betrachten. Mit beiden Bereichen können Wasserversorger sowohl das Verwalten von Informationen (IT) als auch das Verwalten von physischen Prozessen in Anlagen (OT) abdecken.
Mehrschichtiges Verteidigungskonzept entscheidend
Ein umfassendes Sicherheitskonzept sollte grundsätzlich alle relevanten Bereiche für einen potentiellen Angriff bedenken. Beim Ansatz der sogenannten tief gestaffelten Verteidigung (Defense in Depth) muss ein Angreifer mehrere Schichten bzw. Sicherheitsmaßnahmen überwinden, um an sein Ziel zu kommen. Die IEC 62443 beschreibt dazu drei Basisrollen – die Betreiber selbst, die Integratoren und die Hersteller von Anlagenkomponenten:
- 1. Die Betreiber verantworten die erste Schicht, die hauptsächlich die Mitarbeiteraufklärung sowie den physischen Schutz der Anlage umfasst. Schulungen können für die Gefahren von Cyberangriffen sensibilisieren. Auch gilt es klare Strukturen in der Organisation mit entsprechenden Rollen und Rechten zu schaffen. Neben den physischen Schutzmaßnahmen wie der Abtrennung und Beschränkung bestimmter Sicherheitsbereiche gehört auch eine Zugangskontrolle zu den Grundvoraussetzungen.
- 2. Die zweite Verteidigungsschicht, für die der Integrationspartner verantwortlich ist, befindet sich auf der Netzwerk- oder Systemebene. Hierzu gehört die Errichtung sogenannter Sicherheitszonen. Zu den beiden Zonen mit dem höchsten Schutzbedarf gehören beispielsweise meistens Automatisierungssysteme für das Steuern und Regeln der Anlage.
- 3. In der innersten Sicherheitsschicht liegen die für den laufenden Betrieb notwendigen Geräte und Komponenten. Hier sind die Hersteller in der Pflicht, ihre Geräte mit entsprechenden Cybersicherheitsfunktionen auszustatten, um Einfallstore zu vermeiden.
Security-Level – der Schlüssel zur Umsetzung
Für die Errichtung solcher Sicherheitszonen ist der Schutzbedarf zu ermitteln, da sich erst hieraus der konkrete Maßnahmenkatalog herleiten lässt. Eine Risiko- und Bedrohungsanalyse ist für Betreiber also unabdingbar. Es stellen sich die Kernfragen: Welchen potentiellen Bedrohungen ist die Anlage ausgesetzt und welches Security-Level ist passend, um diese Bedrohungen zu adressieren? Folgende vier Einstufungen gibt es:
- 1. Schutz gegen ungewollte, zufällige Angriffe
- 2. Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
- 3. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
- 4. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation
Das Spektrum reicht somit von zufälligen Angriffen bis hin zu gezielten Attacken mit einem hohen Maß an Vorbereitung und Mitteleinsatz. Der Katalog an Sicherheitsmaßnahmen und damit auch der organisatorische und finanzielle Aufwand steigen mit zunehmendem Security-Level. Bei der korrekten Einstufung der eigenen Anlage sollten dennoch keinerlei Abstriche gemacht werden.
Mit der Steuerungsebene beginnen
Ist das korrekte Security-Level ermittelt, gilt es für die Anlagenbetreiber über ihren Systemintegrationspartner die Sicherheitszonen entsprechend der Security-Level-Vorgaben errichten zu lassen. Hierzu gehört auch die Implementierung entsprechender Hardware. Angefangen bei der wichtigsten Zone: der Automatisierungsebene. Die Anlagensteuerung gehört zu den entscheidenden Systemen für einen reibungslosen Betrieb. Hier haben die Hersteller bereits umgedacht: Waren früher etwa offene Systeme gefragt, verlangen die zukünftigen Cybersicherheitsvorgaben kryptografisch gesicherte Steuerungen, um die neuen Standards zu erfüllen.
Fazit
Eine fortschrittliche Anlagensteuerung mit intelligenten, vernetzten Komponenten bringt große Vorteile mit sich, keine Frage. Entscheidend aber ist vor allem zu erkennen, dass neue Technologien das Cyber-Risiko sowie das Ausmaß potenzieller Folgen eines Cyberangriffs erhöhen. Der Angriffsraum eines Betriebs geht nun weit über die IT hinaus und macht auch OT-Systeme zum Ziel. Wasserversorger stehen jedoch nicht alleine in der Pflicht, ihre Anlage abzusichern. Natürlich fordert ihre Aufgabe eine genaue Risikobewertung samt Einordnung in das richtige Security-Level. Für die anschließende Umsetzung der Maßnahmen sind jedoch Fachplaner und Systemintegratoren verantwortlich. Die Grundlage für die Errichtung von Sicherheitszonen sowie die Absicherung jeder dieser Stufen liefern wiederum die Hersteller neuer sicherheitskonformer Systeme. Eine cybersichere Systemsteuerung kann hier also der erste Schritt zur zuverlässigen Anlagensteuerung sein.
Über den Autor: Oliver Greune ist Technischer Produktmanager Gebäudeautomation bei Saia Burgess Controls.
(ID:47298453)
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944848/original.jpg "Oliver Hanka ist Director EMEA Industrial & IoT Security bei PwC Deutschland. (PwC Deutschland)")
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930890/original.jpg "Die digitale Infrastruktur in der EU soll belastbar und ausfallsicher sein, gerade im Krisenfall. (video4all - stock.adobe.com)")