:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Den laufenden Betrieb absichern Cybersichere Anlagensteuerung in Wasserwerken
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Immer mehr Versorgungsbetriebe geraten zunehmend ins Visier professioneller Hackerangriffe. Der Wassersektor ist da keine Ausnahme. Wasserwerke, die über 500.000 Menschen versorgen, gehören zu den kritischen Infrastrukturen, für die es schon einige Vorgaben gibt, wie zum Beispiel die Einhaltung der Mindeststandards des IT-Sicherheitsgesetzes des Bundes.
Unter den 5.000 Wasserwerken hierzulande gelten nur weniger als 30 als Betreiber kritischer Infrastrukturen. Aber was ist mit dem Rest? Ein einziger Cyberangriff kann zum Zusammenbruch eines kompletten Abwassernetzwerks sowie zu Schäden im zweistelligen Millionenbereich führen. Eine sichere Anlageninfrastruktur, die Informationstechnologie (IT) und die Operative Technologie (OT) wie etwa die Steuerungsebene mitdenkt, wird daher wichtiger denn je.
Die gestiegene Anzahl vernetzter Geräte bedeuten neue potentielle Sicherheitslücken. So sind auch Wasserversorger durch die fortschreitende Digitalisierung anfälliger für kriminelle Hackergruppen, wie etwa die Studie eines Beratungsunternehmens zeigt. Im Zuge einer Inspektion der Sicherheitsarchitektur der Berliner Wasserbetriebe (BWB) wurden erhebliche Mängel festgestellt, was gefährlich für die Grundversorgung sein kann. Das aufgestellte Szenario beschreibt den herbeigeführten Ausfall der Abwasserversorgung Berlins. Dies hätte zur Folge, dass nach nur kurzer Zeit Abwasserrohre und Kanäle verstopfen und im schlimmsten Fall sanitäre Anlagen ausfallen. Auch im Ausland werden Wasserversorger zum Ziel: Im Jahr 2018 gab es einen Angriff auf die Kryptowährung eines europäischen Wasserversorgers. Das Besondere hierbei: Die im Netzwerk des Versorgers entdeckte Malware adressierte die industriellen Steuerungssysteme (ICS) und SCADA-Server (Supervisory Control and Data Acquisition). Insgesamt ist zu beobachten, dass sich Angreifer zunehmend Zugriff auf die Steuer- und Regelungstechnik einer kritischen Infrastruktur verschaffen.
:quality(80)/images.vogel.de/vogelonline/bdb/1549000/1549048/original.jpg "Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (Joachim Donath)")
Segmentiertes Netz und restriktive Zugriffe
Netzwerksicherheit bei den Berliner Wasserbetrieben
IT-Sicherheitsstandard bereits ausreichend definiert
Zahlreiche EU-weite aber auch nationale Gesetzesvorgaben sowie -anforderungen zeigen: das Thema steht längst auf der Agenda der Gesetzgeber. Mit dem Paket aus IT-Sicherheitsgesetz und Kritisverordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fordert der Gesetzgeber Schutzmaßnahmen zentraler Infrastrukturen gegen Cyberangriffe. Davon sind auch Wasser- und Abwasserversorgung betroffen Nicht zuletzt empfiehlt das BSI auch kleineren Betrieben, sich mit dem Thema IT-Sicherheit zu befassen. Aus diesem Grund adressiert der zusätzliche branchenspezifische Sicherheitsstandard Wasser/Abwasser (B3SWA) einen auf dem internationalen Standard DIN EN ISO/IEC 27001 basierenden Leitfaden zur Konkretisierung der beschriebenen Umsetzungsvorgaben.
Dieser IT-Sicherheitsleitfaden dient der Etablierung eines Informationssicherheits-Managementsystems (ISMS) und ist damit ein wichtiger Schritt zur Absicherung der Unternehmen der Wasserwirtschaft. Dennoch reicht er längst nicht aus. Da hier hauptsächlich TK- und EDV-Systeme und somit die „IT“ berücksichtigt werden, bleibt ein entscheidendes Feld außen vor: die Operativen Technologien (OT).
OT-Cybersicherheit über IEC 62443 geregelt
Die OT umfasst im Gegensatz zur IT physische Assets wie industrielle Kontrollsysteme, Steuerungen, Sensoren und integrierte Systeme (Embedded Systems). Die höchste Priorität bei den Schutzzielen genießt hier die funktionale Sicherheit, also Verfügbarkeit und Integrität der Anlage, während es bei der IT vorrangig um die Datensicherheit geht.
In diesem Bereich kommt daher oft die IEC-Normenreihe 62443 (auch bekannt als ANSI/ISA-62443) zum Einsatz, die ihren Ursprung in der Automatisierungstechnik der Prozessindustrie hat. Im Vordergrund steht die Cybersicherheit von industriellen Automatisierungs- und Steuerungssystemen, zu denen alles gehört, was für einen sicheren Betrieb einer automatisierten Anlage erforderlich ist.
Die beiden Normenreihen ISO/IEC 27000 und IEC 62443 unterscheiden sich somit hinsichtlich ihres individuellen Anwendungsbereichs. Sie schließen sich aber nicht aus, sondern sind komplementär zu betrachten. Mit beiden Bereichen können Wasserversorger sowohl das Verwalten von Informationen (IT) als auch das Verwalten von physischen Prozessen in Anlagen (OT) abdecken.
Mehrschichtiges Verteidigungskonzept entscheidend
Ein umfassendes Sicherheitskonzept sollte grundsätzlich alle relevanten Bereiche für einen potentiellen Angriff bedenken. Beim Ansatz der sogenannten tief gestaffelten Verteidigung (Defense in Depth) muss ein Angreifer mehrere Schichten bzw. Sicherheitsmaßnahmen überwinden, um an sein Ziel zu kommen. Die IEC 62443 beschreibt dazu drei Basisrollen – die Betreiber selbst, die Integratoren und die Hersteller von Anlagenkomponenten:
- 1. Die Betreiber verantworten die erste Schicht, die hauptsächlich die Mitarbeiteraufklärung sowie den physischen Schutz der Anlage umfasst. Schulungen können für die Gefahren von Cyberangriffen sensibilisieren. Auch gilt es klare Strukturen in der Organisation mit entsprechenden Rollen und Rechten zu schaffen. Neben den physischen Schutzmaßnahmen wie der Abtrennung und Beschränkung bestimmter Sicherheitsbereiche gehört auch eine Zugangskontrolle zu den Grundvoraussetzungen.
- 2. Die zweite Verteidigungsschicht, für die der Integrationspartner verantwortlich ist, befindet sich auf der Netzwerk- oder Systemebene. Hierzu gehört die Errichtung sogenannter Sicherheitszonen. Zu den beiden Zonen mit dem höchsten Schutzbedarf gehören beispielsweise meistens Automatisierungssysteme für das Steuern und Regeln der Anlage.
- 3. In der innersten Sicherheitsschicht liegen die für den laufenden Betrieb notwendigen Geräte und Komponenten. Hier sind die Hersteller in der Pflicht, ihre Geräte mit entsprechenden Cybersicherheitsfunktionen auszustatten, um Einfallstore zu vermeiden.
Security-Level – der Schlüssel zur Umsetzung
Für die Errichtung solcher Sicherheitszonen ist der Schutzbedarf zu ermitteln, da sich erst hieraus der konkrete Maßnahmenkatalog herleiten lässt. Eine Risiko- und Bedrohungsanalyse ist für Betreiber also unabdingbar. Es stellen sich die Kernfragen: Welchen potentiellen Bedrohungen ist die Anlage ausgesetzt und welches Security-Level ist passend, um diese Bedrohungen zu adressieren? Folgende vier Einstufungen gibt es:
- 1. Schutz gegen ungewollte, zufällige Angriffe
- 2. Schutz gegen gewollte Angriffe mit einfachen Mitteln, niedrigem Aufwand, allgemeiner Expertise und niedriger Motivation
- 3. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, mittlerem Aufwand, spezifischer Expertise und mittlerer Motivation
- 4. Schutz gegen gewollte Angriffe mit fortgeschrittenen Mitteln, erheblichem Aufwand, spezifischer Expertise und hoher Motivation
Das Spektrum reicht somit von zufälligen Angriffen bis hin zu gezielten Attacken mit einem hohen Maß an Vorbereitung und Mitteleinsatz. Der Katalog an Sicherheitsmaßnahmen und damit auch der organisatorische und finanzielle Aufwand steigen mit zunehmendem Security-Level. Bei der korrekten Einstufung der eigenen Anlage sollten dennoch keinerlei Abstriche gemacht werden.
Mit der Steuerungsebene beginnen
Ist das korrekte Security-Level ermittelt, gilt es für die Anlagenbetreiber über ihren Systemintegrationspartner die Sicherheitszonen entsprechend der Security-Level-Vorgaben errichten zu lassen. Hierzu gehört auch die Implementierung entsprechender Hardware. Angefangen bei der wichtigsten Zone: der Automatisierungsebene. Die Anlagensteuerung gehört zu den entscheidenden Systemen für einen reibungslosen Betrieb. Hier haben die Hersteller bereits umgedacht: Waren früher etwa offene Systeme gefragt, verlangen die zukünftigen Cybersicherheitsvorgaben kryptografisch gesicherte Steuerungen, um die neuen Standards zu erfüllen.
Fazit
Eine fortschrittliche Anlagensteuerung mit intelligenten, vernetzten Komponenten bringt große Vorteile mit sich, keine Frage. Entscheidend aber ist vor allem zu erkennen, dass neue Technologien das Cyber-Risiko sowie das Ausmaß potenzieller Folgen eines Cyberangriffs erhöhen. Der Angriffsraum eines Betriebs geht nun weit über die IT hinaus und macht auch OT-Systeme zum Ziel. Wasserversorger stehen jedoch nicht alleine in der Pflicht, ihre Anlage abzusichern. Natürlich fordert ihre Aufgabe eine genaue Risikobewertung samt Einordnung in das richtige Security-Level. Für die anschließende Umsetzung der Maßnahmen sind jedoch Fachplaner und Systemintegratoren verantwortlich. Die Grundlage für die Errichtung von Sicherheitszonen sowie die Absicherung jeder dieser Stufen liefern wiederum die Hersteller neuer sicherheitskonformer Systeme. Eine cybersichere Systemsteuerung kann hier also der erste Schritt zur zuverlässigen Anlagensteuerung sein.
Über den Autor: Oliver Greune ist Technischer Produktmanager Gebäudeautomation bei Saia Burgess Controls.
(ID:47298453)
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/54/d8/54d8a03d25be5f008f692191b2cac84a/0110646636.jpeg "IEC 62443 ist ein Cybersicherheitsstandard für industrielle Automatisierungs- und Steuerungssysteme. (Bild: gemeinfrei)")