Segmentiertes Netz und restriktive Zugriffe

Netzwerksicherheit bei den Berliner Wasserbetrieben

| Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft.
Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft. (© Joachim Donath)

Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen.

Die Anforderungen an die IT-Sicherheit kritischer Infrastrukturen (KRITIS) wie zum Beispiel die Netze von Energieversorgern und Stadtwerken sind besonders hoch. Wird beispielsweise ein Netz eines Wasserversorgers korrumpiert und fallen die damit verbundenen Wasserwerke und Pumpstationen über einen längeren Zeitraum aus, so kann das zu katastrophenähnlichen Zuständen führen. Schon kurzzeitige Ausfälle in diesem Bereich schränken die Lebensqualität stark ein. Deswegen müssen die Verantwortlichen höchste Sicherheitsauflagen beachten.

Um uns darüber zu informieren, wie ein Netz aus dem Bereich Infrastrukturdienstleistung aussehen kann, haben wir für diesen Beitrag mit Uwe Berndt, zuständig für Unternehmenssicherheit bei den Berliner Wasserbetrieben, gesprochen. Die Berliner Wasserbetriebe verfügen über ein knapp 18.000 Kilometer umfassendes Netz, das neun Wasserwerke, sechs Klärwerke und 160 Pumpwerke über relativ große Entfernungen hinweg verbindet und deswegen eine logistische Herausforderung darstellt.

Grundlagen der Netzwerksicherheit

Anforderungen der IT-Sicherheit

Grundlagen der Netzwerksicherheit

12.04.19 - Zum Absichern von Unternehmensnetzen müssen Administratoren viele Entscheidungen treffen, Maßnahmen planen und noch mehr Konfigurationsschritte durchführen. Dazu gehören die Konfiguration der Firewall, die Absicherung des Mail- und Web-Verkehrs sowie die Auswahl der richtigen Antivirus-Lösung. Dieser Beitrag zeigt, welche Faktoren dabei zu beachten sind und welche Vorgehensweisen Sinn ergeben. lesen

Aufbau des Netzes

Grundsätzlich wurde das Netz der Wasserbetriebe zweigeteilt. Das "klassische" Unternehmensnetzwerk, in dem die Office-Tätigkeiten – beispielsweise mit Büroanwendungen und ähnlichem – durchgeführt werden, läuft völlig unabhängig vom Automatisierungsnetz, über das die Überwachungs- und Steuerungstätigkeiten über SCADA-Systeme (Supervisory Control and Data Acquisition) erfolgen.

Das Office-Netz wurde über eine DMZ an das Internet angebunden, das Automatisierungsnetz nicht, letzteres arbeitet gekapselt. Es gibt lediglich eine ausgehende Datenverbindung zwischen den beiden Netzen, über die die Komponenten des Automatisierungsnetzes Reporting-Daten ins Office Netz schicken, damit die dortigen Mitarbeiter sich einen Überblick über den aktuellen Status der einzelnen Komponenten verschaffen können. Schreibzugriffe auf das Automatisierungsnetz sind nicht möglich.

In beiden Netzen wurden Sicherheitslösungen implementiert, die dem Stand der Technik entsprechen. Dazu gehören Firewalls, Virenscanner und ähnliches. Auf unsere Frage, welche Komponenten das genau seien, antwortete Herr Berndt, dass aus Sicherheitsgründen keine konkreten Angaben erfolgen.

Bei der Auswahl der verwendeten Produkte hat die Sicherheit den höchsten Stellenwert. Die Entscheidung fällt also abhängig von den von den einzelnen Produkten bereitgestellten Security Features, das Preis-Leistungsverhältnis spielt erst danach eine Rolle.

Um das Sicherheitsniveau im Automatisierungsnetz zu erhöhen, läuft dort ein Netzwerk und System Management System, das sämtliche Netzwerkszugangspunkte und den Netzwerkverkehr überwacht und sicherstellt, dass alle getätigten Zugriffe valide sind. Im Office-Netz arbeitet eine vergleichbare Lösung, die aber nicht so starke Überwachungsfunktionen mitbringt.

Immer mehr Cyberangriffe auf den Energiesektor

Sicherheit für kritische Infrastrukturen

Immer mehr Cyberangriffe auf den Energiesektor

08.08.18 - Ein Hacker-Angriff auf kritische Infrastruktur­systeme, wie Energie- und Wasserversorgung, Verkehr oder Telekommunikation hat das Potenzial Regionen oder ganze Länder ins Chaos zu stürzen. Zuletzt mehren sich die Anzeichen, dass Nationalstaaten zunehmend Vor­be­rei­tung­en für diese Form der digitalen Kriegsführung treffen. Betroffene Unternehmen müssen deshalb zwingend zeitgemäße Sicherheitsmaßnahmen umsetzen. lesen

Die Arbeit im Automatisierungsnetz

Da von außen keine Schreibzugänge ins Automatisierungsnetz möglich sind, müssen alle administrativen Tätigkeiten direkt über Workstations in diesem Netz erfolgen. Zugriff auf solche Systeme haben bei den Berliner Wasserbetrieben nicht nur die Administratorinnen und Administratoren, die für das Automatisierungsnetz Verantwortung tragen, sondern auch Ingenieurinnen und Ingenieure, die Speicherprogrammierbare Steuerungen (SPS) programmieren. Die Anzahl aller User mit Schreibrechten im Automatisierungsnetz liegt im unteren zweistelligen Bereich.

Zu den Aufgaben der Administratoren im Automatisierungsnetz gehört zunächst einmal die Datensicherung. Hierfür liegen Konzepte vor, die klar vorgeben, welche Daten wann zu sichern sind. Von ebenso großer Bedeutung: das Patch Management. Für die verwendeten Patches muss zunächst eine Freigabe vom Hardware-Lieferanten (wie beispielsweise Siemens) erfolgen und sie müssen darüber hinaus umfangreiche Tests bei den Wasserbetrieben durchlaufen, bevor sie im Produktivnetz eingespielt werden können. Ein automatisiertes Patch-Management ist in Betrieb.

Zu den weiteren Aufgaben der OT-Beschäftigten (Operational Technology) im Automatisierungsnetz gehören alle Tätigkeiten, die mit Änderungen an den Anlagen zusammenhängen, die eine Um- oder Neuprogrammierung erforderlich machen. Alle Beschäftigten im OT- und IT-Bereich der BWB sind Festangestellte. Externe Leistungen kommen nur dann zum Einsatz, wenn große Umbauten an den Werken erfolgen. deren Ressourcenbedarf nicht mit eigenen Mitteln gedeckt werden kann.

Herr Berndt beklagt, dass das IT-Sicherheitsgesetz zwar die Anforderungen vorgibt, die er für die IT-Sicherheit bei den Wasserbetrieben erfüllen muss, sich dabei aber immer nur auf den Stand der Technik bezieht. Hilfreicher wäre beispielsweise das Vorhandensein nach „Common Criteria“ (ISO/IEC 15408) zertifizierter Sicherheitsprodukte, die den Aufbau einer anforderungsgerechten Sicherheitsinfrastruktur gewährleisten.

Neuer Schutz für Industrie und KRITIS-Betreiber

Neues eBook „Industrial Security“

Neuer Schutz für Industrie und KRITIS-Betreiber

21.09.18 - Cyber-Attacken auf Industrieunternehmen richten großen wirtschaftlichen Schaden an. Gehören die Unternehmen zu den Kritischen Infrastrukturen (KRITIS), können die Folgen eines Angriffs die Versorgung und öffentliche Sicherheit des Landes bedrohen. Die Industrial Security muss diesen hohen Risiken gerecht werden und braucht deshalb ein neues Fundament. lesen

Fazit

Der Aufwand, den Einrichtungen wie die Berliner Wasserbetriebe betreiben müssen, um ihre IT-Infrastrukturen abzusichern, ist vergleichsweise hoch und erfordert neben einer entsprechend gestalteten Infrastruktur sowohl umfassende Investitionen in Security-Produkte als auch viel menschliche Arbeitskraft. Da die behördlichen Vorgaben in diesem Bereich recht schwammig sind, müssen die Verantwortlichen darüber hinaus selbst Lösungen finden, mit denen sie auf der sicheren Seite bleiben, ohne ihr Budget zu überschreiten. Das stellt eine durchaus anspruchsvolle Aufgabe dar.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45863945 / Sicherheits-Policies)