Suchen

Segmentiertes Netz und restriktive Zugriffe Netzwerksicherheit bei den Berliner Wasserbetrieben

Autor / Redakteur: Dr. Götz Güttich / Peter Schmitz

Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weit­reichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammen­hän­genden Anforderungen.

Firmen zum Thema

Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft.
Der Aufwand zum Schutz kritischer IT-Infrastrukturen ist hoch und erfordert genaue Planung, umfassende Investitionen in Security-Produkte und viel menschliche Arbeitskraft.
(© Joachim Donath)

Die Anforderungen an die IT-Sicherheit kritischer Infrastrukturen (KRITIS) wie zum Beispiel die Netze von Energieversorgern und Stadtwerken sind besonders hoch. Wird beispielsweise ein Netz eines Wasserversorgers korrumpiert und fallen die damit verbundenen Wasserwerke und Pumpstationen über einen längeren Zeitraum aus, so kann das zu katastrophenähnlichen Zuständen führen. Schon kurzzeitige Ausfälle in diesem Bereich schränken die Lebensqualität stark ein. Deswegen müssen die Verantwortlichen höchste Sicherheitsauflagen beachten.

Um uns darüber zu informieren, wie ein Netz aus dem Bereich Infrastrukturdienstleistung aussehen kann, haben wir für diesen Beitrag mit Uwe Berndt, zuständig für Unternehmenssicherheit bei den Berliner Wasserbetrieben, gesprochen. Die Berliner Wasserbetriebe verfügen über ein knapp 18.000 Kilometer umfassendes Netz, das neun Wasserwerke, sechs Klärwerke und 160 Pumpwerke über relativ große Entfernungen hinweg verbindet und deswegen eine logistische Herausforderung darstellt.

Aufbau des Netzes

Grundsätzlich wurde das Netz der Wasserbetriebe zweigeteilt. Das "klassische" Unternehmensnetzwerk, in dem die Office-Tätigkeiten – beispielsweise mit Büroanwendungen und ähnlichem – durchgeführt werden, läuft völlig unabhängig vom Automatisierungsnetz, über das die Überwachungs- und Steuerungstätigkeiten über SCADA-Systeme (Supervisory Control and Data Acquisition) erfolgen.

Das Office-Netz wurde über eine DMZ an das Internet angebunden, das Automatisierungsnetz nicht, letzteres arbeitet gekapselt. Es gibt lediglich eine ausgehende Datenverbindung zwischen den beiden Netzen, über die die Komponenten des Automatisierungsnetzes Reporting-Daten ins Office Netz schicken, damit die dortigen Mitarbeiter sich einen Überblick über den aktuellen Status der einzelnen Komponenten verschaffen können. Schreibzugriffe auf das Automatisierungsnetz sind nicht möglich.

In beiden Netzen wurden Sicherheitslösungen implementiert, die dem Stand der Technik entsprechen. Dazu gehören Firewalls, Virenscanner und ähnliches. Auf unsere Frage, welche Komponenten das genau seien, antwortete Herr Berndt, dass aus Sicherheitsgründen keine konkreten Angaben erfolgen.

Bei der Auswahl der verwendeten Produkte hat die Sicherheit den höchsten Stellenwert. Die Entscheidung fällt also abhängig von den von den einzelnen Produkten bereitgestellten Security Features, das Preis-Leistungsverhältnis spielt erst danach eine Rolle.

Um das Sicherheitsniveau im Automatisierungsnetz zu erhöhen, läuft dort ein Netzwerk und System Management System, das sämtliche Netzwerkszugangspunkte und den Netzwerkverkehr überwacht und sicherstellt, dass alle getätigten Zugriffe valide sind. Im Office-Netz arbeitet eine vergleichbare Lösung, die aber nicht so starke Überwachungsfunktionen mitbringt.

Die Arbeit im Automatisierungsnetz

Da von außen keine Schreibzugänge ins Automatisierungsnetz möglich sind, müssen alle administrativen Tätigkeiten direkt über Workstations in diesem Netz erfolgen. Zugriff auf solche Systeme haben bei den Berliner Wasserbetrieben nicht nur die Administratorinnen und Administratoren, die für das Automatisierungsnetz Verantwortung tragen, sondern auch Ingenieurinnen und Ingenieure, die Speicherprogrammierbare Steuerungen (SPS) programmieren. Die Anzahl aller User mit Schreibrechten im Automatisierungsnetz liegt im unteren zweistelligen Bereich.

Zu den Aufgaben der Administratoren im Automatisierungsnetz gehört zunächst einmal die Datensicherung. Hierfür liegen Konzepte vor, die klar vorgeben, welche Daten wann zu sichern sind. Von ebenso großer Bedeutung: das Patch Management. Für die verwendeten Patches muss zunächst eine Freigabe vom Hardware-Lieferanten (wie beispielsweise Siemens) erfolgen und sie müssen darüber hinaus umfangreiche Tests bei den Wasserbetrieben durchlaufen, bevor sie im Produktivnetz eingespielt werden können. Ein automatisiertes Patch-Management ist in Betrieb.

Zu den weiteren Aufgaben der OT-Beschäftigten (Operational Technology) im Automatisierungsnetz gehören alle Tätigkeiten, die mit Änderungen an den Anlagen zusammenhängen, die eine Um- oder Neuprogrammierung erforderlich machen. Alle Beschäftigten im OT- und IT-Bereich der BWB sind Festangestellte. Externe Leistungen kommen nur dann zum Einsatz, wenn große Umbauten an den Werken erfolgen. deren Ressourcenbedarf nicht mit eigenen Mitteln gedeckt werden kann.

Herr Berndt beklagt, dass das IT-Sicherheitsgesetz zwar die Anforderungen vorgibt, die er für die IT-Sicherheit bei den Wasserbetrieben erfüllen muss, sich dabei aber immer nur auf den Stand der Technik bezieht. Hilfreicher wäre beispielsweise das Vorhandensein nach „Common Criteria“ (ISO/IEC 15408) zertifizierter Sicherheitsprodukte, die den Aufbau einer anforderungsgerechten Sicherheitsinfrastruktur gewährleisten.

Fazit

Der Aufwand, den Einrichtungen wie die Berliner Wasserbetriebe betreiben müssen, um ihre IT-Infrastrukturen abzusichern, ist vergleichsweise hoch und erfordert neben einer entsprechend gestalteten Infrastruktur sowohl umfassende Investitionen in Security-Produkte als auch viel menschliche Arbeitskraft. Da die behördlichen Vorgaben in diesem Bereich recht schwammig sind, müssen die Verantwortlichen darüber hinaus selbst Lösungen finden, mit denen sie auf der sicheren Seite bleiben, ohne ihr Budget zu überschreiten. Das stellt eine durchaus anspruchsvolle Aufgabe dar.

(ID:45863945)

Über den Autor

Dr. Götz Güttich

Dr. Götz Güttich

Journalist, IAIT