:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Segmentiertes Netz und restriktive Zugriffe Netzwerksicherheit bei den Berliner Wasserbetrieben
Bei Infrastrukturdienstleistern müssen die zuständigen Beschäftigten umfassende Sicherheitsvorgaben erfüllen. Gleichzeitig sind auch viele IoT-Komponenten in das Netz einzubinden. Schon kurzzeitige Ausfälle kritischer Infrastruktur-Systeme kann weitreichende Folgen haben. Dieser Artikel gibt einen Überblick über die damit zusammenhängenden Anforderungen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Anforderungen an die IT-Sicherheit kritischer Infrastrukturen (KRITIS) wie zum Beispiel die Netze von Energieversorgern und Stadtwerken sind besonders hoch. Wird beispielsweise ein Netz eines Wasserversorgers korrumpiert und fallen die damit verbundenen Wasserwerke und Pumpstationen über einen längeren Zeitraum aus, so kann das zu katastrophenähnlichen Zuständen führen. Schon kurzzeitige Ausfälle in diesem Bereich schränken die Lebensqualität stark ein. Deswegen müssen die Verantwortlichen höchste Sicherheitsauflagen beachten.
Um uns darüber zu informieren, wie ein Netz aus dem Bereich Infrastrukturdienstleistung aussehen kann, haben wir für diesen Beitrag mit Uwe Berndt, zuständig für Unternehmenssicherheit bei den Berliner Wasserbetrieben, gesprochen. Die Berliner Wasserbetriebe verfügen über ein knapp 18.000 Kilometer umfassendes Netz, das neun Wasserwerke, sechs Klärwerke und 160 Pumpwerke über relativ große Entfernungen hinweg verbindet und deswegen eine logistische Herausforderung darstellt.
:quality(80)/images.vogel.de/vogelonline/bdb/1546800/1546854/original.jpg "Um ein Netzwerk umfassend abzusichern müssen IT-Sicherheitsverantwortliche viele Entscheidungen treffen und viele Konfigurationsschritte durchführen. (sdecoret - stock.adobe.com)")
Anforderungen der IT-Sicherheit
Grundlagen der Netzwerksicherheit
Aufbau des Netzes
Grundsätzlich wurde das Netz der Wasserbetriebe zweigeteilt. Das "klassische" Unternehmensnetzwerk, in dem die Office-Tätigkeiten – beispielsweise mit Büroanwendungen und ähnlichem – durchgeführt werden, läuft völlig unabhängig vom Automatisierungsnetz, über das die Überwachungs- und Steuerungstätigkeiten über SCADA-Systeme (Supervisory Control and Data Acquisition) erfolgen.
Das Office-Netz wurde über eine DMZ an das Internet angebunden, das Automatisierungsnetz nicht, letzteres arbeitet gekapselt. Es gibt lediglich eine ausgehende Datenverbindung zwischen den beiden Netzen, über die die Komponenten des Automatisierungsnetzes Reporting-Daten ins Office Netz schicken, damit die dortigen Mitarbeiter sich einen Überblick über den aktuellen Status der einzelnen Komponenten verschaffen können. Schreibzugriffe auf das Automatisierungsnetz sind nicht möglich.
In beiden Netzen wurden Sicherheitslösungen implementiert, die dem Stand der Technik entsprechen. Dazu gehören Firewalls, Virenscanner und ähnliches. Auf unsere Frage, welche Komponenten das genau seien, antwortete Herr Berndt, dass aus Sicherheitsgründen keine konkreten Angaben erfolgen.
Bei der Auswahl der verwendeten Produkte hat die Sicherheit den höchsten Stellenwert. Die Entscheidung fällt also abhängig von den von den einzelnen Produkten bereitgestellten Security Features, das Preis-Leistungsverhältnis spielt erst danach eine Rolle.
Um das Sicherheitsniveau im Automatisierungsnetz zu erhöhen, läuft dort ein Netzwerk und System Management System, das sämtliche Netzwerkszugangspunkte und den Netzwerkverkehr überwacht und sicherstellt, dass alle getätigten Zugriffe valide sind. Im Office-Netz arbeitet eine vergleichbare Lösung, die aber nicht so starke Überwachungsfunktionen mitbringt.
:quality(80)/images.vogel.de/vogelonline/bdb/1428700/1428771/original.jpg "Regierungsstellen weltweit sind sich einig, dass Angriffe auf kritische Infrastrukturen gegenwärtig eine reale Gefahr darstellen wohl auch weiterhin zunehmen werden. (Pixabay)")
Sicherheit für kritische Infrastrukturen
Immer mehr Cyberangriffe auf den Energiesektor
Die Arbeit im Automatisierungsnetz
Da von außen keine Schreibzugänge ins Automatisierungsnetz möglich sind, müssen alle administrativen Tätigkeiten direkt über Workstations in diesem Netz erfolgen. Zugriff auf solche Systeme haben bei den Berliner Wasserbetrieben nicht nur die Administratorinnen und Administratoren, die für das Automatisierungsnetz Verantwortung tragen, sondern auch Ingenieurinnen und Ingenieure, die Speicherprogrammierbare Steuerungen (SPS) programmieren. Die Anzahl aller User mit Schreibrechten im Automatisierungsnetz liegt im unteren zweistelligen Bereich.
Zu den Aufgaben der Administratoren im Automatisierungsnetz gehört zunächst einmal die Datensicherung. Hierfür liegen Konzepte vor, die klar vorgeben, welche Daten wann zu sichern sind. Von ebenso großer Bedeutung: das Patch Management. Für die verwendeten Patches muss zunächst eine Freigabe vom Hardware-Lieferanten (wie beispielsweise Siemens) erfolgen und sie müssen darüber hinaus umfangreiche Tests bei den Wasserbetrieben durchlaufen, bevor sie im Produktivnetz eingespielt werden können. Ein automatisiertes Patch-Management ist in Betrieb.
Zu den weiteren Aufgaben der OT-Beschäftigten (Operational Technology) im Automatisierungsnetz gehören alle Tätigkeiten, die mit Änderungen an den Anlagen zusammenhängen, die eine Um- oder Neuprogrammierung erforderlich machen. Alle Beschäftigten im OT- und IT-Bereich der BWB sind Festangestellte. Externe Leistungen kommen nur dann zum Einsatz, wenn große Umbauten an den Werken erfolgen. deren Ressourcenbedarf nicht mit eigenen Mitteln gedeckt werden kann.
Herr Berndt beklagt, dass das IT-Sicherheitsgesetz zwar die Anforderungen vorgibt, die er für die IT-Sicherheit bei den Wasserbetrieben erfüllen muss, sich dabei aber immer nur auf den Stand der Technik bezieht. Hilfreicher wäre beispielsweise das Vorhandensein nach „Common Criteria“ (ISO/IEC 15408) zertifizierter Sicherheitsprodukte, die den Aufbau einer anforderungsgerechten Sicherheitsinfrastruktur gewährleisten.
:quality(80)/images.vogel.de/vogelonline/bdb/1451000/1451055/original.jpg "Industrieunternehmen müssen sich heute gegen eine Vielzahl an Cyber-Risiken rüsten. (metamorworks - stock.adobe.com)")
Neues eBook „Industrial Security“
Neuer Schutz für Industrie und KRITIS-Betreiber
Fazit
Der Aufwand, den Einrichtungen wie die Berliner Wasserbetriebe betreiben müssen, um ihre IT-Infrastrukturen abzusichern, ist vergleichsweise hoch und erfordert neben einer entsprechend gestalteten Infrastruktur sowohl umfassende Investitionen in Security-Produkte als auch viel menschliche Arbeitskraft. Da die behördlichen Vorgaben in diesem Bereich recht schwammig sind, müssen die Verantwortlichen darüber hinaus selbst Lösungen finden, mit denen sie auf der sicheren Seite bleiben, ohne ihr Budget zu überschreiten. Das stellt eine durchaus anspruchsvolle Aufgabe dar.
(ID:45863945)
:quality(80)/p7i.vogel.de/wcms/ca/3a/ca3a3dc452cd6523ffbde5ba848b75e9/0114517411.jpeg "Neue technologische Möglichkeiten halten bei der Zutrittskontrolle und der physischen Sicherheit Einzug. (Bild: Kostiantyn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/3a/943ad74305de3f071137b0586ca2031c/0112502626.jpeg "Der Weg zur richtigen Patch-Management-Strategie ist oft mit erheblichem Aufwand verbunden. Eine Auditierungscheckliste als konkreter Leitfaden für die Praxis hilft weiter. (Bild: Alexander Limbach - stock.adobe.com)")