Sind auch Wasserversorgungsunternehmen von Hacker-Angriffen bedroht? Die Kritischen Infrastrukturen, wozu auch die Wasserversorgung zählt, müssen sich auf neue Gefahrenquellen vorbereiten. Das Thema hat es von den Expertengruppen auch in die populären Medien geschafft. Internet- oder Cyberattacken als Bedrohung der Wasser- und Energieversorgung, hat DIE WELT in ihrem Artikel “Angriff auf die wirkliche Welt” aufgegriffen. Sie schreibt: “Daten- und Identitätsklau war für Hacker nur der Anfang. Im Internet der Dinge weitet sich der Cyberkrieg auf physische Ziele aus. Die ersten Opfer sind Infrastruktur und Industrieanlagen.”
Ist das Hysterie oder Panikmache? Blicken wir zunächst in die USA. Hier hat es in den vergangenen Jahren vereinzelte Angriffe auf Wasserwerke gegeben. Angesichts von 9/11 forderte die US-Regierung daher höhere Sicherheitsstandards. Das Magazin FORBES berichtete unter dem Titel “Hacking Gets Physical: Utilities At Risk For Cyber Attacks” über die Bedrohung der Versorger. Dabei bezog sich das Magazin auf eine Expertenbefragung des Ponemon Institutes und des IT-Unternehmens Unisys. Dazu wurden 599 IT-Experten unter anderem aus Versorgungs-Branchen aus 13 Ländern befragt. In der Studie “Critical Infrastructure: Security Preparedness and Maturity” erklärten 67% der Unternehmen, dass sie mindestens einmal im vorausgegangenen Jahr vertrauliche Informationen durch eine Sicherheitslücke verloren oder eine Prozessunterbrechung zu verzeichnen hatten. Besondere Besorgnis löst die Erkenntnis aus, dass Attacken auf Infrastrukturen politisch motiviert sind oder Schrecken auslösen wollen. Da wirtschaftliche Motive keine Rolle spielen, sind Bedrohungsszenarien unsicherer. Die USA hat 16 kritische Infrastruktur-Sektoren festgelegt. Diese sind auf Initiative von Präsident Obama seit Februar 2014 in der National Cybersecurity Framework reguliert.
Aber wie sieht es in Deutschland aus? Sind Wasserversorgungsanlagen hierzulande ausreichend gegen Hackerattacken gerüstet und die Versorgung gesichert?
KRITIS-Studie gibt bedenkliche Antworten
Der Frage “Sicherheit in Infrastrukturen” widmet sich in ausgiebiger Tiefe eine (noch vorläufige) KRITIS-Studie des Bundesamtes für Sicherheit in der Informationstechnik. Demnach existieren innerhalb der Branchen des Sektors Wasser keine eigenen Standards zur Cyber-Sicherheit. Die Versorger richten sich als Betreiber an den bestehenden Standards zur Informationssicherheit wie z. B. den ISO/IEC 27001, ISO 27019, an Handlungsempfehlungen der Branchenverbände oder an dem BSI IT-Grundschutz aus. Dabei unterscheiden sich die Tätigkeiten und Herangehensweisen zur Anwendung der Sicherheitsstandards unter den Betreibern stark voneinander. Netze und Systeme der Office-IT und Prozess-IT, vor allem beiden großen Betreibern, sind vollständig physisch getrennt. Das heißt eine Hacker-Attacke beschränkt sich hier auf den Office-Bereich und trifft Kundendaten oder die Administration. Bei den Betreibern mittlerer Größe wird dagegen aus Kostengründen auf eine physische Trennung verzichtet und auf eine logische Trennung der beiden Umgebungen gesetzt. Die kleinen Betreiber verfügen meist nicht über die nötigen Ressourcen, um eine physische oder logische Trennung von Office-IT und Prozess-IT umzusetzen. Hier könnten Angriffe weitaus größeren Schaden anrichten.
Bei der Erreichung der Sicherheitsstandards sind größere Betreiber im Vorteil. Sie haben die Ressourcen und das Know-how, sich an internationalen Standards zur Informationssicherheit wie dem ISO/IEC 27001 zu orientieren und können ein Integriertes Informationsmanagement-System (ISMS) in ihrer Organisation umsetzen. Die Management-Systeme betrachten die Gefahren im Rahmen des Risikomanagements und kontrollieren mit Prozessen und Rollen das Sicherheitsniveau ihrer IT-Landschaft. Um die Cyber-Sicherheit in der eigenen Organisation erhöhen und halten zu können, sind nicht nur finanzielle Ressourcen nötig. Auch personelle und vor allem zeitliche Ressourcen sind ein wichtig zum Ausbau der Cyber-Sicherheit. Aktuell haben nach Erkenntnissen des BSI nur die größten fünf Betreiber von Wasser-Versorgungsanlagen explizite Zuständigkeiten und teils eigenständiges Personal für das Thema Cyber-Sicherheit festgelegt. Bei den restlichen Betreibern sind die Zuständigkeiten für Cyber-Sicherheit in der Prozess-IT auf Mitarbeiter im Fachbereich der Leittechnik bzw. Anlagensteuerung verteilt. Aus Befragungen mit den größten Betreibern ist außerdem hervorgegangen, dass der aktuelle Aufwand und Einsatz von Ressourcen für das Thema nicht dauerhaft aufrechterhalten werden kann. Die vernetzte Steuerung der Anlagen über industrielle Kontrollsysteme (Prozess-IT) geht mit einer steigenden Komplexität und erhöhtem Aufwand in der Administration und Absicherung der Prozess-IT einher. Dem sind nur wenige Betreiber gewachsen. Das zumeist die größeren oder in Konzernen gebundenen Unternehmen. Die Kleinen müssen nach anderen Lösungen suchen.
Können Kooperationen eine Lösung sein?
Im Rahmen der Betreiberbefragung wurde der Wunsch geäußert, externe Unterstützung für Cyber-Sicherheit und den Schutz kritischer Infrastrukturen einbeziehen zu können. Dabei kommt die Kritis-Studie zu dem Ergebnis, dass es insbesondere kleinen und mittleren Unternehmen schwer fällt, entsprechende Kompetenzen im eigenen Haus aufzubauen. Hierbei können wie auch in anderen Bereichen Synergieeffekte durch Kooperationen erschlossen werden. Aber nicht nur für die kleinen Wasserversorger bieten sich Kooperationsmodelle als Lösung an. Damit lassen sich die Lasten und die Synergien auf mehrere Unternehmen verteilen. Ein solches Modell wurde unter der Bezeichnung DiregKomp in einer Kooperation der Uni Potsdam, des Beratungsunternehmens PRETHERM und Berlinwasser mit Fördermittel des BMBF entwickelt.
IT-Sicherheitsgesetz
Die Bundesregierung hat am 17. Dezember 2014 den Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Der Bundesrat hat sich Anfang Februar 2015 mit dem Gesetz befasst. Mit den ersten Entwürfen des IT-Sicherheitsgesetzes waren bei den Betreibern viele Unklarheiten entstanden. Die ersten Entwürfe standen im Konflikt zu den bestehenden Regelwerken und Best Practices des Sektors und gaben den Betreibern keine eindeutigen Handlungs- und Umsetzungsempfehlungen an die Hand. Für den Gesetzgeber wird es zukünftig wichtig sein, mit dem IT-Sicherheitsgesetz eine klare Linie für die Beteiligten vorzugeben. Den Grundstein dafür werden konkrete Anforderungen für die Betreiber bilden. Das IT-Sicherheitsgesetz muss den Betreibern und Zulieferern die Möglichkeit bieten, ihre Organisation hinsichtlich der Anforderungen prüfen und bewerten zu können. Mit einer klaren gesetzlichen Linie sind die Regelsetzer der Wasserwirtschaft in der Lage, technische Maßnahmen abzuleiten und diese in ihren Regelwerken und Best Practices zu verankern. Egal wie die Versorger diese neuen Anforderungen in konkretes Handeln umsetzen, sie müssen ihre individuelle Bedrohungslage selbstkritisch untersuchen. Die Betreiber Kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI zusammenlaufenden Informationen werden dort ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt.
Vielleicht sollten sie sich dazu sogar sogenannter Cyber-Forensiker bedienen. Was wie eine Bezeichnung für Vertreter einer neuen medizinische Fakultät klingt, ist Wirklichkeit eine in der digital vernetzten Unternehmenswelt immer wichtiger werdende Funktion der Gefährdungsanalyse. Sie simulieren Hacker-Attacken auf die Internetsysteme und identifizieren Schwachstellen.
LebensraumWasser meint dazu:
Das Thema Cybersicherheit ist von der Grauzone des Internets in der Wasserversorgung angelangt. Die Bedrohung zu ignorieren, kann fatale Folgen haben. Das IT-Sicherheitsgesetz schafft einen wichtigen Einstieg in mehr Sicherheit, nimmt aber kleine Versorger aus. Man wird gespannt sein dürfen, ob diese Regelung sinnvoll ist und das Schutzniveau der Versorgungssysteme von der Größe des Unternehmens abhängig sein sollte. Wie die KRITIS-Studie feststellt, ist gerade diese Größenordnung der Versorger aufgrund der Sicherheitsarchitektur besonders anfällig. Lösungen wird es auch für kleine Versorger geben müssen, denn warum sollen Kunden dieser Versorgungsunternehmen die Leidtragenden sein.
LebensraumWasser hatte schon 2013 einen Blick in die Hintergründe gewährt. Klick hier!
Eine aufschlussreiche Studie zum IT-Sicherheitsgesetz hat das Beratungsunternehmen KPMG veröffentlicht klick hier!
Dieser Beitrag wurde zuerst auf www.lebensraunwasser.com veröffentlicht.