Newsletter abonnieren

Wir graben für Sie nach Neuigkeiten. Die Ergebnisse gibt es bei uns im Newsletter.

Wir graben für Sie nach Neuigkeiten. Die Ergebnisse gibt es bei uns im Newsletter.

Newsletter Anmeldung

IT-Sicherheit ist Daueraufgabe für Groß und Klein

Die Digitalisierung vereinfacht und optimiert Prozesse und sorgt für schnelleres, flexibleres und effizienteres Arbeiten und Kommunizieren. Allerdings steigt damit die Gefahr von Cyberangriffen, auch auf Betreiber kritischer Infrastrukturen, etwa in der Trinkwasserver- und Abwasserentsorgung. Darüber sprachen wir mit Dr. Wolf Merkel, Vorstand Ressort Wasser beim Deutschen Verein des Gas- und Wasserfaches (DVGW) und Dr. Friedrich Hetzel, Abteilungsleiter Wasser und Abfallwirtschaft bei der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA).

Mögliche Cyberangriffe auf kritische Infrastrukturen: IT-Sicherheit ist Daueraufgabe
Cyberattacken sind gerade vor dem Hintergrund der Digitalisierung ein ernstes Problem. Gerade Betreiber von kritischen Infrastrukturen müssen sich daher mit etwaigen Schutzmaßnahmen beschäftigen. | Foto: Adobe Stock

B_I umweltbau: Die Gefahr von Cyberattacken ist in dieser Zeit so hoch wie nie, auch was kritische Infrastrukturen anbelangt. Was macht die Angriffe so gefährlich und was kann in der (kommunalen) Wasserwirtschaft schlimmstenfalls passieren?


Anzeige
Regenwassermanagement auf Bahnhöfen macht Stationen fit für die Zukunft

Regenwassermanagement auf Bahnhöfen macht Stationen fit für die Zukunft

Hauraton hat spezialisierte Lösungen, die bei der Neugestaltung von Bahnhöfen für ganzheitlichen Regenwassermanagement eingesetzt werden.


Dr. Wolf Merkel: Digitale Systeme werden vermehrt in allen Bereichen eingesetzt. Eine Reihe von Auswertungen zeigt, dass sich auch die Schwachstellen in diesen Systemen häufen. In dem Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland ist von einer „hohen Bedrohungslage“ die Rede. Der Punkt ist: Angriffe auf kritische Infrastrukturen sind besonders wirkungsvoll, weil man eine große Anzahl von Personen verunsichern und einschüchtern kann. Lösegeldeinnahmen und politische Destabilisierung sind Motivationen, die dahinterstecken.

Dr. Friedrich Hetzel: Für die Wasserwirtschaft ist die Stromversorgung natürlich essentiell. Ein Blackout wäre sicher das Worst-Case-Szenario; dann wäre das zivile Miteinander nicht mehr möglich. Das ist aber äußerst unwahrscheinlich. Wenn überhaupt erwarten Fachleute einen Brownout, also kurzzeitige kontrollierte Lastabschaltungen.

Aufgrund der dezentralen Strukturen hätte ein Cyberangriff in der Wasserwirtschaft nur lokale Auswirkungen, wäre also keine Katastrophe für das ganze Land. Aber natürlich wären die Bevölkerung in der Region, die industrielle Wasserversorgung und auch der Umweltschutz im angegriffenen Gebiet betroffen.

„Einen 100%igen Schutz gibt es nicht. Das Schließen von Sicherheitslücken ist eine Daueraufgabe.“

- Dr. Wolf Merkel

B_I umweltbau: Wie groß sind Ihrer Einschätzung nach die IT-Sicherheitslücken bei Betreibern kritischer Infrastrukturen?

Dr. Merkel: Das lässt sich nicht genau sagen. Fakt ist: Einen hundertprozentigen Schutz gibt es nicht. Angriffe werden zunehmen und manche werden auch erfolgreich sein. Die Verantwortung für die Sicherheit liegt in erster Linie bei den Herstellern der eingesetzten Software-Programme, sichere Produkte zu entwickeln und möglichst sichere Updates bereitzustellen. Für Unternehmen ist das Schließen etwaiger IT-Sicherheitslücken eine Daueraufgabe. Nichts ist so empfindlich wie die Nachlässigkeit in der täglichen Routine. Was die Unternehmen zur Bewältigung dieser Daueraufgabe benötigen, sind Know-how, Aufmerksamkeit, Budget und Kompetenz.

Dr. Hetzel: Digitalisierung darf indes kein Selbstzweck sein. Es müssen immer Kosten und Nutzen abgewogen werden. Mit zunehmender Digitalisierung steigt die Angriffsgefahr. Die Frage ist daher: Muss ich alles durchdigitalisieren? Möglicherweise macht es nicht bei allen Anlagen Sinn und man kann die eine oder andere Anlage von Hand fahren. Dabei ist auch der Fachkräftemangel zu berücksichtigen, wonach es sich wiederum lohnen könnte, eine Anlage über eine Leitzentrale fernzusteuern und gegen Cyberangriffe zu schützen.

Auch kleinere Unternehmen sollten sich mit Cybersicherheit auseinandersetzen, finden Dr. Wolf Merkel (l.) und Dr. Friedrich Hetzel. | Foto: DVGW; DWA
Auch kleinere Unternehmen sollten sich mit Cybersicherheit auseinandersetzen, finden Dr. Wolf Merkel (l.) und Dr. Friedrich Hetzel. | Foto: DVGW; DWA

B_I umweltbau: Was raten Sie Unternehmen konkret, wenn es zu einem Cyberangriff kommt, der Auswirkungen auf die Sicherheitslage hat?

Dr. Hetzel: Wir empfehlen, sich bei einem solchen Vorfall schnellstmöglich an das BSI zu wenden. Das Amt hat eine entsprechende Checkliste, die beschreibt, was man tun sollte. Die ausgemachte Schwachstelle sollte dem BSI gemeldet werden. Denn jeder, der sich offenbart, hilft auch anderen sich zu schützen.

B_I umweltbau: In §§ 8a bis e des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, sind die Kommunikation zwischen BSI und Betreibern kritischer Infrastrukturen konkretisiert sowie Nachweis- und Meldepflichten festgelegt. Das Gesetz verpflichtet KRITIS-Betreiber zudem, spätestens ab dem 1. Mai 2023 Systeme zur Angriffserkennung (§ 2 Abs. 9b BSIG) einzusetzen. Für welche Betreiber gilt das? Und welche Schutzmöglichkeiten haben sie?

Dr. Hetzel: Für kritische Infrastrukturen gibt die BSI-KritisV Schwellenwerte vor. Im Bereich Abwasserentsorgung liegt der Mindestwert bei 500.000 – angeschlossene Einwohner (Kanalisation) oder Ausbaugröße in Einwohnerwerten (Kläranlage). Bei großen Betreibern, die für mehrere kleine Anlagen verantwortlich sind und diese gemeinsam über eine Leitzentrale steuern, muss man die einzelnen Anlagen zusammenzählen, und wenn man dann auf einen Wert von mindestens 500.000 kommt, ist die Leitzentrale als kritische Infrastruktur anzusehen. Wir empfehlen aber, dass nicht nur Unternehmen oberhalb dieser Schwellenwerte, sondern auch kleinere Unternehmen sich mit Cybersicherheit auseinandersetzen.

Dr. Merkel: Im Bereich Trinkwasserversorgung liegt der Schwellenwert bei 22 Millionen m3 gewonnene, verteilte oder aufbereitete Wassermenge pro Jahr. Ich stimme Friedrich Hetzel zu, dass Schutzkonzepte auch für die meisten kleineren Unternehmen, an die Unternehmensgröße entsprechend angepasst, sinnvoll sind. Man muss sich aber immer vor Augen führen, dass die Einführung und der Betrieb von Schutzsystemen mit Personalaufwand verbunden sind sowie Know-how und Kompetenz erfordern.

Es gibt eine ganze Reihe von Schutzmöglichkeiten. Neben den von Ihnen angesprochenen Systemen zur Angriffserkennung sollte man die Gefährdungslage analysieren und die Systeme, insbesondere die IT-Systeme, auf dem aktuellen technischen Stand halten. Ganz wichtig ist auch die Ausarbeitung eines Notfallkonzeptes mit der Festlegung diverser Maßnahmen, zum Beispiel Abschottung der IT-Systeme von der Außenwelt, gezieltes Herunterfahren von Servern, um weitere interne Kontamination zu verhindern, sowie Vorbereitung der Kommunikation mit der Kommune und der Bevölkerung, die im Ernstfall unter dem bestehenden Druck weitaus schwerer wäre. Ferner sollte man Bauwerke und Anlagenteile sowie Reservekapazitäten vorhalten und den Notbetrieb konzipieren.

Dr. Friedrich Hetzel: „Aufgrund der dezentralen Strukturen hätte ein Cyberangriff in der Wasserwirtschaft nur lokale Auswirkungen. Aber natürlich wären die Bevölkerung in der Region, die Wasserversorgung und der Umweltschutz im angegriffenen Gebiet betroffen.“ | Foto: DWA
Dr. Friedrich Hetzel: „Aufgrund der dezentralen Strukturen hätte ein Cyberangriff in der Wasserwirtschaft nur lokale Auswirkungen. Aber natürlich wären die Bevölkerung in der Region, die Wasserversorgung und der Umweltschutz im angegriffenen Gebiet betroffen.“ | Foto: DWA

„Auf der Grundlage des B3S kann der vom IT-Sicherheitsgesetz geforderte Stand der Technik nachgewiesen werden.“

- Dr. Friedrich Hetzel

B_I umweltbau: Die DWA und der DVGW haben gemeinsam für den Sektor Wasser den Leitfaden „IT-Sicherheit – Branchenstandard Wasser/Abwasser (B3S)“ erarbeitet. Was ist Inhalt dieses Leitfadens und wie können Betreiber/Unternehmen davon profitieren?

Dr. Merkel: Unser Branchenstandard dient zur branchenspezifischen Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlagen. Er beinhaltet Anwendungsfälle, Gefährdungen und Maßnahmen. Mit seiner Anwendung, also der Zuordnung der Anwendungsfälle, der Vornahme einer Analyse, der Klassifizierung der Anlagenteile und Prozesse sowie der Formulierung entsprechender Maßnahmen, erfüllen die Betreiber die Anforderungen des IT-Sicherheitsgesetzes, das heißt die Anlage ist ordnungsgemäß geschützt.

Dr. Hetzel: Der Branchenstandard „IT-Sicherheit Wasser/Abwasser“ (B3S WA) kann von allen Unternehmen angewendet werden. Er besteht aus dem DVGW-Merkblatt W 1060 bzw. dem DWA-M 1060 und der Web-Applikation „IT-Sicherheitsleitfaden“. Daneben haben wir eine Broschüre mit Hinweisen zum Nachweisverfahren gemäß § 8a Abs. 3 BSIG. Der Vorteil, Schutzmaßnahmen nach B3S nachzuweisen, ist, dass das BSI für das Merkblatt und den Sicherheitsleitfaden regelmäßig die Eignung prüft und feststellt. Auf der Grundlage des B3S kann somit der vom IT-Sicherheitsgesetz geforderte „Stand der Technik“ nachgewiesen werden. Das ist vollkommen ausreichend für die Auditierung und das Zertifikat am Ende.

B_I umweltbau: Was gibt es sonst für Angebote seitens der DWA und des DVGW für Unternehmen, die sich vor Cyberangriffen schützen möchten?

Dr. Hetzel: Die DWA und der DVGW bieten Fort- und Weiterbildungen an, in denen wir insbesondere Führungskräfte und Leiter von Betreibern auch davon überzeugen möchten, wie wichtig Budget, Ausbildung und Personal sind, um sich vor Cyberattacken zu schützen. Darüber hinaus haben Betreiber die Möglichkeit, sich konkret im Hinblick auf die Umsetzung des IT-Sicherheitsstandards schulen zu lassen.

Dr. Wolf Merkel: „Zu den Schutzmaßnahmen sollte auch die Erarbeitung eines Notfallkonzeptes gehören.“ | Foto: DVGW
Dr. Wolf Merkel: „Zu den Schutzmaßnahmen sollte auch die Erarbeitung eines Notfallkonzeptes gehören.“ | Foto: DVGW

B_I umweltbau: Bei Bauprojekten spielen digitalisierte Abläufe und insbesondere BIM (Building Information Modeling) eine immer größere Rolle. Inwieweit sehen Sie auch hier eine ernsthafte Bedrohung durch Cyberattacken?

Dr. Hetzel: Die Bedrohung ist auch hier real, keine Frage. Der ganze Planungsprozess bei BIM ist so angelegt, dass man in virtuellen Systemen anschauen kann, wie die Anlage funktioniert. In diesem Planungsprozess braucht man unbedingt eine Cybersicherheit, denn wenn Cyberattacken die Planung fehlerhaft machen, wird auch das Produkt fehlerhaft.

Rohrpost abonnieren!

Wir graben für Sie nach Neuigkeiten. Die Ergebnisse gibt es bei uns im Newsletter.

Jetzt anmelden!

Ich akzeptiere die Datenschutz-Bestimmungen.
Newsletter Anmeldung
Newsletter Anmeldung

Dr. Merkel: Beim Building Information Modeling sind ja verschiedene Schritte in der Planung und im Betriebszyklus einer Anlage abzudecken. Die Schutzbedürftigkeit erhöht sich, wenn Bauteile mit Betriebsinformationen versehen werden, wenn also der digitale Zwilling auch für den späteren Betrieb und die Instandhaltung genutzt wird. Je mehr das BIM-Modell als Grundlage für den digitalisierten Betrieb der Anlagen dient, desto höher sind die Schutzanforderungen für das Bauwerk.

B_I umweltbau: Meine Herren, herzlichen Dank für das Gespräch und bleiben Sie sicher!


Weiterlesen:


Neueste Beiträge:

Weitere Beiträge

1
2
3

Für welche Leistungsart interessieren Sie sich?

Bauleistungen
Bauleistungen

Bau­leistungen

Dienstleistungen
Dienstleistungen

Dienst­leistungen

Lieferleistungen
Lieferleistungen

Liefer­leistungen

Wo suchen Sie Aufträge?

Ausschreibungs-Radar
Baden-Württemberg
Bayern
Berlin
Brandenburg
Bremen
Hamburg
Hessen
Mecklenburg-Vorpommern
Niedersachsen
Nordrhein-Westfalen
Rheinland-Pfalz
Saarland
Sachsen
Sachsen-Anhalt
Schleswig-Holstein
Thüringen

Verwandte Bau-Themen:


Aktuelle Termine für unterirdische Infrastruktur

Anzeige

19.11.2024 - 20.11.2024

PumpenanlagenTage

27.11.2024 - 28.11.2024

Inspektions- und SanierungsTage

03.12.2024, 09:00 Uhr - 03.12.2024, 16:00 Uhr

Drosseleinrichtungen im Kanalnetz

Jetzt zum Newsletter anmelden:

Leitungsbau, Kanalsanierung, Abwasser – erfahren Sie das wichtigste rund ums Thema unterirdische Infrastruktur.