A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

IT-Sicherheitslösung nach BSI-Standard

01 Leitstand mit IT-Netzüberwachung

01 Leitstand mit IT-Netzüberwachung

02 Systematik des Branchenstandards

02 Systematik des Branchenstandards

03 Netzstrukturplan in Irma

03 Netzstrukturplan in Irma

Am 1. August 2017 wurde der Branchenstandard für die Wasser- und Abwasserwirtschaft als erster IT-Sicherheitsstandard vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für einen Kritis-Sektor anerkannt. In der Lösung Irma (Industrie Risiko Management Automatisierung) zur kontinuierlichen Überwachung von IT-Systemen in der Produktion wurde der IT-Sicherheitsleitfaden der Branchenverbände DVGW und DWA bereits umgesetzt.
Der Gesetzgeber hat mit dem IT-Sicherheitsgesetz in 2015 den rechtlichen Rahmen geschaffen, um unter anderem die Vorgaben für die unterschiedlichen Branchen zu initiieren. In der Wasser- und Abwasserbranche wurde daraufhin von DVGW und DWA der erste branchenspezifische Sicherheitsstandard (B3S) entwickelt. Allen Betreibern von Anlagen der Trinkwasserver- und Abwasserentsorgung wird empfohlen, diesen Branchenstandard umzusetzen, da die Betreiber jederzeit in der Lage sein müssen, den Nachweis eines sicheren Betriebs zu erbringen.
Störungen in Kritis vermeiden
Betreiber Kritischer Infrastrukturen (Kritis) sind nach BSIG dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten und Prozesse nach Stand der Technik zu treffen und dies auch gegenüber dem BSI durch Prüfungen oder Zertifizierungen aktiv nachzuweisen (Bild 1).
Die Branchenverbände DWA und DVGW stellen dazu allen Betreibern (nicht nur den Kritis) von Anlagen der Trinkwasserver- und Abwasserentsorgung diesen praktischen Handlungsrahmen als Mindeststandard mit dem Merkblatt W 1060/M1060 und dem IT-Sicherheitsleitfaden zur Verfügung (Bild 2).
Dieser branchenspezifische Sicherheitsstandard beschreibt verbindliche Rahmenanforderungen, die eine Vorgehensweise zur Risikoanalyse und -behandlung enthält. Der Leitfaden beinhaltet eine Sammlung von Sicherheitsmaßnahmen zur Erreichung des im IT-Sicherheitsgesetz geforderten Stand der Technik für den Betrieb der eingesetzten IT-Systeme. Die darin beschriebenen Mindestvorgaben (A-Maßnahmen) sollten von allen Anlagenbetreibern umgesetzt werden – unabhängig davon, ob eine Anlage bereits heute eine Kritische Infrastruktur ist oder nicht.
Ein großer Schritt in die richtige Richtung, jedoch die Festlegung der betroffenen Anlagen (zum Beispiel nach ihrer Größe) scheint überdenkenswert, da Cyberangriffe in der Regel auf die Gesamtheit aller Anlagen abzielen. Denn auch die Summe der potenziell betroffenen kleinen und mittleren Anlagen würde bei einem Cyberangriff das Funktionieren des Gemeinwesens gefährden.
Das bedeutet wiederum, dass sich nahezu jede Anlage um diese Thematik zu kümmern hat. Dabei sind Aussagen wie: „uns betrifft das nicht“ oder „wir sind nicht im Internet, wir haben eine Insellösung“ in keinem Fall ausreichend. Denn es reicht schon eine Fernwartung oder der direkte Zugriff über einen kompromittierten Laptop eines Dienstleisters.
Ein effektives Informationssicherheits-Managementsystem basiert immer auf den drei Säulen:

  • organisatorische Maßnahmen,
  • technische Maßnahmen und
  • personelle Maßnahmen.

Damit scheint die Umsetzung des Sicherheitsstandards auf den ersten Blick jedoch etwas problematisch, da häufig die Budgets sowie die Fachkräfte fehlen, um ein durchgängiges Sicherheitsniveau und den im ITSiG geforderten Stand der Technik umzusetzen.
An diesem Kernpunkt hat das Unternehmen Videc seitens der methodischen Vorgaben an dem bereits vorhandenem Asset- und Risikomanagement in der Produktweiterentwicklung von Irma angesetzt. Mit einfach bedienbaren Werkzeugen können die grundlegend notwendigen Maßnahmen geplant, die Umsetzung unterstützt und dokumentiert werden.
Handlungsempfehlungen für konkrete Anwendungsfälle
Die DWA-/DVGW-Umsetzungshinweise (IT-Sicherheitsleitfaden und Merkblatt W 1060/M 1060) beinhalten Handlungsempfehlungen unter anderem für konkrete Anwendungsfälle, sogenannte Use Cases, und Risikoermittlung für verschiedene Bedrohungen. Diese Schritte sind nach den Vorgaben der DWA und DVGW im Produkt Irma abgebildet:

  • Dokumentation der Assets: Zur Bestandsaufnahme zeigt Irma automatisch alle (auch die nicht dokumentierten und unbekannten) Komponenten und Datenverbindungen auf.
  • Bestimmung der Anwendungsfälle: In Irma erfolgt zunächst die Auswahl der relevanten Anlagentypen und Zuordnung der Anwendungsfälle. Auf dieser Basis werden die korrespondierenden Gefährdungen automatisiert aufgelistet und können individuell ergänzt oder bei Nicht-Relevanz abgewählt werden.
  • Risikoanalyse: Die Risikoanalyse erfolgt direkt in Irma in Anlehnung an die ISO/IEC 27005 für die relevanten Gefährdungen in direktem Bezug auf die betroffenen IT-Assets.
  • Risikobewertung: In Irma werden die Ermittlung der Werte für die Eintrittswahrscheinlichkeit und den Grad der Einschränkung des Anlagenbetriebs dokumentiert.
  • Festlegung der Maßnahmen: Irma listet anhand der ausgewählten Anwendungsfälle automatisiert die im B3S festgelegten Maßnahmen des BSI-IT-Grundschutzes. Diese Maßnahmen werden nun den relevanten IT-Assets manuell zugeordnet. Damit erhält jeder IT-Asset Owner eine Liste der relevanten Maßnahmen und kann die Umsetzung strukturiert planen und dokumentieren. Der Umsetzungsgrad ist in Irma durch die Verantwortlichen jederzeit überprüfbar.
  • Umsetzung der Maßnahmen: In Irma wird die Umsetzung der festgelegten Maßnahmen geplant und nachverfolgbar dokumentiert.
  • Nachweis der Wirksamkeit und Dokumentation: Mit Irma erstellen Anwender alle notwendigen Reports zur nachweisbaren Dokumentation – ohne Zusatzaufwand.

Das Produkt Irma enthält bereits in der Basisversion immer die vier Kernfunktionen:

  • automatische Erkennung der Assets (Teilnehmer) im Netzwerk: Diese Funktion ist passiv; das bedeutet, dass kein Teilnehmer aktiv angefragt wird. Dies ist ein wichtiger Aspekt, da viele alte Geräte auf solche Abfragen sehr sensibel reagieren und neue Teilnehmer dadurch automatisch erkannt werden.
  • Das Risikomanagement unterstützt die Mitarbeiter (IT und Automatisierer) bei der Bewertung eines jeden Geräts.
  • Die grafische Darstellung des gesamten Netzwerks mit allen Querverbindungen in der Kommunikation sowie die Auswertungen zu jedem einzelnen Teilnehmer (Bild 3)
  • Alarmierung automatisiert über direkte Verbindung (zum Beispiel Potentialfreier Kontakt, SMTP) oder über ein Alarmierungssystem (z. B. AIP).

Sofort betriebsbereit
Die IT- und Betriebsverantwortlichen profitieren mit Irma von der Zeitersparnis zur Aufnahme und Inventarisierung der IT-Assets ohne wesentlichen Beratungsaufwand. Die Lösung ist schon nach einer Stunde betriebsbereit. Der geforderte Netzstrukturplan wird durch die automatisierte Erstellung im Analyseprozess wirtschaftlich aufbereitet, ist übersichtlich und jederzeit aktuell. Das integrierte Risikomanagement enthält eine strukturierte und immer aktuelle Auflistung der Risiken und festgelegten Maßnahmen je IT-Asset für den jeweiligen Anlagenverantwortlichen als Checkliste. Die ITSiG-Meldevorgaben können mit Irma optimal umgesetzt werden. Sicherheitsvorfälle werden durch die kontinuierliche Beobachtung der IT-Infrastruktur erkannt. Die Alarmierung erfolgt automatisiert. Angriffe werden erkannt; die Betriebsleitung ist damit unmittelbar und direkt handlungsfähig.
Für den Interessierten gibt es die Möglichkeit, einen Demo-Testlauf für die Anlage zu erhalten. Nach kurzer Einrichtung des Systems kann der Anwender bereits die ersten Ergebnisse seiner Anlage im Rahmen eines Workshops sichten. Bei sehr vielen dieser Testinstallationen offenbarten sich einige Überraschungen im Netzwerk. Offene Serviceschnittstellen oder sogar unbekannte Geräte im Netzwerk waren keine Seltenheit.
„Irma ist eine weitere wichtige Sicherheitskomponente innerhalb der IT-Infrastruktur unserer Leit- und Automatisierungstechnik“, äußert sich Ralph Bargmann, Bereichsleitung IT, Organisation und IT Sicherheit bei der Stadtwerke Delmenhorst GmbH, als Anwender. „Durch die kontinuierliche Überwachung haben wir die Sicherheit, dass etwaige Anomalien wie Falschkonfigurationen, Manipulationen oder Cyberangriffe, erkannt und gemeldet werden. Mithilfe von Irma stellen wir weiterhin sicher, dass sämtliche Komponenten (Assets) bekannt und damit zugelassen sind. Irma ist damit ein wesentlicher Bestandteil für den sicheren und ordnungsgemäßen Betrieb unserer Prozessleitnetze.“ (hz)

Dipl.-Ing. Dieter Barelmann ist Geschäftsführer der Videc GmbH in Bremen. DBarelmann@videc.de

Dipl.-Ing. Dieter Barelmann ist Geschäftsführer der Videc GmbH in Bremen. DBarelmann@videc.de