Aufrufe
vor 3 Wochen

wlb - Wasser, Luft und Boden 3/2017

wlb - Wasser, Luft und Boden 3/2017

WASSER-/ABWASSERTECHNIK

WASSER-/ABWASSERTECHNIK Vertretbarerer Aufwand Sicherheitsstandard für die Wasserwirtschaft Mit seiner Veröffentlichung im August 2017 trat der branchenspezifische Sicherheitsstandard (B3S) für den Sektor Wasser in Kraft. Er regelt die Umsetzungspflicht der Anforderungen aus §8a Abs. 1 des Bundesamt für Sicherheit in der Informationstechnik (BSI)-Gesetzes (BSIG). Als Vorbild dient u. a. eine Vorgehensweise des amerikanischen Wasser und Abwasser Verbandes (AWWA), in der sektorspezifische Anwendungsfälle definiert sind. Das zweite Fundament sind die BSI IT- Grundschutz-Kataloge, die Gefährdungen und Maßnahmen behandeln, womit die Anforderung, ein Informationssicherheits- Managementsystem (ISMS) aufzubauen, erfüllt wird. Betreibern kritischer Infrastrukturen wird zusätzlich eine Meldepflicht gegenüber dem BSI bezüglich IT-Sicherheitsvorfällen auferlegt. Die Vorgehensweise erfolgt nach dem Baustein-Prinzip: Die Unternehmen kombinieren Anwendungsfälle mit zugeordneten Gefährdungen und Maßnahmen. Die anschließende Prüfung sorgt für die Rechtssicherheit, dass die Betreiber den Gesetzesanforderungen nachgekommen sind. Das durch das IT-Sicherheitsgesetz novellierte BSI-Gesetz beinhaltet neben den Anforderungen an Betreiber einer kritischen Infrastruktur auch die Basis für die BSI- Kritisverordnung (BSI-KritisV). Diese definiert Schwellenwerte für Anlagenbetreiber, die nach dem Gesetz als Kritis gelten und verpflichtet sind, den B3S umzusetzen oder alternativ ein ISMS unter Berücksichtigung ihrer branchenspezifischen Risiken aufzubauen. Für die Abwasserbeseitigung ist die Schwelle bei einer Ausbaugröße von 500 000 Einwohnerwerten für Kläranlagen und 500 000 angeschlossene Einwohner für eine Kanalisation erreicht. Nach §8a des BSIG sind Kritis-Betreiber verpflichtet, technisch-organisatorische Maßnahmen umzusetzen, um den Stand der Technik zu erfüllen und den Betrieb der kritischen Dienstleistungen zu garantieren. Dies wird durch den Aufbau eines ISMS gewähr leistet. Die regelgebenden Verbände des Sektors, DVGW und DWA wählten den IT-Grundschutz als Basis für ihr ISMS. Kombiniert mit der Auswahl an Anwendungsfällen entsteht hiermit eine deutlich schlankere Vorgehensweise, verglichen mit der Implementierung eines ISMS nach ISO/IEC 27001:2013. Die Unternehmen wählen die auf sie zutreffenden Anwendungsfälle aus und wenden die diesen zugeordneten Gefährdungs- Maßnahmen-Bausteine an. Die Umsetzung des B3S bietet den Vorteil, dass sie mit einem wesentlich vertretbareren Aufwand durchzuführen ist. Im Gegensatz zum sehr organisatorischen ISMS nach ISO/IEC 27001:2013 stellt B3S eine schlankere und zugleich technischere Variante dar. Die Umsetzung des B3S gliedert sich in drei Komplexe: das Merkblatt, das eine Einordnung in das Regelwerk darstellt und die Grundsätze vorstellt, den IT- Sicherheits-Leitfaden, der Anwendungsfälle mit Gefährdungs- und Maßnahmenkatalogen ver knüpft sowie die abschließende Beschreibung des Prüfverfahrens zur Auditierung. Systembezogener Anwendungsbereich Für eine erfolgreiche Umsetzung des B3S ist es von großer Bedeutung, die betroffenen Systeme eindeutig zu identifizieren und von solchen Komponenten abzugrenzen, die nicht Teil des Anwendungsbereiches sind. Eine effektive Abgrenzung bietet im weiteren Verlauf einen großen Mehrwert. Ziel ist die eindeutige Identifikation und Lokalisierung eines IT-Systems, die Bestimmung der Funktion und Rolle innerhalb des Anlagenbetriebs sowie das Aufzeigen aller Abhängigkeiten. Nach ihrer Beschreibung muss für alle ITrelevanten Systeme geprüft werden, welche Möglichkeit der Beeinflussung auf den Zustand der Anlage bestehen könnte – die bloße Möglichkeit reicht aus. Es ist daher ein Inventarverzeichnis der einzelnen Komponenten aufzustellen, das neben der exakten räumlichen Einordnung auch eine Zuordnung in die relevanten Verfahren und mögliche Auswirkungen auf den Anlagenbetrieb dokumentiert. Die Anwendungsfälle beschreiben Szenarien oder IT-System-Konfigurationen und sind in die sechs Kategorien Architektur, Benutzerzugang, Netzwerkmanagement, Autoren: Heiko Rudolph, Geschäftsführer; Matthias Müller, IT-Security Consultant; beide Admeritia GmbH, Langenfeld 10 wlb 3/2017

WASSER-/ABWASSERTECHNIK Objektauswahl Liste der Anwendungsfälle Gefährdungskatalog Maßnahmenkatalog Anwendungsfallauswahl Gefährdungsbestimmung Risikobewertung Maßnahmenermittlung Zuordnung 02 Aufbau des Leitfadens Zuordnung Maßnahmenumsetzung Auditierung 01 Klarer Weg zur Auditierung Organisation, Programmzugang und SPS/ PLS Programmierung/Wartung mit einer unterschiedlichen Anzahl an Fällen unterteilt. Der Betreiber wählt aus jeder Kategorie mindestens einen passenden Anwendungsfall für seine Anlage aus. Den ausgewählten Anwendungsfällen sind die entsprechenden Gefährdungen des IT-Grundschutzes zugeordnet; jeder Gefährdung sind wiederum eine oder mehrere Maßnahmen zugeordnet. Die entstandene Liste der Gefährdungen bildet die Grundlage für die Risikoabschätzung, bei der die Eintrittswahrscheinlichkeit und der Grad der Auswirkung auf den Anlagenbetrieb bewertet werden müssen. Ihr Ergebnis dient der Priorisierung der umzusetzenden, den Gefährdungen zugeordneten Maßnahmen, die die Grundlage für den Maßnahmenplan sind. Alle Maßnahmen sind hinsichtlich ihrer Notwendigkeit und Durchführbarkeit zu prüfen und lassen sich in unterschiedliche Kategorien gliedern. Es gibt sowohl allgemeine Maßnahmen, als auch speziell Kritisrelevante Maßnahmen, beiden Kategorien sind jeweils technische und Management- Maßnahmen zugeordnet. Das BSI empfiehlt die Umsetzung der allgemeinen Maßnahmen des B3S ab 10 % des definierten Schwellenwertes, entsprechende Betreiber müssen die Kritis-relevanten Maßnahmen natürlich nicht umsetzen. Über eine Zuordnung der IT-Systeme oder einer entsprechenden Systemgruppe zu jeder Gefährdung lässt sich auch der Anwendungsbereich einer ermittelten Maßnahme bestimmen. Als Ergebnis erhält der Betreiber einen Umsetzungsplan in Form einer priorisierten Liste von umzusetzenden Maßnahmen mit einer jeweiligen Zuordnung des IT- Systems, auf das die Maßnahme anzuwenden ist. Eine Zuordnung von personellen und finanziellen Ressourcen sowie eine Terminierung der einzelnen Maßnahmen schließen die erste Phase der B3S-Umsetzung ab. Implementierung und Auditierung Bei der Operationalisierung der festgelegten Maßnahmen geht es vor allem darum, dass die Maßnahmen auf die bestehende Betriebsorganisation hin ausgerichtet und somit in der Technik verankert sind. So werden die ausgewählten Maßnahmen auf die einzelnen Assets ausgerollt und bei der Implementierung den betrieblichen Gegebenheiten angepasst. Bevor die Maßnahmen von einem Auditor Im Gegensatz zum sehr papierlastigen ISMS nach ISO/IEC 27001:2013 stellt B3S eine schlankere und zugleich technischere Variante dar. überprüft werden können, müssen eine Wirksamkeitsprüfung der implementierten Heiko Rudolph, Geschäftsführer, Admeritia GmbH Maßnahmen und gegebenenfalls notwendige Nachbesserungen erfolgen. Auch hier ist eine entsprechende Dokumentation wichtig, da sie als Grundlage für das anstehende Audit dient. Im Anschluss erfolgt die Prüfung der Maßnahmen durch einen unabhängigen Prüfer für das BSI. Die Grundlage für das hierfür durchzuführende Audit bildet dabei die zuvor ermittelte Maßnahmenliste. Hier zahlt sich eine saubere Dokumenta tion der einzelnen Prozessschritte und Entscheidungen besonders aus. Fotos: Fotolia, Admeritia www.admeritia.de wlb 3/2017 11