Digitale Sorglosigkeit?! Handlungsbedarf bei IT-Sicherheit in der Wasserversorgung

„Keine Panik, aber Handlungsbedarf“, diese Schlussfolgerung könnte aus den Ergebnissen einer Befragung zur IT-Sicherheit in der Wasserwirtschaft gezogen werden. Das Verbundprojekt Aqua-IT-Lab bietet eine maßgeschneiderte Lösung für kleine und mittelgroße Wasserversorger.

Schon im vergangenen Jahr hatte das BSI in seinem Lagebericht die Anfälligkeit von Steuerungssystemen mit internetgestützte Fernwartung hervorgehoben und die unzureichende Absicherung bemängelt. Die Branchenbefragung von Uni Potsdam und dem Marktforschungsinstitut IESK bestätigen in weiten Teilen diese „digitale Sorglosigkeit der Nutzer“.

Gesetzliche Regelung reicht nicht aus. Wasserversorger müssen handeln.

„Angesichts steigender Hackeraktivitäten wird es zukünftig immer wichtiger, das Risiko eines Ausfalls durch Cyber-Angriffe zu minimieren“, erklärt der DVGW anläßlich der Erteilung des Eignungsbescheides für den Branchenstandard einer kritischen Infrastruktur im Sinne des BSI-Gesetzes. Das IT-Sicherheitsgesetz (ITSiG) mit der KRITIS-Verordnung und dem Branchenstandard W1060 sollte für Sicherheit in der Wasserwirtschaft als kritischer Infrastruktur sorgen. Dabei könnte man meinen, dass ein Geburtsfehler vorliegt, denn nur die Großen werden direkt dem Regime des Gesetzes unterworfen. Dass dies nicht ausreicht, weil es gerade die kleinen und mittelgroßen Wasserversorger sind, die Nachholbedarf bei der IT-Sicherheit haben, war zwar von vielen vermutet worden, jetzt gibt es auch Belege dafür.

Ausgangspunkt war das Forschungsprojekt Aqua-IT-Lab unter Führung der Uni Potsdam, im Zuge dessen ein Schnelltest für kleine und mittlere Versorger entwickelt worden war. Mit Hilfe von 52 Fragen können Wasserversorger so ihre allgemeine Fitness bei der IT-Sicherheit einschätzen. Aber gibt es dafür überhaupt Bedarf? Diese Frage sollte eine Befragung durch das IESK beantworten. Wie die Ergebnisse zeigen, ist dieser zweifellos gegeben.

1.094 Stadtwerke und Wasserversorgungsunternehmen waren im vergangenen Herbst zur IT-Sicherheit befragt worden. 90 Fragebögen wurde abgegeben und konnten ausgewertet werden. Auch wenn man sich eine höhere Beteiligung hätte wünschen könne, so spiegeln die Antworten trotzdem ein repräsentatives Bild der IT-Sicherheit in der deutschen Wasserversorgung wider.

Weiterbildung in Sachen IT-Sicherheit kommt zu kurz

Für viele Unternehmen stellt IT-Sicherheit ein technisches Thema dar, nicht aber ein organisatorisches oder gar personalwirtschaftliches. Vorrangig wird auf Virenscanner, Firewalls und Sicherheit in der Steuerung geachtet, nicht aber dass es auch eines IT-Sicherheitsverantwortlichen bedarf, der das Gesamtbild im Blick hat, mithin Risiken bewertet und Maßnahmen plant. Von den befragten Wasserversorgern verfügen nur knapp zwei Drittel (68 %) über einen IT-Sicherheitsverantwortlichen, der auch die Automatisierungstechnik im Blick hat. Knapp ein Viertel (23 %) gaben an, keinen Verantwortlichen benannt zu haben. Nur Zweidrittel der Unternehmen betreiben die IT-Sicherheit strukturiert, offenbaren die Rückmeldungen aus der Befragung.

Die Mitarbeiter und das IT-Personal müssen entsprechend qualifiziert sein, um die Anforderungen der IT-Sicherheit zu erfüllen. Lediglich Dreiviertel der Unternehmen schulen neue Mitarbeiter in Sicherheitsfragen. Nur 8 % halten eine solche Einführung nicht für notwendig. Zweidrittel (66 %) der Unternehmen führen allgemeine Schulungsmaßnahmen zur IT-Sicherheit durch, rund 19 % erlauben sich einen Verzicht darauf. Bemerkenswert ist zudem, dass nur rund 50 % der Unternehmen auf die Qualifikation des IT-Personals und auf eine kontinuierliche Weiterbildung achtet. Fast jedes fünfte Unternehmen sieht keinen Weiterbildungsbedarf.

Die Ergebnisse legen nahe, dass die IT-Sicherheit in vielen Fällen als einmalige Aufgabe gesehen wird. Die kontinuierliche Weiterentwicklung der Mitarbeiter und die Befähigung im Umgang mit den neuen Bedrohungen steht für die meisten Unternehmen offenkundig nicht im Mittelpunkt.

Fast die Hälfte der Unternehmen ist unzureichend gegen Ausfälle gesichert 

Was passiert eigentlich, wenn durch einen Angriff von aussen das Steuerungssystem und kritische Komponenten ausgefallen sind oder fremdgesteuert werden? Auf diese Frage hat nahezu jedes zweite Unternehmen keine oder zumindest keine beruhigende Antwort. Es sind lediglich 54 % der teilnehmenden Wasserversorger, die eine solche Sicherung vorhalten. Die kontinuierliche Dokumentation und Aktualisierung dieser Sicherung erfolgt bei 85 % dieser Unternehmen. Bei 11 % der Befragten existiert eine solche Sicherung nicht. Ein erfolgreicher Angriff hätte weitreichende Folgen. Eine derart wichtige und kritische Infrastruktur wie die Wasserversorgung sollte mit qualifiziertem Personal und zielgerichteten Backup-Systemen betrieben werden. Dies gilt nicht nur für die großen, sondern auch für kleine und mittlere Versorger, denn im Zweifel sind diese wegen der unzureichenden Sicherung attraktivere Ziele

Penetrationstest im Aqua-IT-Lab offenbart die Schwachstellen

Obschon die Befragungsergebnisse kaum Zweifel am Handlungsbedarf aufkommen lassen, zeigte ein Penetrationstest anläßlich des „Workshops zur IT-Sicherheit in der Wasserversorgung“, in dem die Befragungsergebnisse vorgestellt worden sind, wo die Unzulänglichkeiten liegen. Zu dem Workshop, an dem ich teilnehmen konnte, hatte das Aqua-IT-Lab am 28.11.2017 nach Potsdam eingeladen. Dr. Christoph Thim, Leiter des Aqua-IT-Lab, und seine Mitarbeiter demonstrierten am Beispiel eines unzureichend gesicherten süddeutschen Wasserversorgers, wie leicht es hätte sein können, auf dessen Versorgungssystem zuzugreifen. Wie die Befragungsergebnisse befürchten lassen, war dies zwar womöglich in dieser Dimension ein Einzelfall, partielle Schwachstellen scheinen aber nicht selten.

Dr. Christof Thim

Dr Christof Thim im Workshop „IT-Sicherheit in der Wasserversorgung“ (Foto: Gendries)

Verbundprojekt liefert maßgeschneiderte Lösungen für mittelgroße Wasserversorger

Genau an diesen Schwachstellen setzt das Verbundprojekt AQUA-IT-Lab (Labor für IT-Sicherheit bei Wasserversorgern) an. Mit Hilfe des Projektes wurden neue Lösungsansätze speziell für kleine und mittlere Betreiber kritischer Infrastrukturen entwickelt. Für mittlere Betreiber wurde im Labormaßstab eine Testumgebung mit einer Kombination von typischen Computer-, Leit- und Steuerungssystemen eingerichtet. Simulationsprogramme erlauben dabei eine genaue Untersuchung und detaillierte Sicherheitstests, ohne in den laufenden Betrieb der Anlagen eingreifen zu müssen. Aus den so gewonnenen Einsichten können angepasste, ressourcenschonende und ganzheitliche Maßnahmenpakete für eine Verbesserung der IT-Sicherheit bei den Betreibern abgeleitet werden. Die Maßnahmen decken neben technischen auch organisatorische und personelle Aspekte des Risikomanagements ab. Den individuellen Anforderungen der Anlagenbetreiber entsprechend wird die Komplexität der Maßnahmen den jeweiligen Rahmenbedingungen angepasst. Das Verbundprojekt liefert somit maßgeschneiderte Lösungen für mittelgroße Wasserversorger.

Empfehlung: IT-Sicherheit und Risikomanagement als Kooperationsmodell

Kleine und mittelgroße Versorger entschuldigen ihr unzureichendes IT-Sicherheits- und Risikomanagement mit fehlenden Ressourcen. Das AQUA-IT-Lab bietet hier eine wertvolle Hilfestellung nicht nur um Hinblick auf das erforderliche Know-how, sondern auch dank des zugrunde liegenden Kooperationsansatzes. Hier könnten sich mehrere Versorger zu einem IT-Sicherheitsverbund zusammen schließen und somit die Potsdamer Kompetenzen und die Testumgebung für IT-Sicherheitsanalysen gemeinsam nutzen. Mit einem Pilotprojekt, möglicherweise finanziert durch öffentliche Mittel einer Landesregierung, könnten derartige Kooperationsprojekte auf den Weg gebracht werden. Vielen kleinen und mittleren Wasserversorgern scheint die Sensibilität und das erforderliche Know-how für die Erfüllung Anforderungen an die IT-Sicherheit und Risikominimierung zu fehlen. Es liegt im Interesse aller Nutzer der kritischen Infrastruktur Wasser, dass derartige „Blindflüge“ der Vergangenheit angehören.

Aufschlussreicher Artikel zu dem Thema auch hier in der wwt

Was meinen Sie dazu?

This site uses Akismet to reduce spam. Learn how your comment data is processed.