IT-Sicherheitsgesetz und Branchenstandards sollen Wasserversorgung schützen

Die sich verschärfende Terrorgefahr ruft die Anfälligkeit der Infrastrukturen ins Bewusstsein. Diese so genannten „Kritischen Infrastrukturen“, wozu auch Energieversorgung und Wasserversorgung zählen, sind die elementaren Lebensadern unserer Gesellschaft. Im Kern basieren sie auf IT-gestützten Informationswegen. Diese gilt es daher vor Angriffen zu schützen. Ihr Schutz wird auch als gesamtgesellschaftliche Aufgabe verstanden. In dem Maße wie Digitalisierung und Vernetzung die Funktionalität und Effizienz von technischen Anlagen steigern, nimmt deren Gefährdung zu. Deshalb ist am 25. Juni 2015 das IT-Sicherheitsgesetz in Kraft getreten, das auch die vermehrt in der Wasserversorgung zum Einsatz kommende IT schützen soll. Die konkrete Umsetzung wird eine Rechtsverordnung regeln, die für März 2016 angekündigt worden ist. Begleitend dazu erarbeiten Wasserversorgungsexperten verbindliche Branchenstandards.

Was soll gesichert werden?
Die Wasserwirtschaft ist von einem stetig zunehmenden Einsatz der Informationstechnik und Telekommunikation geprägt. Die Automatisierung von Abläufen durch die Vernetzung von IT-Systemen trägt unter anderem zur verlässlich hohen Trinkwasserqualität sowie -verfügbarkeit bei. Die Digitalisierung gewinnt auch in dieser Branche an Anwendungstiefe. So kann durch Einsatz von Informationstechnik der Einsatz der zur Trinkwasseraufbereitung benötigten biologischen oder chemischen Substanzen punktgenau und bedarfsgerecht gesteuert werden. Diese Präzision wäre mit manueller Steuerung nicht zu erreichen. Die IT-Unterstützung führt zudem zur Verbesserung der betrieblichen Effizienz. Dezentrale und zentrale Anlagen werden von immer weniger Leitstellen aus steuerbar und kontrollierbar. Dazu bedient man sich der Anbindung der einzelnen Systeme über das Internet. Fernwartung erhöht die Flexibilität und Reaktionsgeschwindigkeit. Zwar führt dies zu einer Optimierung der Kosten und der Leistungsfähigkeit, der zunehmende Einsatz von IT bedeutet jedoch auch, dass die schon bestehende Abhängigkeit von der Informations- und Kommunikationstechnik weiter steigen wird. Gleichzeitig nimmt auch die potenzielle Angreifbarkeit durch Hacker-Attacken zu. Dagegen soll Vorsorge betrieben werden.

Was zählt zu den Kritischen Infrastrukturen?
Das IT-Sicherheitsgesetz soll als Vorsorge- und Meldesystem die Sicherheit Kritischer Infrastrukturen erhöhen. Mit seinem Inkrafttreten greifen bereits unmittelbar Pflichten zur Meldung erheblicher IT-Sicherheitsvorfälle. Diese beschränken sich aber zunächst noch auf die Betreiber von Kernkraftwerken und die Telekommunikationsunternehmen. Für Wasserversorger gilt die Meldepflicht dagegen erst dann, wenn die Rechtsverordnung greift, die zurzeit im Bundesinnenministerium vorbereitet wird. Daher warten jetzt viele potenziell von dem Gesetz betroffene Betreiber Kritischer Wasser-Infrastrukturen auf den Erlass der Rechtsverordnung (BSI-KritisV). Diese Verordnung wurde vom Referenten des Bundesinnenministeriums, Dr. Michael Pilgermann, bei der WAT 2016 in Essen für Mitte März 2016 in Aussicht gestellt. Sie konkretisiert das Gesetz und legt fest, welche Unternehmen im Sinne des Gesetzes überhaupt zu den Kritischen Infrastrukturen zählen. Denn nicht jedes der 6.500 Wasserversorgungsunternehmen gilt als Kritische Infrastruktur“. Jens Federn, Leiter Wasserversorgung der Berliner Wasserbetriebe erklärte in seinem Vortrag auf der WAT, dass schon wegen ihrer Bedeutung etwa 40 große Wasserversorger sich auf die Regeln vorbereiten könnten. Um das weiter zu präzisieren, sollen messbare Kriterien wie beispielsweise den Marktanteil an der Versorgung einer bestimmten Region mit einer bestimmten Leistung zugrunde gelegt werden. Wer als Wasserversorger dann diese Kriterien erfüllt, betreibt eine Kritische Infrastruktur im Sinne des Gesetzes. Der Gesetzesbegründung zufolge ist von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den regulierten sieben Sektoren auszugehen. Wie viele es bei Wasser sein werden, muss sich noch zeigen. Vermutlich werden es nicht mehr als 200 Wasserversorger sein. Denn Pilgermann beantwortete meine Nachfrage auf seinem Vortrag bei der WAT, warum denn nur die großen Versorger Kritische Infrastrukturen beitreiben würden, dass es um die Nationale Dimension gehe. Meine Schlussfolgerung, dass Regelungen auf Ebene der Bundesländer später auch kleinere Versorger erfassen könnten, wollte er ausdrücklich nicht verneinen.

Welche Auswirkungen hat das Gesetz für die Wasserversorgungsbranche?
Das Gesetz sieht ausdrücklich Mitwirkungsmöglichkeiten der Branche Wasser/Abwasser bezüglich der Entwicklung und Implementierung von IT- Branchenstandards vor. Dr. Pilgermann brachte es auf der WAT wie folgt auf den Punkt: „Das ‚was‘ regelt das Gesetz, das ‚wie‘ die Branche“. Daher arbeiten die Verbände der Trinkwasser- und Abwasserunternehmen aktiv mit dem BSI zusammen, um einen entsprechenden Branchenstandard zu entwickeln und diesen dann in branchenweit geltenden Regelwerken zu verankern. Ziel dabei ist eine für alle Trinkwasser- und Abwasserunternehmen unabhängig von ihrer Größe einfach anwendbare Verfahrensweisen für spezifische IT-Anwendungsfälle. Zudem soll der Branchenstandard als „Stand der Technik“ (Regelwerk) verbindliche Regeln zur Erfüllung der Berichts- und Nachweispflichten gegenüber dem BSI beinhalten. Die im IT-Sicherheitsgesetz formulierten Ziele für die Betreiber Kritischer Infrastrukturen können nur mit ordnungsgemäßem und sicherem IT-Einsatz erreicht werden. Somit werden sich die Betreiber sehr zeitnah mit dem Auffinden kritischer Geschäftsprozesse und der zugehörigen IT-Systeme befassen müssen. Wenngleich sich dieses Erfordernis eigentlich nicht erst aus dem IT-Sicherheitsgesetz ableiten lassen sollte. Diese kritischen Prozesse sollen besonders geschützt werden.

Dr. Michael Pilgermann, Bundesministerium des Innern, WAT, Essen
Dr. Michael Pilgermann, Bundesministerium des Innern, wat, Essen 27.10.2015

Wie geht es weiter?
Nach Erlass der Rechtsverordnung haben die Unternehmen, die unter den Geltungsbereich des Gesetzes fallen, einen zweijährigen Übergangszeitraum (bis März 2018), um sich auf die Bedingungen einzustellen.

Aber auch jene, die nicht unter die Verordnung fallen, sollten sich nicht entspannt zurück lehnen. Auch für sie wird es ratsam sein, sich mit den Anforderungen auseinander zu setzen und für ihr Unternehmen zu prüfen, inwieweit ihre Systeme den Schutzanforderungen genügen und gegen Angriffe gerüstet sind. Sicherheit ist keine Frage der Unternehmensgröße, sondern der Organisation und der Schutzprofile. Aus diesem Grund empfiehlt es sich für die vorausschauenden Versorger, selbstkritische Bestandsaufnahmen durchzuführen, in dem zunächst einmal der Status Quo der Sicherheit ermittelt wird. Wer hierfür Berater einbeziehen will, wird sich sputen müssen, denn auch das ist eine Folge des IT-Sicherheitsgesetzes: Es entsteht nicht nur ein völlig neues Beratungs- und Zertifizierungsfeld, die Nachfrage wird nach Erlass der Rechtsverordnung und Festlegung der Regelwerke schneller wachsen, als das Angebot nachkommen kann. Spätstarter könnten dann zu spät kommen. Wer Handlungsbedarf nicht ausschliessen kann, sollte nicht auf den Verordnungsgeber warten….

Vortrag von Dr. Michael Pilgermann 20151027 Michael Pilgermann – WAT
Weitere Informationen bei der Geschäftsstelle des UP KRITIS im BSI: www.upkritis.de

 

 

1 Trackback / Pingback

  1. Joerg Barandat – WATERINTAKE 07/2015 Oktober – November – Dezember 2015 | Massenbach-Letter

Was meinen Sie dazu?

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.