Einer für alle
IKT-Minimalstandard für die Trinkwasserversorgung
Mit dem Ziel, das Schutzniveau der gesamten Schweizer Wasserversorgung auf ein einheitliches Minimalniveau zu bringen, hat der Schweizerische Verein des Gas- und Wasserfachs SVGW gemeinsam mit dem Bundesamt für wirtschaftliche Landesversorgung BWL einen Minimalstandard für die Informations- und Kommunikationstechnik (IKT) in Trinkwasserversorgungen erarbeitet. Dario Walder vom BWL verschaffte uns dazu einen Überblick.
Das grosse Ganze
2012 wurde vom Bundesrat die nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) verabschiedet, um die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber IKT-Risiken zu verbessern. Im Zuge des Umsetzungsplans der Strategie wurden ab 2013 – vergleichbar mit den KRITIS-Studien in Deutschland – IKT-Risiko- und Verwundbarkeitsanalysen in 26 verschiedenen kritischen Teilsektoren durchgeführt. Im Gegensatz zu einigen EU-Ländern, in denen eine zentrale Cyberbehörde dafür geschaffen wurde, verfolgte die Schweiz die Strategie, die Analysen dezentral in den bestehenden Bundesämtern umzusetzen. Dario Walder war Projektleiter IKT-Verwundbarkeitsanalysen im BWL und zeichnete für die Analyse in der Trinkwasserversorgungsbranche verantwortlich. In einer Arbeitsgruppe des SVGW hat er mit einem Team aus Fachexperten der Wasserversorger den «IKT-Minimalstandard Wasserversorgung» erarbeitet.
Die Versorgung aufrechterhalten
Die Analysen haben aufgezeigt, dass die Abhängigkeit von IKT-Systemen in der Wasserversorgung hoch und die Digitalisierung weit fortgeschritten ist, und das Prozessleitsystem dabei das verwundbarste Glied darstellt. Die Versorgung wäre bei einem Ausfall von IKT-Systemen somit nicht mehr unter allen Umständen aufrechtzuerhalten. Davor soll der IKT-Minimalstandard schützen: «Mit unserer Branchenempfehlung wollen wir ein einheitliches Verständnis von Sicherheit in der Wasserversorgung und den Informationsaustausch zwischen Organisationen in der Branche fördern.»
«Der IKT-Minimalstandard soll ein Hilfsmittel sein, um die Informationssicherheit im Unternehmen zu evaluieren, zu beurteilen und zu verbessern.»
Mit am Entstehungsprozess beteiligt waren neben dem SVGW auch der Brunnenmeisterverband und der Verband der Wasserversorger in der Romandie (DER, l’association distributeurs d’eau romands).
Der richtige Rahmen ...
Die Basis für den IKT-Minimalstandard bildet das sogenannte Core-Framework des NIST (National Institute of Standards and Technology der USA). Dieses ist – wie auch der IT-Grundschutz des BSI oder die Standards der ISO-27000-Reihe – ein generisches Rahmenwerk, das aufzeigt wie Cyber Security in einer Organisation implementiert und gelebt werden kann. Das Framework umfasst 106 kategorisierte Aktivitäten. Jede Aktivität entspricht dabei einer konkreten Tätigkeit und kann mit dem mitgelieferten Bewertungstool beurteilt werden. «Das eine Framework ist nicht richtiger als das andere. Das NIST-Core-Framework ist unserer Meinung nach allerdings am pragmatischsten, ist flexibel einsetzbar und bietet am meisten Umsetzungshilfe.»
Im Rahmenwerk des IKT-Minimalstandards referenziert jede Aktivität zudem auf mindestes zwei weitere Standards wie ISO 27001, den BSI-IT-Grundschutz oder das COBIT-Framework. «Wenn jemand bereits mit einem anderen Standard arbeitet, kann er seine Ergebnisse einfach zuordnen und so überprüfen, ob er die Minimalvorgabe einhält. Man muss folglich die Welt nicht neu erfinden und seine Cyber Security zwingend nach NIST ausrichten.»
... für die ganze Schweiz
Ein weiterer Vorteil des NIST-Rahmenwerks ist die schweizweite Durchgängigkeit: Die Eidgenössische Finanzmarktaufsicht FINMA setzt im Banken-Sektor bereits auf NIST, auch der Verband Schweizerischer Elektrizitätsunternehmen VSE hat sich dafür entschieden. Für Querverbundunternehmen sind einheitliche IKT-Standards zudem besonders wichtig: «So bleibt das Core-Framework mit seinen generischen Ansätzen im Kern jeweils gleich. Die einzelnen Branchen erfahren lediglich eine Anpassung, wie dieser Rahmen individuell am pragmatischsten umgesetzt werden kann», erläutert Dario Walder die Vorteile des gewählten Rahmenwerks.
«Das gewählte Rahmenwerk vermeidet die Entstehung vieler verschiedener Branchenstandards, die für Querverbundsunternehmen extrem mühsam umzusetzen wären.»
Beim Verband Schweizer Abwasser- und Gewässerschutzfachleute VSA ist ebenfalls die Verankerung von NIST geplant, die Gasversorgung sowie die Lebensmittelversorgung dürften laut Walder in Zukunft ebenso auf das NIST Core-Framework setzen.
Anwendbar für alle
Bei der Entwicklung des Minimalstandards stand eine pragmatische Umsetzbarkeit für alle Arten von Versorgern im Fokus – egal ob klein oder gross. Dafür sorgt der gewählte «risikobasierte Ansatz», auf Basis dessen eine Entscheidung getroffen werden kann: «Das Schutzniveau – solange oberhalb des Minimalniveaus – wählt jeder selbst. Aktivitäten, Fokus auf Kategorien, Risikobereitschaft und der gewünschte Zielzustand werden ebenfalls vom Versorger definiert», erklärt Walder.
Neben dem Hauptteil des IKT-Standards vermitteln die fünf Anhänge nützliche Zusatzinfos – von der Cyber-Security-Theorie als Einstieg in das Thema bis hin zu konkreten Umsetzungsbeispielen als Gedankenanstösse. Das Bewertungstool erlaubt Versorgern ab 5'000 Einwohnern ein «Self-Assessment» mit Ist-Soll-Vergleich und Benchmarking. Für kleine Versorger sind im Anhang weniger umfangreiche, spezifische Empfehlungen enthalten.
Die Grenzen der Sicherheit
Auf die Schnittstellen zwischen OT (Operational Technology, Prozessleitsystem) und IT (Büroinformation) wurde bei der Entwicklung des Standards ebenfalls besonderes Augenmerk gelegt. Dario Walder zu den Erfahrungen im Projekt: «Wir haben kleine Versorger gesehen, die ihre privaten Geräte als Geschäftsgeräte nutzen und entsprechend Remote-Zugriff auf das Leitsystem haben. Und wir haben grosse Wasserversorger angetroffen, die ganz klar den Zugriff vom IT-Netz auf das OT-Netz untersagen. Dort gibt es dann auch keinen Remote-Zugriff.»
«Der eigentlich homogene Versorgungssektor ist im Detail mitunter eben doch heterogen.»
Die zu schützende Infrastruktur reicht heute zudem weiter als häufig gedacht: Durch Entwicklungen wie Smart Metering werden die Grenzen des Prozessleitsystems bis in den Privatbereich verschoben und die potenzielle Angriffsfläche somit erhöht, zeigt Dario Walder mögliche Gefahren auf: «Die Smart Meter sind eigentlich SCADA-Systeme für Privatpersonen. Man kann verschiedene Dinge auslesen, steuernd eingreifen, vielleicht sogar Dinge zerstören. Die Frage ist, wo man hier als Versorger das Sicherheitsniveau ansetzt. Genau aus solchen Gründen werden einheitliche Standards benötigt.»
Ansichtssache
Unabhängig der Grösse und Organisation der Wasserversorgung muss die Sicherheit der IKT als geschäftsrelevantes Anliegen erkannt werden, ist Dario Walder überzeugt: «Oft sind Versorger technisch stark, aber sie haben keine Strategie und Prozesse sind nicht klar definiert. Cyber Security muss von der Organisation top-down angegangen werden. Mit dem Standard geben wir die Möglichkeit, sie als normalen Geschäftsprozess in der Organisation zu implementieren, sie zu leben, zu überprüfen und kontinuierlich zu verbessern.»
Der Blick von aussen kann bei der Umsetzung oftmals durchaus hilfreich sein. Durch den Minimalstandard sind klare Definitionen vorhanden. «Dies erleichtert es Wasserversorgern auch, einen Auftrag zur Erstellung eines IKT-Sicherheitskonzepts und ebenso dessen Umsetzung extern zu vergeben. Wichtig ist dabei, dass der Berater konkret auf die IKT-Sicherheit fokussiert, die Wasserbranche gut kennt, sowie Erfahrung im Umgang mit Frameworks und idealerweise mit der Betriebstechnik hat», empfiehlt Dario Walder abschliessend.
Hinweis: Der IKT-Minimalstandard ist voraussichtlich ab Ende 2018 auf der Website des BWL sowie für Verbandsmitglieder auf der Website des SVGW einsehbar. Wer sich bereits vorab über das Rahmenwerk informieren möchte kann dies mit Hilfe des allgemeinen IKT-Minimalstandards der wirtschaftlichen Landesversorgung tun:
www.bwl.admin.ch.
