Nr. 8 - 22. August 2022
IT-Sicherheit in der Wasserver- sorgung – Wasserversorgung Altenkunstadt als Vorreiter
Am 26.07.2022 widmete sich die Wasserversorgung der Gemein- de Altenkunstadt ganz dem Thema IT-Sicherheit. Dazu waren aus Nürnberg Mitarbeiter des Landesamts für Sicherheit in der Informationstechnik (LSI) angereist. Initiiert hatte den Termin das Planungsbüro PfK Ansbach GmbH, das für die Wasserver- sorgung der Gemeinde Altenkunstadt tätig ist und insbesondere auch Wert auf ein hohes Niveau an „Informationssicherheit/ Datensicherheit“ bei Planung und Realisierung von Trinkwas- serversorgungsanlagen legt.
Wie verhindert werden kann, dass sich Hacker aus dem Internet Zugriff auf sogenannte „kritische Infrastrukturen (KRITIS)“ ver- schaffen – zu solchen Fragestellungen berät das LSI öffentliche Unternehmen in Bayern. Kritische Infrastrukturen stellen – so kann man durchaus sagen - die Lebensadern unserer Gesellschaft dar: eine funktionierende Versorgung z. B. mit Trinkwasser, Strom, Gas, Heizöl, Internet und Telefon, die medizinische Versorgung, die Versorgung mit Nahrungsmitteln brauchen wir als Gemeinschaft und als einzelne Menschen für unser tägliches Wohlergehen. Damit Angreifer aus dem Internet zukünftig kaum Chancen haben, z.B. über zielgerichtete Angriffe die Trinkwas- serversorgung zu beeinträchtigen, hat das LSI u.a. eine Checkliste „IT-Sicherheit in der Trinkwasserversorgung“ zur Umsetzung in den Versorgungsunternehmen entwickelt. Anhand dieser „Checkliste zur Mindestabsicherung“ können Wasserversorger prüfen, ob die vom LSI empfohlenen Absicherungsmaßnahmen bereits umgesetzt sind.
Schließlich geht es auch darum, derartige Vorfälle - wie im Februar letzten Jahres in einer Wasseraufbereitungsanlage in Oldsmar in Florida geschehen - von vorneherein möglichst zu verhindern. Dort gelang es einem Hacker unter Ausnutzung der unzureichenden IT-Sicherheitsmaßnahmen, sich Zugriff auf die Steuerungsanlage der Wasseraufbereitung zu verschaffen. Von der Ferne aus war es dem Angreifer gelungen, sich Zugang zum zentralen Steuerungsrechner zu verschaffen und einen elektroni- schen Regler, über den die Menge der dort eingesetzten Aufbe- reitungschemikalie Natriumhydroxid gesteuert wird, auf einen über 100-fachen Wert zu verstellen. Nur die schnelle Reaktion eines Bedieners vor dem Steuerpult vor Ort hatte Schlimmeres verhindern können.
Moderne Wasserversorgungsanlagen werden auch in Deutsch- land mit nicht zu unterschätzendem Aufwand voll automatisch betrieben, so dass dem Bürger zu jeder Zeit Wasser in Trink- wasserqualität zur Verfügung gestellt werden kann. Die ver- schiedenen technischen Anlagen zur Gewinnung, Aufbereitung, Speicherung und Verteilung des Trinkwassers befinden sich an mehreren Standorten und kommunizieren untereinander. Es gilt zu verhindern, dass Betriebsdaten der Wasserversorgung von Unbefugten eingesehen, verfälscht oder die Steuerung der An- lage in sonstiger Weise manipuliert werden kann. Das Thema ist aktueller denn je, so hat etwa auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) explizit auf die Bedrohungslage für die kritische Infrastruktur, zu der auch die Wasserversorger gehören, hingewiesen.
Auf Einladung von Herrn André Leidner, der als Wassermeister die „Trinkwasserversorgung Altenkunstadt“ hauptsächlich plant, steuert und betreibt, wurde nun im Rahmen eines Workshops einen Tag lang die Struktur der informationstechnischen Anlagen durchleuchtet, Geräte und Einstellungen geprüft sowie Maßnah- menpläne für Schadensereignisse besprochen. Dabei kam man durch die tatkräftige Unterstützung der Fa. G+T Automation GmbH und der Fa. Compu-House GmbH zügig voran. Die bei- den Firmen haben die elektrischen Anlagen und die IT-Anlagen in der Wasserversorgung errichtet und sind zudem seit Jahren zuverlässige Servicepartner der Wasserversorgung Altenkunstadt. Im Ergebnis kann Wassermeister Leidner zufrieden sein, die Gemeinde hat im Punkto IT-Sicherheit bereits vorbildlich viele Sicherheitsmechanismen abgedeckt.
„So einen IT-Sicherheitscheck anhand der LSI-Checkliste, auf Wunsch mit Unterstützung des LSI, kann ich anderen Trinkwas- serversorgern nur empfehlen – das LSI berät auf Augenhöhe und steht bei allen aufkommenden Fragen beratend zur Seite. Gut war bei dem Workshop vor allem auch, dass wir als Wasserversorger unsere Dienstleister gleich mit einbezogen hatten. Diese konnten die speziellen technischen Fragen aus der Mindestcheckliste zum Grad der bereits getätigten Umsetzung der empfohlenen Maßnahmen vor Ort detailliert beantworten und für mich doku- mentieren.“, so Leidner.
Die LSI-Checkliste „Mindestabsicherung“ wurde durch die Mitwirkung von rund zwanzig Trinkwasserversorger aus Bay- ern, dem Landesamt für Umwelt und von PfK Ansbach von den IT-Sicherheitsexperten des LSI praxisnah und gut umsetzbar gestaltet. Ein direkter Download über die LSI-Webseite https:// lsi.bayern.de ist möglich.
Auch Herr Dr. Lenz von der Bayerischen Verwaltungsschule, an der die Wasserfachkräfte und Wassermeister ausgebildet werden, hatte an dem Workshop mit teilgenommen. Herr Dr. Lenz, als Leiter des Geschäftsbereiches Umwelt und Technik, wollte sich selbst ein Bild machen, damit zukünftig neue Bildungsinhalte zur Informationssicherheit zielgerichtet einfließen können.
Das Team „IT-Sicherheit“ von links nach rechts, oben nach unten: Herr Schröter (LSI), Herr Wich (Fa. Compu-House GmbH, Weis- main), Frau Dr. Benda (LSI), Herr Sänger (Fa. G+T Automation GmbH, Schwarzenbruck), Herr Regnet (LSI), Frau Scheda (PfK Ansbach GmbH), Herr Weigand (LSI), Herr Dr. Lenz (BVS), Herr Leidner (Wassermeister Altenkunstadt)
Amtliche Mitteilungen 9