70 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Die Infrastrukturen der Wasserversorgung und Abwasserbeseitigung gehören entsprechend dem IT-Sicherheitsgesetz zu den „Kritischen Infrastrukturen“, die aufgrund ihres Beitrags zur Daseinsvorsorge besonders zu schützen sind. Dies wird in der Debatte um „Wasser 4.0.“ bzw. „Wasserwirtschaft 4.0“ wenig reflektiert. In Anlehnung an „Industrie 4.0“ diskutiert die Branche unter diesen Schlagworten Ansätze zur Transformation hin zu vernetzten, automatisierten und zukunftsfähigen Systemen mit stärkerer Kundenorientierung und besserer Vernetzung innerhalb der Wertschöpfungskette [1, 2]. Dafür wird ein ganzheitlicher Ansatz aus intelligenten Versorgungsnetzen, sogenannten „Smart Grids“, gemeinsam mit einem „Internet of Things and Services“ (IoT) zur Bereitstellung und Analyse von Daten, und „Cyber-Physical-Systems“ (CPS) für erforderlich gehalten [2]. CPS sind komplexe internetbasierte Datenkommunikationssysteme, die virtuelle und reale Wassersysteme vernetzen und damit Echtzeit- Monitoring sowie Vorhersagemodelle von Produktions-, Frühwarn- und Entscheidungsprozessen in Bau und Betrieb ermöglichen, was Risiken reduzieren und Kosten vermindern kann [2]. Erwartet werden qualitative Ressourcen- und Prozessoptimierung sowie ein verbessertes Daten- und Schnittstellenmanagement [3]. Trotz einer grundsätzlichen Bereitschaft digitalisiert die Siedlungswasserwirtschaft in Deutschland bisher in moderatem Tempo. Sie erzielte einen weit unterdurchschnittlichen Wert ihres Umsatzes mit digitalisierten Produkten; 16- % der Betriebe verfügten 2017 noch über keine digitalisierten Angebote [4]. Die Veränderung hin zu digitalisierten Systemen hat erhebliche Auswirkungen auf den Personalstamm: Die erforderlichen neuen Qualifikationen erzeugen einen Mangel an internem Fachpersonal, zumal dessen Weiterbildung während des Ge- Digitalisierung als Herausforderung Die Vulnerabilität Kritischer Infrastrukturen in der Siedlungswasserwirtschaft IT-Sicherheit, Vulnerabilität, Wasserinfrastruktur, Industrie 4.0, Smart Grids Martin Zimmermann, Engelbert Schramm Intelligente Mess- und Regelsysteme bieten die Chance, schneller und angemessener auf außergewöhnliche Ereignisse reagieren zu können. Auch sonst erlaubt Digitalisierung der Siedlungswasserwirtschaft, aktuelle und künftige Zielsetzungen besser anzugehen. Allerdings machen sich Unternehmen, die diese Strategie verfolgen, zugleich anfällig für Cyber- Angriffe. Eine Verletzlichkeit ist dabei für die Wasserversorgung und die Abwasserbeseitigung in unterschiedlicher Weise gegeben. Die Politik ignoriert noch Sicherheitslücken, die bei kleineren Unternehmen bestehen. © Gerd Altmann auf Pixabay THEMA Urbane Netze 71 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze schäftsbetriebs zeitaufwändig ist. Der Einfluss branchenfremder qualifizierter Akteure hat wiederum Auswirkungen auf Unternehmensabläufe und das Arbeitsklima [3, 5]. Insgesamt erfordern Smart Grids usw. einen hohen Investitionsbedarf und Zeitaufwand [4]. Getrennt davon verläuft die Debatte zur Cybersicherheit der Branche [6]. Dort liegt der Schwerpunkt derzeit auf den Operativen Technologien (OT) in den industriellen Netzen der Unternehmen, also der Prozessleit- und Automatisierungstechnik [7, 8]. Die für administrative und organisatorische Aufgaben vorgesehenen Büro-Netze der Unternehmen und allgemeinen IT-Verbindungen (zum Beispiel für den Kundenverkehr, aber auch für Heimarbeitsplätze über „Virtual Private Networks“ (VPN) oder für Telefon-/ Videokonferenzanlagen) werden nur insoweit berücksichtigt, wie von ihnen Gefährdungen ausgehen können [9, 10]. Analyse vulnerabler Systembestandteile und Gefährdungen Konzeptueller Rahmen und Vorgehen Vulnerabilität bedeutet, dass von der Infrastruktur bereitgestellte Funktionen gemindert werden oder ausfallen, wodurch die Ver- und Entsorgung der Bevölkerung nicht mehr gewährleistet ist [11]. Vulnerabilität setzt sich zumeist aus den drei Komponenten Exposition, Anfälligkeit und Bewältigungskapazität (bzw. Resilienz) zusammen [12], wobei sich die Exposition darauf bezieht, dass Schutzgüter (zum Beispiel Bestandteile der Wasserinfrastruktur) einer Gefährdung räumlich und zeitlich ausgesetzt sind [13]. Anfälligkeit bedeutet, dass ein derart gefährdetes Schutzgut in seiner Funktionsfähigkeit beeinträchtigt wird [14]. Die Bewältigungskapazität beschreibt schließlich die verfügbaren Optionen, die negativen Auswirkungen einer Gefährdung zu kompensieren [15, 16]. Zur Analyse der Vulnerabilität können Verfahren wie die von Krings [17] entwickelte Heuristik herangezogen werden (Bild 1). Dort wird die Anfälligkeit technischer Systemkomponenten fünf Vulnerabilitätsklassen zugeordnet. Dabei können in einer Vulnerabilitätsmatrix nicht nur die Vulnerabilitäten gegenüber Gefährdungen ermittelt, sondern auch die Auswirkungen des Ausfalls von Systemkomponenten auf die Vulnerabilität anderer Systemkomponenten. Um das Verfahren auf das Thema der IT-Sicherheit in der Siedlungswasserwirtschaft übertragen zu können, wird das analysierte System in sinnvolle funktionale technische Einheiten zerlegt [18]; zudem müssen relevante Cybergefährdungen definiert werden. Vulnerable Systembestandteile der Siedlungswasserwirtschaft Zu den oben erwähnten OT-Systemen gehört die Mess-, Steuerungs- und Regelungstechnik (MSR) zur Überwachung und Steuerung technischer Prozesse mittels Computer-Systemen (SCADA, Supervisory Festlegen eines Szenarios Teilprozess/ Komponente Exposition? Funktionsanfälligkeit? Ersetzbarkeit(I)? (technisch) I II III IV V p osit sanf sanf bark Ja Ja chnis Ja, teilweise V Nein IV Ersetzbarkeit(II)? (organisatorisch) I III Ja Ja Nein Nein Ja, vollständig Nein Nein Verwundbarkeit 1. Schritt 2. Schritt 3. Schritt 4. Schritt 5. Schritt 6. Schritt Ersetzbarkeit(II)? (organisatorisch) Bild 1: Heuristik zur Vulnerabilitätsanalyse. © Zimmermann (verändert nach [17]) THEMA Urbane Netze 72 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Control and Data Acquisition). In dieser Hinsicht unterscheiden sich Wasserversorgung und Abwasserbeseitigung nicht grundsätzlich. OT-Systeme werden hier zum Beispiel zur Steuerung von Ventilen, Schiebern, Pumpen und Aufbereitungsprozessen sowie zur Regelung und Überwachung von Prozesswerten wie beispielsweise Druck und Durchfluss eingesetzt. Händische Regelung ersetzend werden sie so zu einer entscheidenden Komponente der Wasserinfrastruktur. Dabei müssen die Systeme zur Echtzeitverarbeitung in der Lage sein und mit hoher Zuverlässigkeit und Verfügbarkeit arbeiten. OT- Systeme nutz(t)en im Unterschied zur IT daher oft andere, proprietäre Kommunikationsprotokolle und Standards. Außerdem trugen die Abgeschlossenheit von OT-Systemen (geschlossene bzw. gekapselte Systeme) und deren damit verbundene Unfähigkeit, PC-basierte Malware auszuführen, maßgeblich zu deren Sicherheit bei. Dadurch, dass die Erreichung funktionaler Ziele im Vordergrund stand, wurden OT-Komponenten oft ohne Berücksichtigung grundlegender IT-Sicherheitsanforderungen konzipiert und eingerichtet. In jüngster Zeit werden jedoch auch IT-Standard- Netzwerkprotokolle in OT-Systemen eingesetzt, um die Kompatibilität zwischen OT und IT zu erhöhen. Zudem soll die Verknüpfung von IT, OT und Kommunikationsinfrastruktur den Betreibern von Wasserversorgungs- und Abwasserbeseitigungsanlagen die Fernsteuerung und Fernüberwachung ihrer Prozesse ermöglichen. Dies kann zu einer Verringerung der Sicherheit von OT-Systemen und der damit gesteuerten und überwachten siedlungswasserwirtschaftlichen Infrastrukturen führen (vgl. Beispiel Stuxnet, [19]). OT-Systemen kommt damit eine entscheidende Bedeutung für die Verwundbarkeit der Kritischen Infrastruktur Siedlungswasserwirtschaft zu. IT-Angriffe oder Manipulationsversuche werden mit hoher Wahrscheinlichkeit auf ebendiese Systeme ausgerichtet sein und können zu vorübergehenden Funktionsstörungen einzelner Komponenten bis hin zum Totalausfall der Wasserver- oder -entsorgung führen. Zu den vulnerablen Bestandteilen der Wasserversorgung gehören die Bereiche Wassergewinnung, Wasseraufbereitung und Wasserverteilung, zu denen der Abwasserbeseitigung die Bereiche Entwässerung, Abwasser- und Klärschlammbehandlung sowie Wasserausleitung [6]. In allen Bereichen sind IT-basierte Manipulationsversuche grundsätzlich möglich, wobei in Konsequenz unterschiedliche Schutzgüter (Gesellschaft, Natur) in verschiedenen räumlichen und zeitlichen Ausmaßen gefährdet sein können. Naheliegend wäre zunächst der Fall, dass die Rohwassergewinnung aus Grundwasser, Seen oder Talsperren, seltener direkt aus Fließgewässern kompromittiert wird, was entsprechende Folgen für die Aufbereitung (zum Beispiel: Trockenfallen von Filtern) und Verteilung hätte. In Bezug auf die Wasseraufbereitung im Wasserwerk sind prinzipiell sämtliche Aufbereitungsprozesse (zum Beispiel Belüftung, Filtration, Enteisenung, Entmanganung, Desinfektion) durch Cyberattacken angreifbar, wodurch abhängig von der Wasserspeicherung die Versorgungssicherheit mengenmäßig oder qualitativ betroffen sein kann. Im Bereich der Wasserverteilung können sich abgesehen vom Ausfall von Pumpen zur Erhaltung des Versorgungsdrucks auch Störungen von derzeit in der Siedlungswasserwirtschaft noch nicht weit verbreiteten Smart Grids ergeben, insbesondere mit Blick auf Aspekte der Netzsteuerung, des Demand Managements oder des Datenschutzes. Innerhalb der öffentlichen Wasserversorgung sind auch gezielte Cyberattacken auf spezifische Branchen oder begrenzte Gebiete vorstellbar, wie zum Beispiel Finanzdistrikte oder Internetknoten. Eine andere Bedrohungslage ergibt sich abgesehen davon, wenn beispielsweise mehrere oder sämtliche Wasserwerke eines Landes einer Cyber-Attacke unterliegen. In Bezug auf die Abwasserbeseitigung sind Gefährdungen der Natur unter Cybersicherheitsaspekten als größer zu erachten als solche für die Gesellschaft, zum Beispiel wenn Abwasser im Falle des Ausfalls der Reinigungsanlage unbehandelt in den Vorfluter abläuft [20]. Aufgrund der Schwerkraft fließt Schmutzwasser in der Schwemmkanalisation ohne äußeren Energieeintrag wenn nicht bis zur Kläranlage, doch zumindest bis zur nächsten Pumpstation, die damit einen neuralgischen Punkt darstellt. Im schlimmsten Fall kommt es hier zu einem Rückstau des Schmutzwassers bis in die Wohnungen. IT-Gefährdungsszenarien für die Siedlungswasserwirtschaft In Bezug auf IT-Sicherheit können für die Siedlungswasserwirtschaft bewusst herbeigeführte Gefahren (durch Kriminelle, Terroristen, aber auch Hacker oder Saboteure, vgl. [20]) von technischem und menschlichem Versagen unterschieden werden. Letztere können ein Einfallstor für beabsichtigte Attacken darstellen, indem zum Beispiel auf Nachlässigkeiten des Betriebspersonals spekuliert wird oder Fehler bewusst provoziert werden (unter anderem: ungenügende Zugriffskontrolle, Einschleppen von Schadsoftware). 73 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Bedingt durch die Abhängigkeit der vulnerablen siedlungswasserwirtschaftlichen Systembestandteile von der Stromversorgung und IT-Netzen stellt deren Ausfall ein weiteres Gefährdungsszenario dar [15]. Die Auswirkungen eines durch einen Cyber- Angriff bedingten Stromausfalls kann zum Teil, aber nicht vollständig und nur vorübergehend durch Notstromaggregate (zum Beispiel zum Betreiben von Pumpen) abgefangen werden. Regulierungsbedarf Das IT-Sicherheitsgesetz machte 2015 das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur nationalen Behörde für Cybersicherheit. Konkretisierende Rechtsverordnungen haben den Betreibern Kritischer Infrastrukturen Kriterien zur Bewertung ihrer Anlagen an die Hand gegeben, die allein auf die Anlagengröße bezogen sind: Anlagen der Trinkwasserversorgung gehören bei mehr als 22 Mio. m³ jährlich verarbeiteter Wassermenge zur Schutzbedarfskategorie „hoch“; ähnlich gilt das, wenn 500 000 Einwohner an eine Anlage der Abwasserbeseitigung angeschlossen sind. Dann müssen branchenspezifische Mindeststandards erfüllt werden, ein Information Security Management System eingeführt werden und der zuständige IT-Sicherheitsbeauftragte muss relevante Vorfälle an das Bundesamt melden. Aufgrund der gewählten Größenordnung hat nur ein kleiner Teil der Branche in Deutschland nachzuweisen, dass die Informationssicherheit zum Schutz der betriebenen Kritischen Infrastruktur sichergestellt wird. Bisher zählen zu den Kritischen Infrastrukturen die folgenden Branchen: Energie, Gesundheit, Ernährung, Wasser/ Abwasser, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Staat und Verwaltung sowie Medien und Kultur. Aus allen diesen Branchen mussten sich bisher nur 300 Unternehmen bei der BSI registrieren. Betroffen von Cyberangriffen sind bisher vor allem die Bereiche IT und Telekommunikation sowie Energie [9]. Die Politik konzentriert sich fatalerweise auf die großen Betreiber. Gerade in Deutschland ist die Siedlungswasserwirtschaft sehr stark kommunal orientiert, so dass kleine und mittlere Unternehmen dominieren, teilweise auch in Agglomerationsräumen. Daher sollte das Schutzniveau der Kritischen Infrastrukturen keinesfalls von der Größe des Unternehmens abhängig sein. Wie die Sektor-Studie [6] feststellt, ist gerade diese Größenordnung der Betreiber aufgrund der Sicherheitsarchitektur besonders anfällig. Die technisch-wissenschaftlichen Fachverbände DVGW und DWA empfehlen den Betreibern kleinerer Anlagen, „sich ebenfalls ihrer Verpflichtung gegenüber der Bevölkerung bewusst zu sein“ und beispielsweise den von den Verbänden für die Branche entwickelten Sicherheitsstandard B3S WA freiwillig anzuwenden [21]. Eine Befragung hat ergeben, dass IT-Sicherheit für viele der kleinen und mittleren Wasserversorger ein technisches Thema ist, aber kein organisatorisches oder gar personalwirtschaftliches [22]. Vorrangig wird auf Virenscanner, Firewalls und Sicherheit in der Steuerung gesetzt, nicht aber ein IT-Sicherheitsverantwortlicher eingesetzt, damit der die speziellen Risiken bewertet und Maßnahmen ganzheitlich plant. Nur 68 % der Unternehmen haben einen IT- Sicherheitsverantwortlichen, der auch die Automatisierungstechnik im Blick hat [23, 22]. Mit der anstehenden Novellierung des IT- Sicherheitsgesetzes bestünde die Möglichkeit, hier nachzubessern. Leider ist das bisher nicht in der Diskussion [24]. Nach dem Gesetzentwurf müssen Betreiber Kritischer Infrastrukturen künftig Systeme der Angriffserkennung betreiben. Ein „Intrusion Detection System“, wie es allerdings viele große Betreiber ohnehin bereits als selbstverständlichen Teil ihrer IT-Sicherheit haben, um illegale Eindringlinge aufzuspüren, wird Pflicht. Zudem dürfen die Betreiber „Kernkomponenten“ (also sicherheitsrelevante IT-Produkte, die zum Betrieb von Kritischen Infrastrukturen dienen und für diesen Zweck besonders entwickelt oder geändert wurden) nur noch von Herstellern beziehen, die vorher eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber abgeben haben. Doch sind immer noch Anwendungen, die nicht nur für Kritische Infrastrukturen dienen, sondern breiter entwickelt worden sind, hier ausgenommen. Digitalisierungsbemühungen, bei denen Industrie 4.0-Anwendungen von der Stange gekauft werden, bleiben also ausgeklammert. In den Betreiberbefragungen haben Unternehmen den Wunsch geäußert, externe Unterstützung für Cyber-Sicherheit und den Schutz Kritischer Infrastrukturen einbeziehen zu können. Die Sektor-Studie des BSI stellt fest, dass es insbesondere kleinen und mittleren Wasserunternehmen schwer fällt, Kompetenzen zur IT-Sicherheit bei sich aufzubauen [6]. Nur rund 50 % der befragten Unternehmen achten auf die Qualifikation des IT-Personals und auf eine kontinuierliche Weiterbildung. Fast jedes fünfte Unternehmen sieht keinen Weiterbildungsbedarf [23; 22]. Weder das BSI noch DVGW und DWA haben bisher die Idee verfolgt, dass Kooperationen zwischen mehreren Unternehmen ebenso wie gemeinsame 74 4 · 2019 TR ANSFORMING CITIES THEMA Urbane Netze Benchmarkingprozesse geeignet sein können, um trotz knapper Personaldecke die Herausforderungen sowohl der Digitalisierung als auch der Cybersicherheit gut zu bewältigen [25]. Ein solcher Verbund könnte zum Beispiel aus einem vom BSI geförderten zentralen Kompetenzzentrum und mehreren regionalen Arbeitsgemeinschaften bestehen, in denen sich gebietsweise Wasserunternehmen zusammenschließen, um bedarfsgerechte Schutzkonzepte zu erarbeiten und umzusetzen. Neben der Ausfallsicherheit der Infrastrukturen ist hier ebenso auf die Versorgungssicherheit der Bevölkerung zu achten. LITERATUR [1] Pohl, C., Spinnreker-Czichon, D., Keilholz, P.: Wasserwirtschaft 4.0 - Voraussetzung für eine intelligente Vernetzung von Bestandssystemen, Bremen, München, 2017. [2] Schaffer, C., Vestner, R., Bufler, R., Werner, U., Ziemer, C.: Wasser 4.0, Berlin, 2019. [3] Ammermüller, B., Fälsch, M.: Digitale Wasserwirtschaft, Berlin, 2017. [4] Graumann, S.: Energie- und Wasserversorger noch verhalten bei Digitalisierung, energie | wasser-praxis, (4) (2017), S. 6-9. [5] Barjenbruch, M., Donner, C., Ernst, M., Gröschl, F., Grünebaum, T., Günthert, F. W., Hetzel, F., Horn, H., Klinger, J., Rosenwinkel, K.-H., Schwesig, D., Thaler, S., Walter, W. K.: Forschungsbedarf in der Wasserwirtschaft, Bonn, 2016. [6] Bundesamt für Sicherheit in der Informationstechnik: KRITIS-Sektorstudie - Ernährung und Wasser, Bundesamt für Sicherheit in der Informationstechnik, Bonn, 2014. [7] www.globalsign.com/ de-de/ blog/ it-vs-ot-im-industriellen-internet/ (GlobalSign, 25.09.2019). [8] Pointl, M., Winkelbauer, A., Krampe, J., Fuchs-Hanusch, D.: Aspekte der IKT-Sicherheit in der österreichischen Siedlungswasserwirtschaft, Österr. Wasser- und Abfallw., 71 (7-8) (2019), S. 374-384. [9] Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2018, Bonn, 2018. [10] Fluchs, S.: IT-Grundschutz-Pilotprofil bzw. IT-Grundschutz-Profil für die Wasserwirtschaft, RWTH Aachen, 2017. [11] Lenz, S.: Vulnerabilität Kritischer Infrastrukturen, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Bonn, 2009. [12] Birkmann, J.: Measuring vulnerability to promote disaster-resilient societies: Conceptual frameworks and definitions. in: Birkmann, J. (Hrsg.): Measuring vulnerability to natural hazards: Towards disaster resilient societies, S. 9-54, United Nations University Press, New York, 2006. [13] Cordona, O.: A system of indicators for disaster risk management in the Americas. in: Birkmann, J. (Hrsg.): Measuring vulnerability to natural hazards: Towards disaster resilient societies, S. 189-209, United Nations University Press, New York, 2006. [14] Birkmann, J.: (Hrsg.): Addressing the challenge, DKKV, Bonn, 2009. [15] Birkmann, J., Bach, C., Guhl, S., Witting, M., Welle, T., Schmude, M.: State of the Art der Forschung zur Verwundbarkeit Kritischer Infrastrukturen am Beispiel Strom, Stromausfall, Freie Universität Berlin, 2010. [16] United Nations International Strategy for Disaster Reduction: Living with risk: A global review of disaster reduction initiatives, United Nations Publications, New York, Genf, 2004. [17] Krings, S.: Verwundbarkeitsassessment der Strom- und Trinkwasserversorgung gegenüber Hochwasserereignissen. In: Abschätzung der Verwundbarkeit gegenüber Hochwasserereignissen auf kommunaler Ebene, S. 24-51, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, 2013. [18] Zimmermann, M., Winker, M., Schramm, E.: Die Vulnerabilität von Wasserinfrastrukturen - Analyse eines semizentralen Ver- und Entsorgungssystems in Qingdao, China, Transforming Cities, (4) (2017), S. 48-53. [19] w w w.zeit.de / 2010/ 4 8/ Computer wurm- Stuxnet / komplettansicht (DIE ZEIT Nr. 48/ 2010, 25.09.2019). [20] Clark, R. M., Panguluri, S., Nelson, T. D., Wyman, P.: Protecting Drinking Water Utilities From Cyberthreats, Journal of American Water Works Association, 109 (2) (2017), S. 50-58. [21] Feldhaus, J.: Branchenspezifischer Sicherheitsstandard Wasser/ Abwasser als technische Grundlage für die Informationssicherheit, KA Korrespondenz Abwasser, Abfall, 65 (12) (2018), S. 1072-1073. [22] Thim, C., Pöhls, U.: Stand der IT-Sicherheit in der Wasserversorgung, wwt wasserwirtschaft wassertechnik, 2018 (1-2) (2018), S. 40-42. [23] www.lebensraumwasser.com/ digitale-sorglosigkeithandlungsbedarfbeiitsicherheitinderwasserversorgung/ (22.10.2019). [24] Zimmermann, M., Schramm, E., Ebert, B.: Siedlungswasserwirtschaft im Zeitalter der Digitalisierung: Cybersicherheit als Achillesferse, TATuP - Zeitschrift für Technikfolgenabschätzung in Theorie und Praxis (Eingereicht). [25] Thim, C., Röchert-Voigt, T., Proske, N., Heine, M., Korte, E.: Organisation des Schutzes der Kritischen Infrastruktur Wasserversorgung, 2012. AUTOREN Dr.-Ing. Martin Zimmermann ISOE - Institut für sozial-ökologische Forschung GmbH Kontakt: zimmermann@isoe.de Dr. Engelbert Schramm ISOE - Institut für sozial-ökologische Forschung GmbH Kontakt: schramm@isoe.de