10 Jahre B3S Wasser/Abwasser Wer später anfängt, ist früher fertig! Dr. Ludger Terhart, Emschergenossenschaft/Lippeverband

Transkript

1 10 Jahre B3S Wasser/Abwasser Wer später anfängt, ist früher fertig! Dr. Ludger Terhart, Emschergenossenschaft/Lippeverband

2 Agenda UP KRITIS und die Branche Wasser/Abwasser Die Branche Wasser/Abwasser und ihre Eigenheiten Der branchenspezifische Sicherheitsstandard Wasser/Abwasser Der Stand der Dinge Fazit 2

3 UP KRITIS und die Branche Wasser/Abwasser Historie eine sehr kurze Übersicht : Bundesinnenminister Dr. Friedrich zu Besuch bei Emschergenossenschaft/ Lippeverband in Essen Initiative der DWA und anderer Verbände zur aktiven Mitgestaltung Branchengespräch Wasser/Abwasser / Kontaktaufnahme zwischen BSI und Branche beim BSI in Bonn 20./ Der Branchenarbeitskreis Wasser/Abwasser (kurz: BAK WA) wird auf der Plenumssitzung des UP KRITIS anerkannt 3

4 Agenda UP KRITIS und die Branche Wasser/Abwasser Die Branche Wasser/Abwasser und ihre Eigenheiten Der branchenspezifische Sicherheitsstandard Wasser/Abwasser Der Stand der Dinge Fazit 4

5 Die Branche Wasser/Abwasser und ihre Eigenheiten Verbände Zwei regelsetzende Verbände, verantwortlich für die untergesetzlichen Regelungen: Für den Bereich Wasser: Deutscher Verein des Gas- und Wasserfaches e.v. (DVGW) Für den Bereich Abwasser: Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall e.v. (DWA ) 5

6 Die Branche Wasser/Abwasser und ihre Eigenheiten Unternehmensstrukturen Unternehmensstrukturen in der Wasser- und Abwasserwirtschaft: Sehr viele kleine, einige mittlere und wenige große Unternehmen Heterogene IT-Landschaft historisch in Jahrzehnten gewachsen: von der Relaistechnik bis Internet of Things Große Spanne in Sachen IT-Know-how Digitalisierung der Prozess(leit)technik noch jung, daher nur wenige Sicherheitskonzepte und -systemkomponenten verfügbar Überwiegend hydraulische, nicht elektronische Kopplung von Anlagen und Anlagenteilen Lokale Reichweite einer Anlage 6

7 Die Branche Wasser/Abwasser und ihre Eigenheiten KRITIS-Verordnung Abwasser: Anlagenkategorie Kanalisation Kläranlage Leitzentrale Schwellenwert E EW EW [/E] Trinkwasser: Anlagenkategorie Schwellenwert Gewinnungsanlage 22 Mio. m 3 /a Wasserwerk 22 Mio. m 3 /a Aufbereitungsanlage 22 Mio. m 3 /a Wasserverteilsystem 22 Mio. m 3 /a Leitzentrale 22 Mio. m 3 /a 7

8 Agenda UP KRITIS und die Branche Wasser/Abwasser Die Branche Wasser/Abwasser und ihre Eigenheiten Der branchenspezifische Sicherheitsstandard Wasser/Abwasser Der Stand der Dinge Fazit 8

9 Der B3S WA Anforderungen Berücksichtigung aller Anlagen(typen) zur Wasserver- und Abwasserentsorgung nach BSI KRITIS Verordnung Eignung auch für nicht Kritische Infrastrukturen Unabhängig von der Ausprägung der IT-Systeme und der Anlagengröße Beschreibung bis auf Maßnahmenebene Verständlich für die Betreiber (eindeutige Ableitung der zu beachtenden Grundsätze und der zu ergreifenden Maßnahmen) Integration in bestehende Regelwerke (DVGW, DWA) Einfach an den jeweiligen Stand der Technik und die Erkenntnisse des BSI anzupassen 9

10 Der B3S WA Aufbau und Gliederung Merkblatt DVGW W 1060 (M) bzw. DWA M 1060 IT-Sicherheitsleitfaden (einschließlich Handbuch) Anwendungsfälle Gefährdungskatalog Maßnahmenkatalog Regularien zur Nachweisführung gemäß 8a (3) BSIG 10

11 Der B3S WA Vorgehensweise Einrichtung gemeinsamer (DVGW, DWA) Expertengruppen mit Vertretern der Betreiber, Branchenverbände, Industrie (Hardware, Software), Wissenschaft und Forschung, Beratungsunternehmen sowie juristischer Begleitung Abstimmung der Vorgehensweise im BAK mit dem BSI und dem BBK Erarbeitung des Merkblattes Erarbeitung des IT-Sicherheitsleitfadens Abstimmung mit dem BSI (Grundsatz- und Detailprüfung) Einreichung zur Anerkennung Abschließende Klärung mit dem BSI und dem BBK 11

12 Der B3S WA Grundlagen Basis für den Branchenstandard: BSI-Grundschutz, ICS-Security Kompendium; zukünftig: Modernisierter IT-Grundschutz Kompatibel zu den Vorgaben der DIN ISO/IEC Verständnis der Branche: Der IT-Grundschutz ist eine konkrete Implementierung der Norm Einstieg über verständlich beschriebene Anwendungsfälle Kategorien: Benutzerzugang, SPS/PLS Programmierung und Wartung, Netzwerkmanagement, Programmzugang, Architektur, Organisation 12

13 Der B3S WA Prozess Anwendungsfälle Auswahl der Anwendungsfälle führen zu Gefährdungen Liste der Gefährdungen erfordern Risikobewertung und Priorisierung der Gefährdungen Schutzmaßnahmen Liste der Maßnahmen 13

14 Der B3S WA Durchführung/ Umsetzung im Betrieb Toolunterstützt (gemeinsames Angebot von DVGW und DWA) Objektauswahl Anwendungsfallauswahl Gefährdungsbestimmung Risikobewertung (nur bei zusätzlichen Risiken erforderlich) Maßnahmenermittlung Maßnahmenumsetzung Auditierung Fer t ig! 14

15 Agenda UP KRITIS und die Branche Wasser/Abwasser Die Branche Wasser/Abwasser und ihre Eigenheiten Der branchenspezifische Sicherheitsstandard Wasser/Abwasser Der Stand der Dinge Fazit 15

16 Der Stand der Dinge Merkblatt und IT-Sicherheitsleitfaden liegen beim BSI zur Anerkennung vor Letzte Abstimmung mit dem BBK gemeinsam mit dem BSI in den nächsten Tagen Anerkennung 16

17 Agenda UP KRITIS und die Branche Wasser/Abwasser Die Branche Wasser/Abwasser und ihre Eigenheiten Der branchenspezifische Sicherheitsstandard Wasser/Abwasser Der Stand der Dinge Fazit 17

18 Fazit Erfahrungen der Branche Wasser/Abwasser Wer später anfängt, ist früher fertig? Später Einstieg in den UP KRITIS: Selbstfindungsphase des UP KRITIS bereits abgeschlossen Grundzüge der Arbeit und der Formalien definiert und erprobt Sehr zügige Einrichtung des und zielgerichtetes Arbeiten im BAK WA auf dieser Basis erfolgreich gelungen Der späte Start war durchaus von Vorteil. 18

19 Fazit Erfahrungen der Branche Wasser/Abwasser Wer früher anfängt, ist später fertig? Frühe Entwicklung eines B3S: Aufgrund der Charakteristik der Branche keine geeigneten Muster vorhanden Selbstfindungsphase des BSI und des BBK frisch gestartet (neue Aufgabe!) Grundzüge der Prozesse und der Formalien beim BSI in der Entwicklung Gegenseitige Unterstützung und intensive Kommunikation als Schlüssel zum Erfolg Anerkennungsprozess möglicherweise etwas länger, verbunden mit sehr fruchtbaren und hilfreichen Gesprächen. Vielleicht etwas später abgeschlossen, aber dafür mit Sicherheit zielführend für beide Seiten. 19

20 Fazit Ganz per sönlich: WOW! Tausend D ank an alle! BAK WA BSI BBK BM I DVGW DWA M it glieder der A r beit s- und Exper t engr uppen UP KR ITIS und allen Helf er n im Hint er gr und! 20

21 Vielen Dank für Ihre Aufmerksamkeit! Dr. Ludger Terhart Geschäftsbereich Technische Services Abteilungsleiter Informationstechnologien EMSCHERGENOSSENSCHAFT/LIPPEVERBAND Kronprinzenstraße Essen Telefon Telefax