Umgang mit der KRITIS Wasser bei SWD

Größe: px

Ab Seite anzeigen:

Download "Umgang mit der KRITIS Wasser bei SWD"

Jörg Baumhauer
vor 6 Jahren
Abrufe

1 NRW Benchmarking, den Umgang mit der KRITIS Wasser bei SWD Dipl.-Ing. Christoph Wagner/ Dipl.-Ing. Matthias Rammler, Stadtwerke Düsseldorf AG

2 SWD Konzern Wichtige Beteiligungen 2von 25

3 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 3von 25

4 KRITIS Wasser BSI-KritisV Der für die Anlagenkategorien des Teils 3 Nummer bis genannte Schwellenwert ist unter Annahme eines Durchschnittsverbrauchs von 44 m3 pro versorgter Person pro Jahr und eines Regelschwellenwertes von versorgten Personen wie folgt berechnet: 44 m3/jahr x = 22 Mio. m3/jahr Jeweils für Gewinnung, Aufbereitung, Verteilung, Leitzentrale (getrennte Betrachtung möglich) Entscheidung SWD: Gesamte Wasserversorgung wird zusammen betrachtet 4von 25

5 KRITIS Wasser Sektorstudie Wasser 2014 der KPMG (Auszüge) Wasserist als nicht substituierbares Lebensmittel und für die Erfüllung hygienischer Mindeststandards eine unverzichtbare Ressource zur Deckung menschlicher Grundbedürfnisse. Cyber-Sicherheit -Die Netze und Systeme der Office-IT und Prozess-IT sind, vor allem bei den großen Betreibern, vollständig physisch getrennt. Der hohe Grad an Automatisierung der betriebsinternen Prozesse führt allerdings auch zu einer Zentralisierung und Erhöhung der Komplexität. Aus diesem Grund steht das Betriebspersonal bereits jetzt vor der Herausforderung, diese Komplexität zu beherrschen, um in Notfällen auch angemessen agieren zu können. 5von 25

6 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 6von 25

7 Wasserwerke SWD Versorgungsgebiet mit Standorten 5 km 17 Rohwasser Pumpwerke 4 Wasserwerke 6 Druckerhöhungsanlagen 2 Druckminderanlagen 1 Aktivkohle-Reaktivierungsanlage 5 Hochbehälter mit ca m³ Druckminderanlagen 7von 25

8 Wasserwerke SWD Versorgungsgebiet mit Standorten 5 km Druckminderanlagen Trinkwasser ca. 53 Mio m³/jahr Brauchwasser ca. 5 Mio m³/jahr Vollversorger für Düsseldorf und Mettmann, große Teile von Neuss und Erkrath Wasserwerke ca. 100 MA Keine Verantwortung für das Wasserverteilnetz jedoch Spartenverantwortung im Konzern 8von 25

9 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 9von 25

10 Umsetzung 10

11 DVGW-Empfehlung PLS/Steuerungs-Philosophie Bürokommunikation, SAP, Lotus Notes, GA, Benchmarking Bedienen, Beobachten, Archivieren, Protokollieren, Auswerten Steuerung, Regelung, Programme, 11von 25

12 Wasserwerke SWD Sicherheit der Leit- und Steuertechnik Anlagensicherheit gewährleisten durch: - Steuer-und Regelfunktionenso dicht wie möglich an den Prozess, übergeordnete Funktionen in übergeordnete Steuerungen, keine Funktionen im Prozessleitsystem - Standardlösungen, die sich in vielen Fällen in der Praxis bewährt haben, sind in Hinblick auf betriebliche Sonderlösungen, seien sie noch so genial, vorzuziehen. - Begrenzte Störmeldequittierung von der Leitebene - Keine Anbindung an das Internet (keine Fernwartung) - Prüfung der Sicherheit durch Audits (intern, extern) - Preiswerter und sicherer Betrieb durch Trennung der Produktionssysteme von unternehmensweiten Netzen. 12von 25

13 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 13von 25

14 Audits 2001/2015 Internes Audit 2001 Zusammenfassung: Keine Risiken der Kategorie 1 und 2 5 Risiken der Kat. 3 (Schulung, Passwortschutz, Kennworttyp, regelmäßige Audits, Echtheit der Software) 4 Risiken der Kat. 4 2 Risiken der Kat. 5 Passwortschutz: Regelmäßiger Passwortwechsel Passworthistorie berücksichtigen Sichere Aufbewahrung von Passwortlisten Schutz mitgeführter Passworte 14von 25

15 Audits 2001/2015 Externes Audit von 25

16 Audits 2001/2015 Implementierungsgrad Controls ISO/IEC (2015) 16von 25

17 Audits 2001/2015 Implementierungsgrad Controls ISO/IEC (2015) 17von 25

18 Audits 2001/2015 Implementierungsgrad Controls ISO/IEC (2015) 18von 25

19 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 19von 25

20 Einführung ISMS Ein Informationssicherheitsmanagementsystem (ISMS) ist eine Aufstellung von Verfahren, Regeln und Prozessen innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu planen, zu definieren, zu steuern, zu kontrollieren, aufrecht zu erhalten und fortlaufend zu verbessern. Ganzheitlich, prozessorientiert, risikobasiert, zyklisch; auf Schutz von organisationseigenen Werten ausgerichtet Plan Do Die 113 Sicherheitsmaßnahmen der ISO/IEC umfassen unter anderem diese Themen: Personalsicherheit Klassifizierung von Informationen Richtlinienkonformität Betriebssicherheit der IT-Systeme Act Check Lieferantenbeziehungen Schutz vor physischem Zugang und Umwelteinflüssen Informationssicherheit ist nicht IT-Sicherheit! IT-Sicherheit ist Bestandteil der Informationssicherheit! 20

21 Stand Projekt ISMS Übersicht Status Quo # Thema StatusQuo 1 Konzept physische Sicherheit ist erarbeitet (Zutritt, Klimatisierung, Brandschutz, Einbruch-/Videoüberwachung, IT-Infrastruktur) 2 Dokumentation SCADA-Prozesse zu 70 % fertiggestellt Läuft Umsetzung läuft 3 Sensibilisierung Mitarbeiter KRITIS-Meldungen Abgeschlossen 4 Netzstrukturpläne Sind erstellt 5 Identifikation-und Dokumentation der kritischen Prozesse und Assets Abgeschlossen, Start der Risikoanalyse 6 Auftragsvergabe für den Zertifizierer. Abgeschlossen, Test- Audit im Sommer 7 Planung notwendige SLA s(service Level Agreements) Abgeschlossen, weitere Vorgehensweisesteht noch aus 8 Feinkonzept der Awareness Kampagne ist fertig gestellt ( -anhänge, USB-Stick, sonstige Datenträger, ) Start Mai

22 Ergebnisse Physische Sicherheit 22

23 KRITIS Wasser bei SWD Gliederung KRITIS Wasser Wasserwerke der Stadtwerke Düsseldorf Leit- und Steuertechnik Wasserwerke SWD Aufbau und Struktur Audits 2001/2015 Aktuelle Aktivitäten Zusammenfassung/Ausblick 23von 25

24 KRITIS Wasser bei SWD Zusammenfassung Systemtrennungvon Produktion, Verteilung und Bürokommunikation vereinfacht die Sicherheit und deren Kontrolle Zugang über das Internet ist eine Abwägung zwischen dem Nutzen und den Kosten, Sicherheit hat ihren Preis es gibt keine 100% Sicherheit ( Turnschuhnetzwerk ) Prüfung der Sicherheit durch interne und externe Audits Kontrollierter Umgang mit Informationsbedürfnisses vom Management oder Behörden (unkontrolliertes Benchmark) Sicherheit ist nicht bequem, Bequemlichkeit ist nicht sicher! 24von 25

In der Regel verfügen nur die größten zehn bis 15 Betreiber über die nötigen finanziellen und

25 KRITIS Wasser bei SWD KRITIS-Sektorstudie Wasser 2014 (KPMG) Die Behandlung des Themas Cyber-Sicherheit hängt dramatisch von Ressourcen der Betreiber ab. In der Regel verfügen nur die größten zehn bis 15 Betreiber über die nötigen finanziellen und personellen Ressourcen, um sich intensiver mit dem Thema Cyber-Sicherheit in den Organisation zu beschäftigen. Danke Für Ihre Aufmerksamkeit!

Ähnliche Dokumente

ISO Zertifizierung

ISO Zertifizierung SÜD IT AG Security & Mittelstand ISO 27001 Zertifizierung Motivation Inhalte Ablauf Aufwände Ergebnisse Dr. Stefan Krempl, ISO 27001 Lead-Auditor, Datenschutzbeauftragter krempl@sued-it.de Süd IT AG -