Wasserversorger liefern unterbrechungsfrei hochwertiges Trinkwasser in ausreichenden Mengen an Verbraucher*innen in Stadt und Land. Als Teil der kritischen Infrastruktur erfüllen sie hohe Sicherheitsstandards in allen Arbeitsbereichen. Die IT-Sicherheit ist dabei ein wachsendes Element beim Schutz der Wasserversorgung. Sie zu gewährleisten, kann sich von Wasserversorger zu Wasserversorger stark unterscheiden. Organisationsstruktur, der Aufbau technischer Anlagen und der Grad der Digitalisierung beeinflussen, wo Schwachstellen existieren. Anstelle von einheitlichen Lösungen, die flächendeckend umgesetzt werden, braucht es also individuell angepasste Sicherheitskonzepte. Zu den Aufgaben des Bayerischen Landesamts für Sicherheit in der Informationstechnik (LSI) gehört es, Beratungsangebote für kommunale Unternehmen aus dem KRITIS-Bereich anbieten. Frau Zilker hat mit Frau Dr. Benda vom Landesamt für Sicherheit in der Informationstechnik (LSI) darüber gesprochen, wie das LSI Wasserversorger in Sachen IT-Sicherheit unterstützt.
VKU: Welche konkreten Angebote hat das LSI für bayerische Wasserversorger?
Fr. Dr. Benda: Wir beraten alle Trinkwasserversorger in allen Fragen und Problemstellungen bezüglich Informationssicherheit. Dazu haben wir Beratungsunterlagen bestehend aus einer „Checkliste zur Mindestabsicherung“ sowie einer „Orientierungshilfe für Informationssicherheit in der Trinkwasserversorgung“ vorbereitet. Die Unterlagen unterstützen sowohl bei der Einführung von Informationssicherheit als auch bei der kontinuierlichen Weiterentwicklung. Zusätzlich informieren wir im Rahmen unseres Warn- und Informationsdienstes über aktuelle Bedrohungssituationen und Schwachstellen.
VKU: An wen richten sich die Angebote des LSI? Spielt es eine Rolle z.B. wie viele Haushalte versorgt werden oder welche Technik im Unternehmen genutzt wird?
Fr. Dr. Benda: Unsere Angebote richten sich an alle bayerischen Trinkwasserversorger, unabhängig von deren Größe und technischer Ausstattung sowie unabhängig von Schwellwerten, wie etwa der Menge an ausgeliefertem Trinkwasser pro Jahr. Die Abwasserentsorger, Stadtwerke und generell alle öffentlichen Betreiber kritischer Infrastrukturen können die für die Trinkwasserversorger entwickelten Materialien „Checkliste zur Mindestabsicherung“ und „Orientierungshilfe“ ebenfalls nutzen. Das LSI steht hier ebenfalls gerne bei Fragen zur Umsetzung und generell bei Informationssicherheitsfragen beratend zur Seite.
VKU: Wie läuft die Beratung durch das LSI ab?
Fr. Dr. Benda: Wir unterstützen gerne bei jeglichen Fragen und Problemen bezüglich der Informationssicherheit. Hierzu können sich die Wasserversorger jederzeit unter beratung-kritis@lsi.bayern.de an uns wenden. Ihre Fragen werden vertraulich behandelt und im Rahmen z.B. einer Videokonferenz oder Vor-Ort-Besuchen können sie uns ihre Anliegen anschließend genauer beschreiben und erhalten von uns herstellerneutrale Empfehlungen zu technischen und organisatorischen Maßnahmen. Wir können dann z.B. anhand von Netzstrukturplänen auf spezifische Anliegen eingehen und so zusammen Vorschläge zur Optimierung ihrer Informationssicherheit erarbeiten. Anhand unserer Beratungsunterlagen können sie auch selbstständig oder in Zusammenarbeit mit ihrem IT-Dienstleister die Informationssicherheit in ihrem Unternehmen einer Prüfung unterziehen und vorantreiben. Natürlich stehen wir auch hier gerne bei Rückfragen und Problemen zur Verfügung.
VKU: Sie haben eine „Checkliste zur Mindestabsicherung“ für bayerische Wasserversorger entwickelt. Was kann man sich darunter vorstellen?
Fr. Dr. Benda: Die Checkliste zur Mindestabsicherung richtet sich insbesondere an die „kleinen“ Wasserversorger und fasst grundlegende Absicherungsmaßnahmen in einigen prägnanten Punkten verständlich zusammen. Sie ist mittels drei Clustern und 15 Themengebieten strukturiert und besitzt insgesamt 59 Fragen. Die Checkliste ist in Form eines Fragenkatalogs in digitaler Form erhältlich. Sie ist mit der Möglichkeit zum Fortschrittstracking ausgestattet. Dies ermöglicht den aktuellen Stand der bestehenden Absicherung grundlegend zu überprüfen. Sie unterstützt weiterhin dabei, eventuelles Verbesserungspotential zu erkennen und kann als Basis dienen, um Ergebnisse gegenüber Entscheidungsträgern zu argumentieren.
VKU: Für wen wurde die Checkliste konzipiert? Bayerische Wasserversorger kümmern sich bereits um die Sicherheit ihrer IT-Systeme. Sollten sie sich noch mit „Mindestabsicherung“ beschäftigen?
Fr. Dr. Benda: Die Checkliste zur Mindestabsicherung fasst die grundlegenden Maßnahmen zu einer sicheren IT-Infrastruktur zusammen, welche bei jedem Wasserversorger umgesetzt sein sollten. Solange noch keine Zertifizierung (z.B. ISIS12, B3S, ISO27001) mit entsprechendem Geltungsbereich existiert, empfiehlt es sich auf jeden Fall, die Mindestcheckliste anzuwenden. So können die Wasserversorger einen Überblick gewinnen, in welchen Bereichen bereits ein ausreichendes Maß an Sicherheit erreicht wurde. Gleichzeitig lassen sich oftmals aber auch noch Bereiche mit einem gewissen Verbesserungspotential identifizieren. Da die Mindestcheckliste auf die kleinen Wasserversorger zugeschnitten ist, empfiehlt es sich nach deren Umsetzung, mit der Orientierungshilfe fortzufahren, welche einen tieferen Einblick und umfangreichere Beispiele bereitstellt.
VKU: Verpflichtet man sich dazu, bestimmte Maßnahmen durchzuführen, wenn man Ihr Beratungsangebot in Anspruch nimmt oder die Checkliste nutzt?
Fr. Dr. Benda: Nein, die Nutzung unseres Beratungsangebots und der Materialien ist freiwillig und kostenlos. Wir bieten ein unterstützendes Angebot bzw. konkrete Hilfsmittel, um die IT-Sicherheit bei den Wasserversorgern zu verbessern. Das LSI hat hier keine Aufsichtsfunktion.
VKU: Zusätzlich zu den Beratungsangeboten und oben angesprochenen Hilfestellungen gibt es die LSI-Warnmeldungen. Wovor warnen Sie und wer sollte über eine Aufnahme in den Verteiler nachdenken?
Fr. Dr. Benda: Wir warnen zu aktuellen Anlässen, Bedrohungssituationen und Schwachstellen und bereiten konkrete Empfehlungen vor, um die Trinkwasserversorgung vor IT-Ausfällen zu schützen. Beispiele für Warnungen wären zum einen besonders kritische Fehler und Schwachstellen, welche in für die Branche relevanter Software auftreten. Zudem betrachten wir die Entwicklungen in der gesamten Branche bezüglich großangelegter Angriffe und neuen Angriffsmethoden wie Ransomware, Viren oder Würmern und warnen diesbezüglich zeitnah. Unsere Warnungen umfassen insbesondere auch versorgerspezifische Technik. Wir empfehlen der zuständigen Fachabteilung oder dem IT-Sicherheitsbeauftragten jeden Wasserversorgers sich bei uns für die Aufnahme in den Verteiler zu registrieren.
VKU: An wen können sich interessierte Unternehmen wenden, wenn sie die Angebote des LSI nutzen möchten?
Fr. Dr. Benda: Gerne können sich interessierte Unternehmen telefonisch unter 0911 21549 – 525 oder mittels E-Mail an uns wenden.
VKU: Vielen Dank für das Gespräch!