7 minute read
4.3.3 IT-Sicherheit
Infrastrukturen wurde mit der BSI-Kritisverordnung (BSI-KritisV) die Grundlage gelegt, die informationstechnischen Systeme als kritisch im Sinne des BSI (Bundesamt für Sicherheit in der Informationstechnik) einzustufen. Daraus erwachsen Betreiberpflichten zur Sicherstellung der Daseinsvorsorge (s. Kapitel 4.3.3).
Grundsätze – Leitbild
Die Wasserversorgung als Teil der Kritischen Infrastruktur ist in ihren IT-Systemen bestmöglich zu schützen. Zur Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus sind geeignete organisatorische und technische Maßnahmen umzusetzen. Für technische Maßnahmen sind von allen Wasserversorgungsunternehmen als Mindestmaß die allgemein anerkannten Regeln der Technik zugrunde zu legen.
Die zentrale strategische Sicherheitsinstanz in der Informationssicherheitsorganisation im Freistaat Sachsen, der BfIS Land150 , unterstützt auf Ersuchen kleine und mittlere Unternehmen bei Maßnahmen zur Erhöhung der IT-Sicherheit.
Die Anforderungen des Datenschutzes und der IT-Sicherheit müssen bei der Umsetzung der gesetzlichen Aufgaben gewährleistet sein, die allgemein anerkannten Regeln der Technik sind bei den Fachdatenbanken der Wasserbehörden als Maßstab bindend. Handlungsbedarf – Ausführungshinweise
Mittelfristig ist der Verwaltungsvollzug im Hinblick auf eine zukunftsfähige Verwaltung zu modernisieren und an die Anforderungen der Zeit (gebotene Digitalisierung) unter Berücksichtigung von IT-Sicherheit und Datenschutz anzupassen bzw. sind die notwendigen Instrumente hierfür bereit zu stellen.
Die WVU sind eigenverantwortlich gefordert, die spezifischen Möglichkeiten und Potenziale einer digitalen Wasserwirtschaft (Wasser 4.0) abzuwägen und wo geboten umzusetzen.
Ziele – Umsetzungsstrategie
Die Aufgabenträger der öffentlichen Wasserversorgung nutzen alle Möglichkeiten der Anpassung ihrer IT-Sicherheitsvorkehrungen sowie die beratende Unterstützung der Fachverbände und der freistaatlichen Informationssicherheitsorganisation BfIS Land.
Weiterbildung und Sensibilisierungsveranstaltungen wie z. B. SAX Cert können hilfreiche Informationen zum Schutz der unternehmensinternen IT-Strukturen geben.
Ein (rechts)sicherer Datenaustausch zur Umsetzung des gesetzlichen Wasserversorgungsauftrages muss gewährleistet bleiben, dazu werden konsequent alle Möglichkeiten der Optimierung geprüft und umgesetzt.
Die mittel- bis langfristige Planung sieht die Neukonzipierung und -entwicklung der Datenbankanwendung WAVE vor, die den technischen und rechtlichen Anforderungen (Datenschutz und Informationssicherheit) sowie den wasserwirtschaftlichen Aufgaben und Berichterstattungen gerecht werden kann.
150 Beauftragter für Informationssicherheit des Landes
IST-Zustand – Status quo
Die zunehmende Digitalisierung, die Verknüpfung von Daten und technischen Geräten eröffnen komplexe Möglichkeiten und Entwicklungspotenzial, Computersysteme zu nutzen. Die Vernetzung von IT-Komponenten und daraus erwachsende Abhängigkeiten führen jedoch auch zu einer vielschichtigen Verletzlichkeit der eingesetzten Systeme und einem erheblichen Zuwachs an Sicherheitsrisiken. Damit verbunden ist eine signifikante Erhöhung des Schadensausmaßes bei Ausfall der vernetzten Systeme.
Betreiber von Kritischen Infrastrukturen (KRITIS) sind besonders sensitive Angriffsziele von Cyberattacken aufgrund ihres hohen, systemimmanenten gesellschaftlichen Schadenspotenzials. Ausfälle oder Beeinträchtigungen bei Kritischen Infrastrukturen können zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen.
Die Herausforderungen an die staatliche Verwaltung und die Unternehmen, sensible Daten und Kommunikationsprozesse vor unbefugtem Zugriff zu schützen, werden zunehmend größer. Vor diesem Hintergrund trat am 17. Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSicherheitsgesetz – ITSiG) der Bundesregierung in Kraft. Das ITSiG als Artikelgesetz ändert und ergänzt Fachgesetze wie z. B. das BSI-Gesetz (BSIG).
Der Gesetzgeber schreibt vor, dass Versorgungsunternehmen, die die Schwellenwerte der BSI-Kritisverordnung (BSI-KritisV) erreichen oder überschreiten erstmals am 3. Mai 2018 nachweisen mussten, dass ihre IT-Infrastruktur entsprechend den gesetzlichen Vorgaben im BSI-Gesetz geschützt ist. Unter die BSI-KritisV fallen derzeit Unternehmen, die folgende Schwellenwerte haben bzw. überschreiten:
Gewinnungsanlage (Wasserwerk): 22.000.000 m³/Jahr gewonnene Wassermenge Aufbereitungsanlage (Wasserwerk): 22.000.000 m³/Jahr aufbereitete Trinkwassermenge Wasserverteilungssystem: 22.000.000 m³/Jahr verteilte Wassermenge Leitzentrale: 22.000.000 m³/Jahr von den gesteuerten/überwachten Anlagen gewonnene, transportierte oder aufbereitete Menge Wasser Mit Bezug auf die Schwellenwerte gelten in Sachsen derzeit neun Wasserversorgungseinrichtungen als KRITIS-Unternehmen gemäß BSI-KritisV. Da insbesondere Wasserversorgungsunternehmen auch unterhalb der Schwellenwerte daseinsvorsorgende und damit essentielle Leistungen für die Bevölkerung erbringen und ein Ausfall dieser in gleichem Maße kritisch zu bewerten ist, wird aktuell eine Anpassung erwogen (s. Rechtsgrundlage).
Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) richten sich auch an Unternehmen, die nicht unter die BSI-KritisV fallen, sich mit dem Thema IT-Sicherheit auseinander zu setzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen. DVGW und BDEW haben auf Basis des Regelwerks W 1060 den branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S WA) entwickelt. Sowohl den von der BSI-KritisV betroffenen Unternehmen wie auch kleinen und mittleren Wasserver- und Abwasserentsorgungsunternehmen dient dieser Leitfaden, um ein dem Stand der Technik entsprechendes Schutzniveau zu implementieren.
Ziel des Freistaates Sachsen ist es, den Ursachen für Sicherheitsvorfälle entgegenzuwirken und die Risiken durch angemessene Maßnahmen auf ein tragbares Maß zu reduzieren. Grundlage dafür bildet das im Sommer 2019 in Kraft getretene Sächsische Informationssicherheitsgesetz (SächsISichG). Es verpflichtet die staatliche Verwaltung, sichere elektronische interne und externe Kommunikation anzubieten sowie Datenschutz- und Informationssicherheitskonzepte für die IT-Verfahren der Verwaltung zu erstellen. Weiterhin arbeitet der Freistaat vor allem mit kleinen und mittleren Unternehmen in Projekten zur Erhöhung der Informationssicherheit zusammen. Für den Freistaat Sachsen von hoher strategischer Bedeutung ist daneben ebenso der Schutz der Betreiber Kritischer Infrastrukturen, z. B. Wasserwerke oder Krankenhäuser.
Operative Ziele:
Schutz der IT-Systeme, Anwendungen und Datenbestände des Freistaates Sachsen ausbauen Personalkapazitäten im Bereich Informations- und Cybersicherheit sowie zur Bekämpfung von Cyberkriminalität verstärken Bevölkerung, Unternehmen und Verwaltung für Informations- und Cybersicherheit sensibilisieren kleine und mittlere Unternehmen bei Maßnahmen zur IT-Sicherheit unterstützen.
Die zentrale strategische Sicherheitsinstanz in der Informationssicherheitsorganisation der Staatsverwaltung ist der BfIS Land. Er wird vom Beauftragten für Informationstechnologie des Freistaates Sachsen ernannt und ist innerhalb der CIO-Organisation eingegliedert. Er ist in der Sächsischen Staatskanzlei angesiedelt (Referat 45 Informations- und Cybersicherheit, Kritische Infrastrukturen) und für alle operativen und koordinierenden Belange der Informationssicherheit zuständig. Das Referat des BfIS Land betreut neben dem Themenfeld der Informationssicherheit in der Landesverwaltung auch die Cybersicherheit bei Bürgern und Wirtschaft im Freistaat Sachsen sowie das Themengebiet der IT-Sicherheit Kritischer Infrastrukturen in Sachsen. Das Aufgabengebiet des BfIS Land spiegelt sich in der Mitarbeit und Mitgliedschaft zahlreicher Gremien und Initiativen auf Bundes- und Landesebene sowie zwischen diesen Ebenen und auch mit dem kommunalen Bereich wider. In Sachsen ist der BfIS Land Vorsitzender der Arbeitsgemeinschaft Informationssicherheit, Mitglied im Arbeitskreis IT und E-Government, im IT-Kooperationsrat (Land und Kommunen) und im Arbeitskreis Sächsisches Verwaltungsnetz. Auf Bundesebene ist der BfIS Land Mitglied in der AG Informationssicherheit des IT-Planungsrates sowie in der Länder-Arbeitsgruppe Cybersicherheit der Innenministerkonferenz. Zudem ist er Mitglied in der Allianz für Cybersicherheit und im Umsetzungsplan (UP) KRITIS.
Der UP KRITIS ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Er adressiert acht der neun Sektoren Kritischer Infrastrukturen. Teilnehmer des UP KRITIS können neben den Betreibern nach ITSiG auch andere KRITIS-Betreiber aus den acht Sektoren werden. Der DVGW arbeitet bereits seit 2014 im Branchenarbeitskreis (BAK) Wasser/Abwasser und im Branchenarbeitskreis Gas innerhalb des UP KRITIS mit und begleitet die untergesetzlichen Umsetzungsmaßnahmen.
Der Jahresbericht zur Informationssicherheit befasst sich u. a. mit der aktuellen Gefährdungslage der Landesverwaltung, der Tätigkeit des Beauftragten für Informationssicherheit des Landes und mit der Arbeit des Sicherheitsnotfallteams SAX.CERT im Staatsbetrieb Sächsische Informatik Dienste (SID). Im Berichtszeitraum August 2019 bis Juli 2020 spielten die Abwehr von mehr als 40.000 Viren, der Schutz gegen den Emotet-Trojaner und Schulungen zur Informationssicherheit eine besondere Rolle. Das SAX.CERT ist das zentrale Sicherheitsnotfallteam des Freistaates Sachsen und im SID angesiedelt. Zu seinen Aufgaben gehört die Analyse der Lage der Informationssicherheit in Sachsen, die Beratung von staatlichen und kommunalen Verwaltungen sowie die Rolle als Ansprechpartner für Einrichtungen, die den Kritischen Infrastrukturen zuzurechnen sind. Das Akronym CERT steht für Computer Emergency Response Team. Seit seiner Gründung im Jahr 2013 verzeichnete das SAX.CERT keine kritischen Sicherheitsvorfälle im besonders geschützten Sächsischen Verwaltungsnetz.
Rechtsgrundlage – Handlungsrahmen
Am 3. Mai 2016 ist die von der Bundesregierung verabschiedete Vorlage zur Bestimmung Kritischer Infrastruktur nach dem BSI-Gesetz (BSI-Kritisverordnung, BSI-KritisV) in Kraft getreten. Das Gesetz regelt die Festlegung der Begriffsbestimmungen für Anlagen, Betreiber, kritische Dienstleistungen und Versorgungsgrad. Darüber hinaus werden Schwellenwerte festgelegt, an denen bemessen wird, welche Anlagen (und Betreiber) unter die BSI-KritisV fallen. Mit den Schwellenwerten wird gleichzeitig für Wasserversorgungs- und Abwasserentsorgungsanlagen definiert, welche Anlagen die Anforderungen an die Sicherheit der IT-Infrastruktur gemäß BSI-Gesetz (BSIG) erfüllen müssen und welche Betreiber bis zum 2. November 2016 dem BSI eine Kontaktstelle benannt haben mussten.
Am 17. Juli 2015 trat das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (ITSiG) in Kraft. Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit einen Mindeststandard an IT-Sicherheit einhalten, erhebliche IT-Sicherheitsvorfälle müssen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Vor dem Hintergrund der zunehmenden Bedrohungslage ist das IT-Sicherheitsgesetz novelliert worden und als IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) am 28. Mai 2021 in Kraft getreten. Das IT-SiG 2.0 erweitert die deutsche KRITIS-Regulierung deutlich – mit mehr Pflichten für Betreiber und mehr Befugnissen für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Definitionen der KRITIS-Anlagen ändern sich in der KRITIS-Verordnung 2.0 (KritisV 2.0), die parallel zum IT-SiG 2.0 geändert wurde. Demnach muss für weitere Anlagen der Wasserversorgung der Nachweis erbracht werden, dass diese nach den allgemein anerkannten Regeln der
