Plattform für Wasser, Gas und Wärme
Fachartikel
27. Juni 2018

Interview mit Dario Walder, BWL

«Cyber-Security ist ein Prozess, der gelebt und optimiert werden muss»

In den Medien gibt es immer wieder Berichte über Cyber-Angriffe mit weitreichenden Konsequenzen. All diese Vorfälle wie auch die weniger spektakulären unterstreichen, dass die Gefahr aus dem Cyber-Raum real ist. Kritische Infrastrukturen, wie die Strom- oder Wasserversorgung, sind mögliche Angriffsziele und können durch Cyber-Angriffe lahmgelegt werde. Um die Widerstandsfähigkeit der Wasserversorgung zu erhöhen, entwickeln die wirtschaftiche Landesversorgung BWL und der SVGW eine gemeinsame Branchenempfehlung. Dario Walder vom BWL, der die Arbeiten leitet, stellt im Interview diese Empfehlung vor.
Margarete  Bucheli 
Herr Walder, 2012 wurde die Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) veröffentlicht. Welche Ziele verfolgt der Bund mit dieser Strategie?

Im Jahr 2012 hat der Bundesrat die erste NCS verabschiedet. Im April dieses Jahres hat er nun die neu erarbeitete zweite NCS für die Jahre 2018-2022 verabschiedet. Der Ansatz der Strategie bleibt gleich und umfasst drei Stossrichtungen: Erstens zielt der Bundesrat auf die frühzeitige Erkennung der Bedrohungen und Gefahren im Cyber-Bereich. Zweitens will er die Widerstandsfähigkeit (Resilienz) von kritischen Infrastrukturen erhöhen und drittens Cyber-Risiken, insbesondere Cyber-Kriminalität, Cyber-Spionage und Cyber-Sabotage, wirksam reduzieren.

Um diese Ziele zu erreichen, wurde 2013 ein Umsetzungsplan erarbeitet, in dessen Rahmen das BWL beauftragt wurde, Verwundbarkeitsanalysen der kritischen Teilsektoren durchzuführen. Insgesamt wurde die Schweiz in 26 Teilsektoren unterteilt, wovon das BWL 12 und das Bundesamt für Bevölkerungsschutz (BABS) 14 analysierten. Die Wasserversorgung ist ein Teilsektor, den ich unter die Lupe genommen habe. Ausgehend davon habe ich einen IKT-Minimalstandard für Wasserversorgungen zusammen mit einer weiteren Resilienzmassnahme entwickelt. Für die Bevölkerung und damit auch für die wirtschaftliche Landesversorgung ist die Versorgung mit Trinkwasser natürlich von grösster Wichtigkeit. Ohne Lebensmittel überleben wir im Normalfall mehrere Wochen, aber ohne Trinkwasser haben wir schon nach wenigen Tagen ein riesiges Problem.

Für die beiden Teilsektoren Erdgasversorgung und Wasserversorgung liegen bereits die Ergebnisse der Verwundbarkeitsanalysen vor. Wo sind diese am ehesten verwundbar?

Wir haben Verwundbarkeitsanalysen sowohl für die Gas- als auch die Wasserversorgung durchgeführt. Hier ist es wichtig zu verstehen, dass wir nicht technische Schwachstellen, sondern die kritischen Prozesse sowie die eingesetzten Informations- und Kommunikationstechnologie-(IKT-)Systeme identifiziert haben. Wir haben festgestellt, dass die Digitalisierung sowohl in der Wasserversorgung als auch in der Gasversorgung fortgeschritten ist. Das bedeutet, dass wir zur Sicherstellung der Versorgung der Bevölkerung mit Gas und Wasser auf IKT-Systeme angewiesen sind. Besonders zu erwähnen sind hier die SCADA-Systeme. Mit SCADA-Systemen (Supervisory Control and Data Aquisition) sind die Prozessleitsysteme der Wasser- und Gasversorger gemeint. Überall dort, wo eine Pumpe oder ein Ventil vollautomatisch gesteuert wird, sind wir auf IKT-Systeme angewiesen. Also konkret ist das für die Wasserversorgung die Aufbereitung sowie die Steuerung der Pumpwerke und bei der Gasversorgung ist es die Kompression. Die Verwundbarkeitsanalysen wurden nicht veröffentlich, können jedoch auf Anfrage beim BWL eingesehen werden. Die wichtigsten Ergebnisse der Analysen sind in Faktenblättern zusammengefasst, die auf der BWL-Website heruntergeladen werden können.

Derzeit wird für den Teilsektor Wasserversorgung eine Branchenempfehlung erarbeitet. Wer ist daran beteiligt?

Der SVGW hat mich unterstützt, ein sachkundiges Expertenteam mit Vertretern aus verschieden Wasserversorgungen – von ganz grossen Versorgungen bis zu ganz kleinen, von Genf bis nach Liechtenstein – zusammenzustellen. Ausserdem besteht das Expertenteam auch aus Vertretern des SVGW, des Brunnenmeister-Verbandes und der wirtschaftlichen Landesversorgung. Damit haben wir sichergestellt, dass Wasserversorger aller Grössen bei der Erarbeitung dieses Standards einbezogen und so die Anliegen aller berücksichtigt werden. Das machte die Erarbeitung der Branchenempfehlungen, die im SVGW-Regelwerk mit der Nummer W1018 unter dem Titel «Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie (IKT) in der Wasserversorgung» demnächst publiziert wird, zwar komplex, aber wir erhoffen uns, dass dadurch das Endresultat von allen Akteuren mitgetragen wird.

Wird sich diese Empfehlung von den Branchenempfehlungen für andere Versorger (Strom, Gas, Wärme usw.) bzw. Entsorger klar unterscheiden oder werden diese alle einheitlich aufgebaut und nur im Detail etwas angepasst?

In der wirtschaftlichen Landesversorgung haben wir eine Grundlage für Branchenempfehlungen zur Cyber-Security erarbeitet, den allgemeinen IKT-Minimalstandard. Dieser bildet die Basis für all unsere Arbeiten in den verschiedenen Branchen. Auch in der Wasserversorgung haben wir uns entschieden, eine Empfehlung auf Basis dieses Standards zu verfassen. Stellen Sie sich vor, ein Querverbundunternehmen, das sowohl für Wasser, Gas, Strom, Abwasser usw. zuständig ist, würde für diese Geschäftsfelder jeweils unterschiedliche Branchenempfehlungen umsetzen müssen. Das wäre für das Unternehmen ein unnötiger Zusatzaufwand. Mit unserem für jede Branche einheitlichen Vorgehen stellen wir die Durchgängigkeit der Empfehlungen sicher und verfolgen gleichzeitig einen sehr pragmatischen Ansatz. Ausserdem kann sich so ein Wasserversorger hinsichtlich seiner Cyber-Security mit einer Abwasserreinigungsanlage oder einem Stromproduzenten von ähnlicher Grösse vergleichen. Dies kann bilateral geschehen und möglicherweise in Zukunft auch von Branchenverbänden oder gar dem Bund unterstützt werden. Ziel wäre, dass sich ein Unternehmen betreffend IKT-Sicherheit mit anderen Unternehmen in seiner Branche, aber auch über seine Branche hinaus vergleichen kann.

Es ist kaum möglich, an Wasserversorgungen unterschiedlicher Grösse den gleichen Massstab anzulegen. Wie werden kleine und grosse Wasserversorgungen differenziert behandelt?

Grosse Städte, wie Zürich, Genf, Basel, Lausanne oder Bern, verfügen sowohl über mehr Ressourcen und in der Regel auch Fachwissen hinsichtlich Cyber-Security als kleine, ländlichere Wasserversorgungen. Basierend auf der Erfahrung der einbezogenen Fachexperten erachten wir es als nicht zielführend, den Minimalstandard vollumfänglich für alle Wasserversorger zu empfehlen. Deshalb haben wir für kleine Wasserversorgungen Empfehlungen entwickelt, die spezifisch auf diese zugeschnitten und mit wenig Aufwand umsetzbar sind. Von mittelgrossen oder grossen Wasserversorgern dagegen wird erwartet, dass die Branchenempfehlung gesamtheitlich umgesetzt wird.

«Wir haben für kleine Wasserversorgungen Empfehlungen entwickelt, die spezifisch auf diese zugeschnitten und mit wenig Aufwand umsetzbar sind.»

Welche Elemente enthält der IKT-Minimalstandard? Was ist sein Herzstück?

Der Minimalstandard (Hauptdokument) ist ein möglichst kurz gefasstes Dokument, in dem alle relevanten Informationen zur Anwendung enthalten sind. Unter anderem werden dort folgende Fragen beantwortet: Was ist ein IKT-Minimalstandard? Wie setze ich diesen um? Warum gibt es eine Notwendigkeit für diesen Standard? Weshalb unterstützt das BWL den SVGW bei der Erarbeitung? So kann der Wasserversorger sich in möglichst kurzer Zeit über den IKT-Minimalstandard informieren. Zum Standard gehört zudem das Cyber Security Framework. Dieses umfasst 106 Aktivitäten. Das sind Vorschläge oder Möglichkeiten zur Erstellung oder Verbesserung eines Cybersicherheitsprogramms. Die Aktivitäten sind jeweils einer von 23 Kategorien zugeteilt, die wiederum zu einer der fünf Funktionen «Identifizieren», «Schützen», «Erkennen», «Reagieren» und «Wiederherstellen» gehören. Zur Unterstützung der Umsetzung des IKT-Minimalstandards werden wir ein excel-basiertes Assessment-Tool, das auf dem Cyber Security Framework fusst, zur Verfügung stellen. Dieses ist äusserst hilfreich für die Erarbeitung eines priorisierten Umsetzungsplans zur Schliessung der identifizierten IKT-Sicherheitslücken.

 

Was wird die Empfehlung für Wasserversorger über den Minimalstandard hinaus noch enthalten?

Die Branchenempfehlung für Wasserversorger wird in zwei Teile unterteilt sein. Den ersten Teil bildet das Hauptdokument. Der zweite Teil wird ein Anhang sein, in dem vier in sich abgeschlossene, alleinstehende Dokumente enthalten sind. Erstens ein Theoriedokument, in dem der Defense-in-Depth-Ansatz erläutert wird. In diesem Dokument wird der Leser in elf Themenbereiche der Cyber-Security, wie Risikomanagement, Informationssicherheitsmanagementsystem, Governance, aber auch in technische Aspekte, z. B. ins generische Netzwerkzonenkonzept oder in Perimetersicherheit eingeführt. Der zweite Anhang beschreibt das bereits genannte Cyber Security Framework, das im Assessment-Tool verwendet wird. Der dritte Anhang umfasst die Empfehlungen, die spezifisch auf kleine Wasserversorger ausgerichtet sind. Der vierte und letzte Anhang wird Umsetzungsbeispiele enthalten. Am Beispiel von (anonymisierten) Wasserversorgungen wird dargestellt, wie die Fragen aus dem Assessment-Tool oder den Empfehlungen beantwortet werden können. Dies sollte für die Wasserversorger eine grosse Hilfe bei der Umsetzung sein.

Welche Ziele wurden für den Minimalstandard formuliert?

Ziel ist, die Cyber-Security aller Wasserversorger auf ein Minimalniveau anzuheben und somit die Widerstandsfähigkeit (Resilienz) der gesamten Branche gegenüber IKT-Ereignissen zu verbessern. Zudem möchten wir erreichen, dass dem 
Thema Cyber-Security mehr Aufmerksamkeit gewidmet wird. Es wurden zwar von verschiedenen Ländern und Organisationen schon unterschiedliche Standards erarbeitet, in der Schweiz gab es aber bis jetzt noch keine Branchenempfehlung für Wasserversorger.

«Der risikobasierte Ansatz bedeutet, dass es dem Wasserversorger basierend auf den eigenen Risikoeinschätzungen überlassen bleibt, welche Massnahmen umgesetzt werden.»

Wichtiges Element des IKT-Minimalstandards und damit aller Branchenempfehlungen ist die sogenannte Minimalvorgabe bzw. das Minimalniveau, das erzielt werden muss. Dafür müssen die Aktivitäten der fünf Funktionen vom Wasserversorger mit 0 (nicht umgesetzt) bis 4 (vollständig umgesetzt) bewertet werden. Der Durchschnittswert der Bewertungen aller Aktivitäten einer Funktion sollte im Minimum 2,6 betragen. In der Empfehlung sind nun also die Minimalvorgaben klar festgehalten. Daneben ist es jedem Wasserversorger überlassen, die eigenen Vorgaben strenger als die Minimalvorgaben anzusetzen. Insbesondere für die grossen Wasserversoger ist das natürlich wünschenswert.

Nicht zuletzt möchten wir auch das Verständnis für Cyber-Security verbessern. Cyber-Security ist kein Zustand, der erreicht werden kann. Ein Unternehmen kann nie sicher sein, denn die Technologie und damit auch die Angriffsvektoren sind ständigem Wandel unterzogen. Auch die Bedrohungen und Schwachstellen eines Unternehmens verändern sich ständig. Cyber-Security ist also ein Prozess, der gelebt werden muss, und zwar vom technischen Mitarbeiter bis hin zur Geschäftsleitung. Das Unternehmen muss sich bewusst sein, dass IKT-Mittel essenziell zur Sicherstellung der Wasserversorgung sind und dass diese geschützt werden müssen. Mit der Branchenempfehlung ermöglichen wir den Wasserversorgern, einen Cyber-Security-Prozess zu etablieren, der nicht nur pragmatisch ist, sondern auch neusten Erkenntnissen und Ansätzen entspricht.

Dem Minimalstandard liegt ein risikobasierter Ansatz zugrunde. Was heisst das genau für die Nutzer des Standards?

Für die Anwender dieses Standards bietet der risikobasierte Ansatz vor allem grösstmögliche Freiheit bei der Umsetzung. Konkret heisst das, dass es dem Wasserversorger freigestellt wird, gewisse Schutzziele zu priorisieren (beispielsweise Datensicherheit) oder gar empfohlene Aktivitäten nicht umzusetzen. Der risikobasierte Ansatz bedeutet nichts anderes, als dass es dem Wasserversorger basierend auf den eigenen Risikoeinschätzungen überlassen bleibt, welche Massnahmen umgesetzt werden. Anzufügen bleibt, dass es immer das Unternehmen ist, das die Verantwortung für die IKT-Sicherheit trägt. Weder die wirtschaftliche Landesversorgung noch die Branchenverbände können dafür die Verantwortung übernehmen.

Der Standard leitet dazu an, eine Defense-in-Depth-Sicherheitsstrategie in einem Versorgungsunternehmen aufzubauen. Welche Bereiche werden mit dieser Strategie angegangen?

Der Kern des Defense-in-Depth-Ansatzes ist das prozessbasierte Vorgehen anhand verschiedener Massnahmen. Sicherheit ist kein Zustand, sondern ein Prozess, der im Unternehmen gelebt werden soll. In elf Bereichen (von Risikomanagement bis Perimetersicherheit) wird hier erklärt, auf was geachtet werden soll. Obschon die Wasserversorgung im Vergleich zu anderen Sektoren eher homogen ist, kann ich keine Empfehlungen zu spezifischen Aspekten oder Bereichen des Defense-in-Depth-Ansatzes abgeben. Wenn man den Aufbau der IT-Systeme der einzelnen Wasserversorger betrachtet, sind halt doch alle verschieden. Einige verfolgen einen sehr zentralistischen Ansatz, andere dagegen sind eher dezentral aufgestellt. Es liegt auch hier wieder im Ermessen jeder Wasserversorgung, entsprechend ihres risikobasierten Ansatzes sich über einige Themen mehr zu informieren als andere. Vielleicht hat eine Wasserversorgung seine ganze IT in die Cloud ausgelagert. Vielleicht ist für eine andere Wasserversorgung das Lieferantenmanagement besonders wichtig, dann sollte dies stärker priorisiert werden. Dementsprechend sind konkrete Empfehlungen, die für den gesamten Sektor ihre Gültigkeit haben, sehr schwierig.

Neben der Defense-in-Depth-Sicherheitsstrategie ist der NIST Framework Core ein zentrales Element des Minimalstandards. Was ist darunter zu verstehen?

Das zum IKT-Minimalstandard gehörende Cyber Security Framework respektive das Assessment-Tool richtet sich stark nach dem NIST FrameworkCore aus. NIST ist das National Institute of Standards and Technology der USA und hat unter anderem das Core-Framework entwickelt. Es handelt sich um einen international weit verbreiteten Standard, der im Vergleich etwa zu den deutschen IT-Grundschutz-Katalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie den IT-Sicherheitsstandards der ISO/IEC 27000-Reihe oder der NIST SP 800-Serie einen pragmatischeren Ansatz verfolgt und kostenfrei zur Verfügung gestellt wird. Nicht nur die wirtschaftliche Landesversorgung, sondern auch die Finanzmarktaufsicht (FINMA) haben sich für diesen Standard entschieden. Insbesondere für Querverbundunternehmen ist es wichtig, dass eine einheitliche Basis für die Cyber-Security vorhanden ist und nicht verschiedene Branchenstandards ausgehend von unterschiedlichen Grundlagen entwickelt werden.

«Für Querverbundunternehmen ist es wichtig, dass eine einheitliche Basis für die Cyber-Security vorhanden ist und nicht unterschiedliche Branchenstandards entwickelt werden.»

Konnten die Aktivitäten des NIST-Framework-Core-Ansatzes telquel übernommen werden oder wurden sie an die spezifische Situation der Wasserversorgungsbranche angepasst?

Grundsätzlich handelt es sich bei den 106 Aktivitäten, die durch jede grosse Wasserversorgung beurteilt werden sollen, um generische Massnahmen hinsichtlich Cyber-Security. Wie bereits erwähnt haben wir in der wirtschaftlichen Landesversorgung einen allgemeinen IKT-Minimalstandard erarbeitet, auf dem auch die Branchenempfehlung für die Wasserversorgung basiert. Für die Branchenempfehlung W1018 haben wir aber ganz spezifische Begleitdokumente, nämlich die Anhänge verfasst, die die Wasserversorger bei der Umsetzung unterstützen sollen. Ausserdem ist geplant, ein Ausbildungsangebot zu erarbeiten, das spezifisch auf die Wasserversorgung zugeschnitten ist. Zurzeit ist das noch Zukunftsmusik, aber ich kann mir vorstellen, dass der SVGW sowie der Schweizerische Brunnenmeister-Verband hier eine aktive Rolle einnehmen könnten.

Wird es jedem Wasserversorger selber überlassen, wie er den NIST Framework Core bzw. das Cyber Security Framework nutzt und welche Massnahmen er ergreift oder werden gewisse Massnahmen hervorgehoben, die auf jeden Fall zu ergreifen sind, um ein Mindestniveau an IT-Sicherheit zu erreichen, das für kritische Infrastrukturen angemessen ist?

Jeder Wasserversorger entscheidet entsprechend dem risikobasierten Ansatz, welche Aktivitäten priorisiert werden sollen oder gar welche Aktivitäten auf seine Organisation nicht zutreffen. Er hat somit grösstmögliche Handlungsfreiheit. Er muss lediglich berücksichtigen, dass für jede der fünf Funktionen die Minimalvorgabe von 2,6 eingehalten wird. Welche Aktivitäten dabei weggelassen oder priorisiert werden, ist dem Wasserversorger selbst überlassen. Selbstverständlich sollten seine Risikoeinschätzungen in die Auswahl und Priorisierung einfliessen.

Wie werden die Empfehlungen für die kleinen Wasserversorgungen aussehen?

Eine gesamtheitliche Anwendung und Umsetzung des IKT-Minimalstandards muten wir allen Wasserversorgern zu, die mehr als 5000 Einwohner versorgen. Die kleinen Wasserversorger dagegen erhalten spezifische Empfehlungen, die weniger umfangreich sind und somit auch weniger Ressourcen und Fachwissen benötigen. Bei diesen Empfehlungen wird insbesondere der prozessbasierte Gedanke, der dem Defense-in-Depth-Ansatz zugrunde liegt, nur beschränkt berücksichtigt. Im Vergleich zum Cyber Security Framework entsprechen die Empfehlungen eher einer Checkliste als einem Prozess, der gelebt werden soll. Hier haben wir uns der Realität hinsichtlich Ressourcen und cyber-security-spezifischem Fachwissen der kleinen Wasserversorger angepasst. Trotzdem sind diese Empfehlungen ein wesentlicher Teil der Branchenempfehlung - sie sind im Anhang 3 der W1018 zu finden -, denn es gibt sehr viele kleine Wasserversorger und schon ein Ausfall der IKT eines kleinen Wasserversorgers kann einen Teil der Bevölkerung hart treffen. Mit diesem zweigeteilten Vorgehen stellen wir sicher, dass 100 % der Wasserversorger abgedeckt sind, und somit die gesamte Schweizer Bevölkerung sowie professionelle Verbraucher von einem höheren Sicherheitsniveau und einer höheren Verfügbarkeit einer lebensnotwendigen Ressource profitieren.

Was ist über die Erarbeitung der Branchenempfehlung hinaus geplant, um das Thema IT-Sicherheit in die Wasserversorgungsbranche zu bringen und dort so zu verankern, dass es wirklich gelebt wird?

Als ersten Schritt wird die Branchenempfehlung bei den Mitgliedern des SVGW in die Vernehmlassung gegeben. Das Vernehmlassungsverfahren läuft übrigens gerade. Danach haben wir zwar einen Minimalstandard, aber die Arbeit ist noch nicht abgeschlossen. Um die Umsetzung des Standards zu erleichtern und somit den Rückhalt in der Branche sicherzustellen, möchten wir durch Pilotprojekte Umsetzungsbeispiele erarbeiten. Voraussichtlich werden Beispiele für grosse und kleine Wasserversorger erarbeitet werden. Diese können bei der Umsetzung des IKT-Minimalstandards anhand des Assessment-Tools oder anhand der Empfehlungen zur Hilfe herangezogen werden. Dies wird sicherlich einige Fragen der Wasserversorger klären und erheblich zur Erleichterung der Umsetzung beitragen.

Ausserdem kommt dem SVGW, aber auch dem Schweizerischen Brunnenmeister-Verband eine wichtige Rolle zu. Wenn bei den Wasserversorgern entsprechendes Interesse vorhanden ist, gehe ich davon aus, dass sie ihre Mitglieder hinsichtlich der Anwendung des IKT-Minimalstandards schulen und bei der Umsetzung begleitend zur Verfügung stehen. Betreffend letzterem könnte ich mir vorstellen, dass die Verbände als Plattformen zur Beantwortung von Fragen und zur Unterstützung bei der Umsetzung beitragen. Mit dem IKT-Minimalstandard stellen wir die Wasserversorgungsbranche vor eine grosse Aufgabe. Durch eine aktive Rolle der Verbände können jedoch die Wasserversorger bei der Umsetzung unterstützt werden. Wie schon mehrfach erwähnt ist Cyber-Security kein Schultest, den man besteht oder nicht, sondern ein Prozess, der gelebt und optimiert werden muss.

Kommentare

e-Paper

Mit dem Online-Abo lesen Sie das «AQUA & GAS»-E-Paper am Computer, auf dem Smartphone und auf dem Tablet.

Mit dem Online-Abo lesen Sie das «Wasserspiegel»-E-Paper am Computer, auf dem Smartphone und auf dem Tablet.

Mit dem Online-Abo lesen Sie das «Gasette»-E-Paper am Computer, auf dem Smartphone und auf dem Tablet.