Auch im Bereich Wasser/Abwasser ist die IT-Sicherheit ein wichtiges Thema, dem sich unter anderem die Verbände angenommen haben. Das hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu veranlasst, einen Branchenstandard zum Thema IT-Sicherheit durch die beiden Fachverbände DVGW und DWA erstellen zu lassen. Der Standard legt fest, welche Maßnahmen ein Betreiber zukünftig treffen sollte, um sich vor Angriffen aus der digitalen Welt zu schützen. Auf Basis der langjährigen Erfahrung in diesem Umfeld stellt Phoenix Contact den Anlagenbetreibern passende Produkte und Dienstleistungen zur Verfügung.
Das Unternehmen stellt neben klassischen Komponenten wie Reihenklemmen, Stromversorgungen und Überspannungsschutz eine Vielzahl applikationsspezifischer Automatisierungs- und Netzwerktechniken, Kommunikationsinfrastrukturen und Visualisierungslösungen zur Verfügung. Wenn es um die IT-Sicherheit geht, kommt diesen Produktgruppen eine große Bedeutung zu.
Deshalb und aufgrund der langjährigen Erfahrungen im Umfeld der Netzwerktechnik sowie des ausgereiften Portfolios an Security Appliances, wie der Produktfamilie FL mGuard, bietet Phoenix Contact zukünftig entsprechende Dienstleistungen für Anlagenbetreiber der Wasser- und Abwasserwirtschaft an, die ganzheitlich und herstellerunabhängig sind.
Technische und organisatorische Betrachtung des Ist-Zustands
Da die Sicherheit einer Anlage kein statischer Zustand ist, sondern dynamisch an neue Rahmenbedingungen adaptiert werden muss, hat das Competence Center Cyber Security Dienstleistungen entwickelt, die den kompletten Lebenszyklus der Applikation umfassen.
Die Unterstützung der Anlagenbetreiber erstreckt sich von der Analyse des Ist-Zustands über die Umsetzung der gemeinsam erarbeiteten Maßnahmen bis zur regelmäßigen Überprüfung der Anwendung, um das Sicherheitsniveau durch Anpassungen zu erhalten und weiter zu steigern. „Wir verstehen uns als Partner unserer Kunden, die wir während der gesamten Laufzeit ihrer Anlage begleiten“, fasst Michael Bächle, Mitarbeiter im Competence Center Cyber Security die Philosophie seines Teams zusammen.
Dokumentation der IT-Sicherheit
Dem Anlagenbetreiber sollte bewusst sein, dass die Realisierung der IT-Sicherheit nicht mit der Untersuchung der Netzwerk- und Automatisierungsstruktur abgeschlossen ist. Vielmehr muss die technische und organisatorische Betrachtung des Ist-Zustands dokumentiert und dem Betreiber erläutert werden, in welchen Bereichen unter Umständen Gefahren auftreten können.
Während der ersten Analyse stellen die Security-Experten von Phoenix Contact daher meist viele Fragen. Als klassisches Beispiel für die organisatorische Sicherheit sei der Nachweis von Richtlinien angeführt, in denen der Zugang unternehmensfremder Personen zu bestimmten Anlagenteilen oder zum zentralen Leitrechner der Anlage geregelt ist.
Technische und organisatorische Sicherheit
Die technische unterscheidet sich von der organisatorischen Sicherheit darin, dass es bei ihr im Allgemeinen um einen physischen Schutz geht, also beispielsweise die Verweigerung des Zutritts. Der Zutritt zur Anlage kann durch einen Zaun, die Sicherung der Fenster und Türen, den Einbau einer Alarmanlage, die Videoüberwachung des Objekts, aber auch durch eine Firewall und Benutzerkonten beschränkt werden.
Bei der organisatorischen Sicherheit handelt es sich in der Regel um Arbeitsanweisungen, die genau festlegen, was zu welchem Zeitpunkt in welcher Form zu tun ist. Die jeweiligen Aktivitäten sind in spezifischen Notfallplänen beschrieben. Die Mitarbeiter lassen sich in Schulungen für diesen Themenkomplex sensibilisieren und trainieren.
Phoenix Contact auf der Ifat
Wer sich tiefgehender über IT-Sicherheit in der Wasserwirtschaft informieren möchte, findet Phoenix Contact auf der Ifat 2018 in München in Halle C1, am Stand 433/532. Messebesucher erhalten dort auch ihr persönliches Exemplar des IT-Sicherheitsleitfadens mit sämtlichen Informationen und Praxisbeispielen.