Key Visual Cybersecurity in der Wasserindustrie

Cybersecurity in der Wasserindustrie

Mit der zunehmenden Digitalisierung in der Wasserwirtschaft gewinnt auch Cybersicherheit mehr und mehr an Bedeutung – zum Schutz der kritischen Infrastrukturen vor Cyberattacken.
Versorgungssicherheit gewährleisten

Jeden Tropfen Wasser vor Cyberattacken schützen

Anlagenverfügbarkeit und Versorgungssicherheit haben in der Wasserindustrie oberste Priorität. Daher verdient beides in einer digitalen Welt, in der IT und OT mehr und mehr verschmelzen, besonderen Schutz – gegen Angriffe von extern sowie fahrlässiges Verhalten von Mitarbeitern. Und das rund um die Uhr. Verlangt wird ein ganzheitliches Sicherheitskonzept, das zuverlässig vor Cyberattacken schützt.

Digitale Transformation braucht Cybersicherheit

Mit dem kontinuierlich steigenden Bedrohungspotenzial durch Cyberattacken wächst bei Wasserversorgern auch das Bewusstsein für entsprechende Schutzmaßnahmen – und die Erkenntnis, dass eventuelle Sicherheitslücken unbedingt aufzuspüren und zu schließen sind. Dieses Umdenken erfolgt vor allem in den Industrieländern, wo Anlagensicherheit auch durch immer strengere Vorschriften gefordert wird – in Deutschland etwa durch das IT-Sicherheitsgesetz 2.0.

 

Viele der sich häufenden Cyberangriffe auf kritische Infrastrukturen sind gezielte Attacken mittels Ransomware. Mit dieser Art Malware versuchen Kriminelle, Daten zu verschlüsseln, um so den Zugriff darauf zu verweigern. Vor der erneuten Entschlüsselung dieser Daten wird meist ein Lösegeld gefordert. Betreiber haben aber nicht nur erhebliche finanzielle Konsequenzen zu befürchten, sondern auch den Kontrollverlust über die Anlage durch Hacker.

 

Siemens unterstützt die Wasserindustrie dabei, ihre kritischen Infrastrukturen vor Cybergefahren zu schützen – mit mehr als 30 Jahren Erfahrung auf diesem Gebiet und einem weltweit einzigartigen Portfolio.

Whitepaper Industrial Security

Defense-in-Depth-Konzept für die Wasserwirtschaft

Das Whitepaper  beschreibt die Bedrohungen und Risiken, denen industrielle Automatisierungs- und Steuerungssysteme in Wasser und Abwasseraufbereitungsanlagen und -netzwerken ausgesetzt sind, und stellt Best-Practice-Konzepte für die Minimierung dieser Risiken vor, mit denen eine Schutzstufe erreicht werden kann, die sowohl für die wirtschaftlichen Rahmenbedingungen als auch den gewünschten Sicherheitsgrad annehmbar ist

Ignorierte Risiken können das Geschäft vernichten
Natalia Oropeza, Chief Cybersecurity Officer of Siemens
Defense in Depth

Mehrstufiger Schutz von Wasseranlagen

Wie schützt man sich am besten vor Eindringlingen? Im Mittelalter verließ man sich auf mehrstufige Schutzkonzepte – mit einer Reihe von Barrieren, die nacheinander zu überwinden waren. Dieses Konzept findet auch heute noch Anwendung – und bietet unter dem Namen „Defense in Depth“ Sicherheit vor Cyberattacken.

Defense-in-Depth-Konzept nach den Empfehlungen der IEC 62443

Cybersecurity ist auch in der Wasserindustrie immer als ganzheitlicher Prozess zu verstehen. Um Anlagen gegen interne und externe Bedrohungen zu verteidigen, müssen alle Ebenen gleichzeitig geschützt werden – von der Betriebsleitebene bis zur Feldebene und von der Zugangskontrolle bis zum Kopierschutz.

 

Für diesen umfassenden Schutz sorgt unser sogenanntes Defense-in-Depth-Konzept. Dieser ganzheitliche Ansatz basiert auf Anlagensicherheit, Netzwerksicherheit und Systemintegrität – wie es die IEC 62443 empfiehlt.

Cyberwater Tunnel
Cybersecurity in der Wasserwirtschaft

Ihr Lösungspartner für Anlagensicherheit

Als Treiber der digitalen Transformation und Partner der Wasserbranche bietet Siemens alles für die Planung und den Betrieb sicherer Anlagen.

Sicherheit gemäß IEC 62443

Siemens hat es sich zur Aufgabe gemacht, die Anlagensicherheit in der Wasserwirtschaft zu gewährleisten – auf Basis von Zertifizierungen und Normen wie der IEC-Norm 62443, die international als der umfassendste industrielle Security-Standard anerkannt ist. Die IEC 62443 deckt mehrheitlich die nationalen Standards ab, oder nationale Normen beziehen sich auf sie. Generell lassen sich Anforderungen aus lokalen Standards, etwa in Ausschreibungen, ohne großen Aufwand mit Security-Maßnahmen aus der IEC 62443 beantworten.

 

Dass Siemens wie kaum ein anderes Unternehmen das Thema Cybersecurity vorantreibt, belegt auch die Zertifizierung durch externe Stellen wie den TÜV. Siemens ist das erste Unternehmen, das die TÜV SÜD-Zertifizierung auf Basis der IEC 62443-4-1 für den PLM-Prozess aller Produktions- und Entwicklungsstandorte für Produkte aus Digital Industries erhalten hat. Die Sicherheit ist bereits eingebaut, nach mehreren Standards.

 

Zudem bietet Siemens – als einer der erster System- und Lösungsanbieter überhaupt – Referenzarchitekturen (Blaupausen), die speziell auf die Erfordernisse der Branche zugeschnitten sind. Diese Blaupausen sowie die entsprechende Dokumentation zur sicheren Konfiguration von Leitsystem und Kommunikation wurden im April 2020 erstmalig durch den TÜV-Süd nach IEC 62443-3-3 zertifiziert. Um den Systemintegratoren eine Grundlage für ein Cybersecurity-Konzept sowie die aufwands- und risikoarme Anpassung an kundenspezifische Anforderungen zu ermöglichen, stehen die entsprechenden Dokumente jederzeit zur Verfügung. Damit unterstützen wir die Betreiber kritischer Infrastrukturen bei der Erreichung des geeigneten Sicherheitslevels ihrer Anlagen auch gemäß nationaler Standards – zum Beispiel B3S WA sowie BSI IT-Grundschutz-Kompendium, das die internationale Norm IEC 62443 berücksichtigt. 

Unsere Industrial Security Services gliedern sich in drei Phasen. In der ersten ermitteln unsere Experten das aktuelle Risikopotenzial und beraten Sie hinsichtlich einer anlagenspezifischen Security-Strategie. Im Anschluss wird diese umgesetzt und die identifizierten Sicherheitslücken werden geschlossen. In einer dritten Phase stehen wir Ihnen zur Seite, um den erreichten Sicherheitsstatus in Ihren Anlagen auf Dauer zu halten.

Die fortschreitende Vernetzung und Digitalisierung von Automatisierungs- und IT-Systemen sowie die wachsende Bedrohung durch Cyberattacken zwingt Anlagenbetreiber, verstärkt in den entsprechenden Schutz ihrer Systeme und Anlagen zu investieren, um die Versorgungssicherheit sicherzustellen. Siemens bietet für die Cybersecurity erprobte und zertifizierte Sicherheitskonzepte wie beispielsweise das Defense-in-Depth-Konzept, spezielle Referenzlösungen sowie dazugehörige Services als integralen Bestandteil von Anlagenplanung, -engineering und -betrieb. Anwender profitieren damit von durchgängigen Konzepten und Lösung – mit Siemens als zuverlässigem Partner.

Use cases

Anwendungsbeispiele

Maschinen und Anlagen vor unberechtigtem Zugriff schützen

Ein wesentlicher Schutzmechanismus von Automatisierungskomponenten ist die durchgängige und protokollierte Zugriffskontrolle. Genau dafür steht der SIMATIC RF1000 Access Control Reader. Mit der RFID-basierten Lösung lässt sich eine elektronische Zugriffsverwaltung einfach und flexibel implementieren. So kann das Bedienpersonal an Maschinen und Anlagen sicher identifiziert und mit entsprechenden Zugriffsberechtigungen ausgestattet werden.

 

Besonders praktisch und wirtschaftlich: Als Basis für die Identifikation werden die bereits vorhandenen Mitarbeiterausweise genutzt. Mit den SIMATIC RF1000-Readern lassen sich fein abgestufte Zugriffskonzepte realisieren, Vorgänge dokumentieren oder benutzerspezifische Hinweise und Anweisungen hinterlegen.

Remote connectivity

Ob Standleitung, Telefon, Mobilfunk oder Internet: Im Rahmen unseres Portfolios bieten wir Ihnen alles für eine effiziente und sichere Fernkommunikation über Remote Networks – ganz gleich, ob drahtgebunden oder drahtlos, IP-basiert oder analog. Damit lassen sich über private und öffentliche Netze Kommunikationsanbindungen realisieren, die Sie sowohl für Telecontrol als auch für Teleservice nutzen können.

SINEC NMS

Das Netzwerk-Management-System SINEC NMS unterstützt die Netzwerksicherheit von Anlagen mit einer Reihe von Funktionen – z. B. mit einem zentralen, regelbasierten Firewall-Management. SINEC NMS ermöglicht die zentrale Konfiguration und Verwaltung von SCALANCE S Industrial Security Appliances – und bietet zahlreiche sicherheitsrelevante Features:

  • Zentrale Firmware-Updates
  • Umfassendes System-Backup und -Restore
  • Erweitertes Zertifikate-Management
  • Zentrales, regelbasiertes Management für Firewalls- und Network Address Translation (NAT)
  • Lokale Dokumentationsfunktion über Audit Trails
  • Zentrales Weiterleiten von Informationen über Syslog

Security-Leitfaden für SIMATIC HMI-Bediengeräte und SIMATIC WinCC Unified

In der Automatisierung hat es oberste Priorität, die Kontrolle über Produktion und Prozess aufrechtzuerhalten. Auch Maßnahmen, mit denen die Ausbreitung einer Sicherheitsbedrohung verhindert werden soll, dürfen dies nicht beeinträchtigen. Wir unterstützen Sie mit entsprechenden Strategien dabei, mehr Sicherheit bei der Projektierung und Bedienung von SIMATIC HMI-Bediengeräten und SIMATIC WinCC Unified-Projekten zu erzielen. Hierzu gehen wir konkret auf die folgenden Themenfelder ein:

  • Wie lassen sich Manipulationen während der Projektierung minimieren bzw. ganz verhindern?
  • Wie lassen sich durch Geräteeinstellungen und Zugriffsbeschränkungen Gefahren reduzieren?
  • Wie lassen sich durch äußere bauliche Maßnahmen sowie gerätespezifische Einstellungen Risiken minimieren?
  • Wie lässt sich durch geeignete Schutzmaßnahmen ein ungewollter Fernzugriff verhindern?

Neue Security-Funktionen in TIA Portal V17

Mit TIA Portal V17 wurden verschiedene Verbesserungen bei der Sicherheit für die Kommunikation zwischen Engineering Stations, CPUs und HMI-Panels eingeführt, durch die Nutzer von einem Assistenten geführt werden. Im Wesentlichen handelt es sich hierbei um:

  • Verschlüsselung der Kommunikation über ein Transport Layer Security-Protokoll oder TLS – durch Anwendung individueller Zertifikate für jeden Partner. Die Zertifikate können importiert oder in TIA Portal mit dem Zertifikatsmanager erstellt werden
  • Schutz vertraulicher CPU-Konfigurationsdaten mit benutzerdefiniertem Passwort (optional)
  • Konzept der eingebauten Sicherheit „Security by Default“: Verschiedene Optionen wurden vorkonfiguriert und sind voreingestellt, um für Maschinen und Anlagen eine höhere Sicherheitsstufe zu gewährleisten
Musterarchitekturen

Sichere Leitsystemarchitekturen nach IEC 62443

Ob Ihr nächstes Projekt eine Frischwasser-, Abwasser- oder Entsalzungsanlage ist: Wir bieten Ihnen Blaupausen für Systemarchitekturen, die optimalen Schutz vor Cyberangriffen bieten – für Anlagen jeder Größe. Unsere Musterarchitekturen decken die typischen Anwendungsbereiche ab und beinhalten auch detaillierte Leitfäden zur sicheren Konfiguration.

Blaupausen für Leitsystemarchitekturen – verfügbar in unserem Water Portal für SIMATIC PCS 7 und WinCC

Referenzen

Cybersecurity im täglichen Betrieb

Erfahren Sie, wie unsere Kunden in einer zunehmend digitalen Welt auf Nummer sicher gehen.