Fachbericht: Umsetzung des B3S-Sicherheitsstandards im Klärwerk Langwiese
Im Rahmen der Modernisierung der elektrotechnischen Anlagen des Klärwerks Langwiese haben die Verantwortlichen besonderes Augenmerk auf einen hohen IT-Sicherheitsstandard gelegt. Zum Einsatz kommt deshalb das IRMA-System, das die Netzwerke kontinuierlich überwacht, Anomalien detektiert und die Mitarbeiter dann sofort alarmiert.
Aufbau eines neuen Lichtwellenleiter-Netzwerks
Die entsprechenden Maßnahmen zur Modernisierung der elektrotechnischen Ausrüstung des Klärwerks Langwiese beinhalteten die Erneuerung der Automatisierungstechnik sowie die Aktualisierung der Netzwerk- und Prozessleittechnik. Im Hinblick auf die Anlagengröße ebenso wie zur Erfüllung der künftig sicher weiter steigenden Security-Anforderungen wurde dabei der Fokus auf einen hohe IT-Sicherheitsstandard gelegt.
Deshalb sind die Rahmenbedingungen des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen branchenspezifischen Sicherheitsstandards B3S berücksichtigt worden. Der Betreiber muss hier jederzeit in der Lage sein, den Nachweis eines sicheren Betriebs zu erbringen. Darüber hinaus stellen die Branchenverbände DWA und DVGW allen Betreibern von Trinkwasserversorgungs- und Abwasserentsorgungsanlagen mit dem Merkblatt W1060/M1060 einen praktischen Handlungsrahmen als Mindeststandard zur Verfügung. Die jeweiligen Arbeiten werden im Rahmen umfangreicher Umbaumaßnahmen im laufenden Betrieb durchgeführt. Zur Datenübertragung ist parallel zum vorhandenen Netzwerk ein Lichtwellenleiter-System (LWL) aufgebaut worden. Auf diese Weise konnten die neuen IT- und Automatisierungskomponenten unabhängig von der Bestandsanlage sukzessive in das neue, zugriffssicherere Netzwerk integriert werden. „Abgeleitet aus dem praktischen Handlungsrahmen des B3S-Sicherheitsstandards haben wir den Verantwortlichen des Klärwerks Langwiese geraten, von Beginn an das IRMA-System (Industrie Risiko Management Automatisierung) einzusetzen“, erklärt das Planungsbüro Dreher + Stetter. „So konnte sich das Personal sofort mit der neuen Sicherheitslösung vertraut machen. Außerdem hat der Betreiber stets den Überblick über sein Netzwerk und die Dokumentation der dort befindlichen Teilnehmer lässt sich lückenlos aufstellen.“
Anzeige selbst nicht dokumentierter Teilnehmer
Bei IRMA handelt es sich um ein Industrie-Computer-System, das die vernetzten Anlagen der Trinkwasserver- und Abwasserentsorgung kontinuierlich überwacht, Anomalien im Datenverkehr erkennt sowie die Analyse und intelligente Alarmierung der Mitarbeiter über eine übersichtliche Management-Konsole ermöglicht. Die automatische Detektion der Netzwerk-Teilnehmer (Assets) erfolgt passiv. Es wird also kein Teilnehmer aktiv angefragt, was eine höhere Netzlast im Datenverkehr vermeidet. Bei einer aktiven Abfrage könnten außerdem viele ältere Geräte sensibel reagieren, sodass Funktionsstörungen auftreten. Als Ergebnis der passiven Abfrage zeigt IRMA automatisch selbst nicht dokumentierte, folglich unbekannte Komponenten und Datenverbindungen an. Auf diese Weise lässt sich der aktuelle Netzplan jederzeit darstellen und protokollieren. Eine händische Pflege kann entfallen.
Die festgestellten Assets können anschließend vom Betriebspersonal validiert und schriftlich festgehalten werden. Aufgrund des in IRMA integrierten Sicherheits-standards B3S-Wasser steht eine Risikoanalyse für die notwendigen Anwendungsfälle zur Verfügung. Die relevanten Bedrohungskategorien/Gefährdungen werden visualisiert und die entsprechenden Maßnahmen für die betroffenen Abteilungen, Mitarbeiter, Hard- und Software direkt den passenden Systemen/Assets zugeordnet. Es findet somit eine standardkonforme Dokumentation statt. Die Verantwortlichen erhalten eine Liste der wesentlichen Maßnahmen, deren Realisierung strukturiert geplant und nachverfolgbar dokumentiert wird. Der Umsetzungsgrad ist ständig in IRMA überprüfbar. Anomalien im Datenverkehr oder Änderungen der Netzwerktopologie – beispielsweise zusätzliche Netzwerkteilnehmer – werden automatisiert über potentialfreie Kontakte an das Leitsystem des Klärwerks weitergeleitet. Bei einem eventuellen Angriff ist also eine geschlossene Meldekette sichergestellt. Die Hardware-Plattform, auf der die von der Videc Data Engineering GmbH vertriebene IRMA-Security-Appliance-Software installiert wurde, bildet ein hochwertiger Industrie-PC für die 19-Zoll-Rack-Montage.
Zur Vernetzung aller Automatisierungskomponenten sind in den verschiedenen Gewerken der Kläranlage managebare Switches verbaut, die ein redundanter Netzwerkring miteinander verbindet. Dabei wird der Datenverkehr der einzelnen aktiven Ports an jedem Switch direkt auf einen definierten Port gespiegelt. Danach steht der komplette Traffic dem IRMA-System zur Analyse bereit. Neben der Port-Spiegelung (Port Mirroring) trennt die VLAN-Funktionalität der Managed Switches zudem die Netzwerke für die Automatisierungsgeräte von dem der Leittechnik.
Aufruf über einen Standard-Webbrowser
Die Verbindung zu den managebaren Switches geschieht über die beiden Netzwerkschnittstellen des Industrie-PCs für die 19-Zoll-Rack-Montage – einmal zur Überwachung des Automatisierungsnetzwerks sowie andererseits zum Monitoring der Leittechnik-Komponenten.
Die Alarmmeldungen werden mittels potentialfreier Kontakte über eine digitale Schnittstelle an eine vorhandene Steuerung und von dort an das Leitsystem gesendet. Der Auf-ruf der IRMA-Management und Analyse-Konsole erfolgt über einen Standard-Webbrowser und wird durch ein Software-Zertifikat geschützt. Die intuitiv zu bedienen-de Web-Oberfläche erlaubt die Validierung der Assets, Durchführung des Risikomanagements sowie Kontrolle des Datenverkehrs. Alarme werden hier detailliert auf-geführt und protokolliert. Spezielles IT-Wissen ist nicht erforderlich. Da bei einer Modernisierung nicht sämtliche Netzwerkteilnehmer gleichzeitig in Betrieb gehen, erweist es sich als hilfreich, die Assets einfach validieren und eine Risikobewertung als Checkliste vornehmen zu können. Aufgrund der Webbrowser-Funktionalität kann das Betriebspersonal dezentral über die Programmiergeräte der Automatisierungstechnik oder die Panel-Bediengeräte in den Schaltschränken der unterschiedlichen Gewerke auf die IRMA-Management- und Analyse-Konsole zugreifen. „Bei fortschreitender Modernisierung der Anlagenteile waren wir überrascht, dass bis dato unbekannte Netzwerkteilnehmer im IRMA-Netzplan auf-tauchten“, erklärt Alexander Rischka, verantwortlich für den Betrieb der Automatisierungs- und Leittechnik des Klärwerks Langwiese. „Einer der unbekannten Teilnehmer hatte sogar Zugang zum Internet.“
Erschienen in 04/2020 AutomationBlue
Autor: Hans-Jürgen Fiene
0 Kommentare