Moderne Kläranlagen sind hoch vernetzt und automatisiert. Der Schutz dieser kritischen Infrastruktur im Cyberspace bringt spezifische Herausforderungen.
Eine neue Herausforderung für Betreiber
Die Digitalisierung führt zu neuen Herausforderungen, insbesondere im Bereich der Cybersicherheit. Für Betreiber und Eigentümer von Kläranlagen ist dieses Thema oft neu und schwer zu durchdringen, liegt es doch weitab des traditionellen Aufgabenfelds. Dennoch: Angesichts der steigenden Anzahl von Cyberangriffen auf nationaler und globaler Ebene, darf diese Thematik nicht ignoriert werden. Der Schutz der Anlagen vor solchen Bedrohungen ist zur Notwendigkeit geworden. Packen wir es gemeinsam an.
Gängige Schwachstellen von ARAs
Veraltete Protokolle
Protokolle wie Profibus/Profinet, die ursprünglich für isolierte, analoge Netzwerke entwickelt wurden, sind in unserer heutigen, vernetzten Welt einem erweiterten Anwendungsspektrum ausgesetzt. Diese Protokolle wurden nicht darauf ausgelegt, die Art von Sicherheit zu bieten, die das moderne Internet erfordert. Ein grosser Teil der Kommunikation in Betriebs-Netzwerken ist deshalb auch unverschlüsselt und muss besonders gut geschützt werden.
Fernwartung
Der Fernzugriff auf Maschinen ist ein notwendiger Schritt zur Effizienzsteigerung und ermöglicht zeitnahe Wartungs- und Diagnosemassnahmen. Allerdings erweitern diese Zugänge den Umfang des Netzwerks und öffnen potenziell neue Wege für den unbefugten Zugriff. Sind diese Zugänge nicht ausreichend geschützt, ergibt sich für Angreifer ein dankbares Einfallstor.
Aussenwerke
Aussenwerke sind oft direkt mit dem Hauptnetzwerk verbunden und befinden sich in öffentlich zugänglichen Bereichen. Diese Standorte bieten, wenn sie nicht ausreichend gesichert sind, einen besonders einfachen Zugriff auf ein Netzwerk einer Kläranlage.
Veraltete Soft- und Hardware
Bei älteren Geräten, die seit ihrer Inbetriebnahme nicht aktualisiert wurden, besteht oft das Problem, dass sie kontinuierlich laufen müssen und Updates zu Betriebsstörungen führen könnten. Hinzu kommt die Sorge, dass Aktualisierungen unvorhergesehene Probleme auslösen und somit den Betrieb beeinträchtigen könnten. Dies führt dazu, dass solche Geräte häufig in ihrem ursprünglichen Zustand belassen und damit potenziellen Cyberbedrohungen ausgesetzt sind.
Gemeinsam gegen Cyberrisiken
Branchenstandard IKT Minimalstandard Abwasser
IKT Minimalstandard
Der Branchenstandard IKT Minimalstandard Abwasser soll Unternehmen aus der Abwasserbranche dabei unterstützen, IKT-Störungen zu vermeiden, bzw. diese rasch zu beheben. Es ist ein Branchendokument, welches anerkannte Richtlinien und Empfehlungen zur Verbesserung der IKT-Sicherheit beinhaltet.
Mehr erfahren beim Bundesamt für wirtschaftliche Landesversorgung
Angriffssimulationen
Angriffssimulationen
Theorie ist gut, Praxis ist besser. Eine Angriffssimulation kann Schwachstellen aufdecken und zeitgleich zur Mitarbeitersensibilisierung und -schulung verwendet werden.
Informationsaustausch zwischen ARAs
Informationsaustausch zwischen ARAs
Die meisten ARAs in der Schweiz verwenden die gleichen Hard- und Softwarekomponenten. Fällt eine ARA einem Cyberangriff zum Opfer, sind andere ARAs einem ähnlichen Risiko ausgesetzt. Wir koordinieren den aktiven Austausch zwischen ARAs, um so die Sicherheit aller Parteien zu erhöhen.
Gesetzliche Meldepflicht
Gesetzliche Meldepflicht für Cyberangriffe
Aktuell wird im Parlament noch darüber debattiert, doch voraussichtlich gilt in der Schweiz ab 2024 eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Meldungen an das National Cyber Security Centre NCSC wären innerhalb 24 Std. zu erfolgen. Dadurch sollen breitere Angriffe auf die Schweiz besser erkannt werden können.
«Durch eine Angriffssimulation konnten wir unseren Vorstand, die Geschäftsführung sowie Mitarbeitenden für das Thema der Cybersicherheit sensibilisieren und konkrete Verbesserungen vornehmen.»
Vorstandsmitglied einer ARA im Kanton Schwyz
In der Praxis
Möchten Sie mehr erfahren? Wir haben einen Bericht über einen simulierten Angriff auf eine ARA in Aqua & Gas veröffentlicht.
