IT-Sicherheitsstandard Wasser/Abwasser (B3S)

Vor dem Hintergrund einer erhöhten Anzahl von immer komplexer werdenden Cyberangriffen hat die IT-Sicherheit für die Betreiber Kritischer Infrastrukturen eine hohe Relevanz. Wir alle benötigen frisches Trinkwasser sowie eine funktionierende Abwasserentsorgung und -aufbereitung. Stellen Sie sicher, dass die informationstechnischen Systeme, Komponenten und Prozesse Ihrer Wasserversorgungs- und Abwasserentsorgungsanlagen vor Ausfall und Manipulation geschützt sind.

Der Gesetzgeber schreibt vor, dass Versorgungsunternehmen, die die Schwellenwerte der BSI-Kritisverordnung (BSI-KritisV) erreichen oder überschreiten, ihre IT-Infrastruktur entsprechend der im BSI-Gesetz definierten Mindestanforderungen schützen und die Implementierung der dafür notwendigen Schutzmaßnahmen alle zwei Jahre dem BSI gegenüber nachweisen müssen.

Unter die BSI-KritisV fallen derzeit alle Wasserversorgungsunternehmen, deren jährliches Wasseraufkommen bei mindestens 22 Millionen m³/Jahr liegt (bezogen auf die Anlagenkategorien Wasserwerk, Gewinnungsanlage, Aufbereitungsanlage, Wasserverteilungsnetz und Leitzentrale).

Darüber hinaus empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber auch kleinen und mittleren Wasserversorgungsunternehmen, die nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinander zu setzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen.

DVGW und DWA haben zur Unterstützung der Wasserwirtschaft den branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S WA) entwickelt, der sowohl den von der BSI-KritisV betroffenen Unternehmen wie auch kleinen und mittleren Wasserver- und Abwasserentsorgungsunternehmen ein Instrument an die Hand gibt, um ein Schutzniveau zu implementieren, dass dem Stand der Technik entspricht. Das BSI hat die Eignung des IT-Sicherheitsstandards für den Sektor Wasser gemäß § 8a (2) BSI-Gesetz festgestellt.

Der Branchenstandard "IT-Sicherheit Wasser/Abwasser" (B3S WA), bestehend aus dem DVGW-Merkblatt W 1060 und der Web-Applikation "IT-Sicherheitsleitfaden", dient zur branchenspezifischen Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlagen.

Durch die Berücksichtigung des Merkblatts zusammen mit dem "IT-Sicherheitsleitfaden" kann das Risiko einer Beeinträchtigung der Daseinsvorsorge aufgrund einer abstrakten, d. h. einer nach den vorliegenden Erkenntnissen möglichen Gefahr, reduziert werden. Im Falle einer konkreten, d. h. einer in einem einzelnen Fall bestehenden Gefahr, können die ergriffenen Schutzmaßnahmen auf ihre Wirksamkeit hin eingeordnet werden.

Mit der Veröffentlichung der Version 2021 des branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S WA) wurde die Umstellung des B3S WA vom BSI-Grundschutz auf das IT-Grundschutzkompendium abgeschlossen und den neuen gesetzlichen Vorgaben des aktuellen, durch das IT-SIG 2.0 geänderten BSIG für den Sektor Wasser Rechnung getragen. Wie bei den Vorgängerversionen hat das BSI für die Version 2021 des B3S WA die Eignungsfeststellung erteilt, so dass wie bisher mit der Implementierung der im Update des IT-Sicherheitsleitfadens hinterlegten Schutzmaßnahmen die Anforderungen der gesetzlichen Vorgaben nach § 8a Abs. 1 BSI-Gesetz für den KRITIS-Sektor Wasser erfüllt werden.

Die Version 2021 enthält vier neue Anwendungsfälle (AR6 Datenverbindung über öffentliche Netze, AR7 Virtualisierung, AR8 IoT-Geräte und ID1 Intrusion Detection). Der Anwendungsfall OM1 wurde um die Anforderungen zum Cloud-Computing erweitert.