Was war das Ziel?
Kritische Infrastrukturen wie Wasserversorgungen kommen wegen der IT-Security seit einigen Jahren immer stärker in den Fokus krimineller Organisationen oder Staaten. Dies hat das Bundesamt für wirtschaftliche Landesversorgung dazu bewogen, eine Branchenrichtlinie in Zusammenarbeit mit dem Branchenverband SVGW zu erarbeiten. Die entsprechende Richtline «IKT-Minimalstandard W1018» wurde im März 2019 verabschiedet und steht der Branche zur Verfügung.
In diesem Zusammenhang wollte die Wasserversorgung Muttenz nach der Fertigstellung der neuen Trinkwasseraufbereitungsanlage inkl. Netzleitsystem dessen Kompatibilität mit der Branchenempfehlung unabhängig überprüfen lassen. Dazu wurde eine Konzeptstudie erarbeitet, in der es darum ging, den IST-Zustand des Prozessleitsystem betreffend IKT Minimalzustand gemäss W1018 aufzunehmen, die Abweichungen zur Branchenempfehlung W1018 aufzuzeigen und in einem Massnahmenkatalog mit Priorisierung und einem Grobbudget festzuhalten.
In der Folge wurde ein Netzwerk- und Zonenkonzept als Grundlage für die Realisierung erstellt, die Realisierung der Massnahmen begleitet und mittels IST/SOLL Vergleich im IKT Minimalstandard Assessment-Tool dokumentiert.
Was konnten wir beitragen?
- Aufnahme der IST-Situation und Gegenüberstellung mit den Anforderungen der Brachenrichtlinie W1018
- Einfache Risikobewertung pro Bereich und Definition von Massnahmen zur Risikoreduktion
- Priorisieren, Etappieren und Budgetieren der Massnahmen
- Erstellen eines Abschlussberichts inkl. Abschlusspräsentation vor der technischen Kommission der Gemeinde Muttenz
- Ausarbeitung eines Netzwerk- und Zonenkonzept als Grundlage für die Umsetzung von Securitymassnahmen durch den Systemlieferanten
- Überführen von wiederkehrenden Massnahmen in einen Wartungsvertrag «Security» des Systemlieferanten
- Dokumentation der Ausgangslage ohne Massnahmen und dem Zielzustand inkl. der Umgesetzten Massnahmen in einer Gap-Analyse zuhanden der Geschäftsleitung
Was war besonders?
- Der Auftrag wurde vor, bzw. während der Publikation des Brachenstandards W1018 ausgeführt. Ein Abgleich der Massnahmen gemäss IKT Minimalstandard geschah deshalb erst in einem zweiten Schritt
- Durch die enge und partnerschaftliche Zusammenarbeit von Brunnenmeister, Systemlieferant und Ingenieur konnten die zum Teil abstrakten Securityanforderungen des IKT Minimalstandards pragmatisch und Lösungsorientiert adressiert und umgesetzt werden
Was ist der Nutzen?
- Lieferantenneutrale Beurteilung der Systeme und Konzepte in Bezug auf den ICT Minimalstandard als Zweitmeinung schafft eine solide Basis für Entscheidungen
- Die im Kurzbericht zusammengefassten Erkenntnisse dienen der Planung und Budgetierung von nötigen Massnahmen
- Gespräche und Diskussionen verbessern das Bewusstsein für mögliche Gefahren und ermöglichen ein entsprechendes Risikomanagement
- Ein gesamtheitliches Verständnis und dadurch klare Beauftragung von Massnahmen bedingt durch die bereite Fachkompetenz in den Bereichen Betrieb von Wasserversorgungen, Leittechnik und Security