Den Bescheid zur Eignung des Standards überreichte BSI-Präsident Arne Schönbohm am 31. Juli an die Vertreter der für diesen Bereich regelsetzenden Verbände DVGW, Prof. Dr. Gerald Linke und DWA, Otto Schaaf. Damit ist der B3S der erste anerkannte Sicherheitsstandard für einen KRITIS-Sektor. Betreiber Kritischer Infrastrukturen aus dem Sektor Wasser, die den Anforderungen des IT-Sicherheitsgesetzes unterliegen, müssen ihre Informationstechnologie nach dem Stand der Technik absichern und können dies nun anhand des B3S umsetzen. Der B3S Wasser/Abwasser enthält Rahmenanforderungen, die auf die tatsächlichen Gegebenheiten im KRITIS-Sektor Wasser zugeschnitten sind, eine Vorgehensweise zur Risikoanalyse sowie eine Sammlung von Sicherheitsmaßnahmen, um den identifizierten Risiken zu begegnen.
140 Maßnahmen aus dem Grundschutz
Im B3S Wasser/Abwasser ist unter anderem ein Gesamtpaket von rund 140 Maßnahmen aus dem IT-Grundschutz des BSI enthalten. Hierzu erklärt Arne Schönbohm, BSI-Präsident: „Als nationale Cyber-Sicherheitsbehörde treiben wir die Umsetzung des IT-Sicherheitsgesetzes erfolgreich voran. Der branchenspezifische Sicherheitsstandard Wasser/Abwasser ist die Grundlage für mehr Cyber-Sicherheit in diesem für Staat, Wirtschaft und Gesellschaft lebenswichtigen Versorgungsbereich. Wie wichtig das notwendige Maß an IT-Sicherheit in der Digitalisierung ist, haben Cyber-Angriffe wie WannaCry oder Petya/NotPetya gezeigt, bei denen auch Unternehmen in Deutschland erhebliche Schäden erlitten haben.“ Prof. Dr. Gerald Linke, Vorstandsvorsitzender des Deutschen Gas- und Wasserfaches (DVGW): „Die Finalisierung des Branchenstandards IT-Sicherheit Wasser/Abwasser ist ein großer Schritt nach vorne. Denn Unternehmen der Branche bekommen damit ein hilfreiches Instrument an die Hand, um ihre IT-Infrastruktur gesetzeskonform zu schützen. Angesichts steigender Hackeraktivitäten wird es zukünftig immer wichtiger, das Risiko eines Ausfalls durch Cyber-Angriffe zu minimieren. Der DVGW unterstützt die Branche, ihre Infrastruktur innovativ aufzustellen.“
„Reibungslose Zusammenarbeit“
Otto Schaaf, Präsident der Deutschen Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA) ergänzte: „Dass eine technische Regel von einer Behörde vor Veröffentlichung anerkannt werden muss, war für die regelsetzenden Verbände ein Novum. Umso wichtiger war die enge Einbindung der beiden Bundesbehörden BSI und BBK bei der Erarbeitung des Branchenstandards. Die reibungslose Zusammenarbeit hat dazu geführt, dass der Wassersektor die erste Branche ist, die die Eignungsfeststellung bescheinigt bekommt.“ Die Erstellung des B3S Wasser/Abwasser wurde vom Branchenarbeitskreis Wasser/Abwasser des UP KRITIS eingeleitet und in einem hierfür gegründeten Arbeitskreis von Repräsentanten der regelsetzenden Verbände DVGW und DWA erstellt. Nach Fertigstellung des B3S wurde dessen Eignung vom BSI in Zusammenarbeit mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und den zuständigen Aufsichtsbehörden festgestellt. Die Verbände DVGW und DWA werden den Standard nun ihren Mitgliedsunternehmen zur Verfügung stellen.
Mindestanforderungen erfüllen
Durch die Anwendung des branchenspezifischen Sicherheitsstandards können Betreiber aus dem KRITIS-Sektor Wasser (Branchen „Öffentliche Wasserversorgung“ und „Öffentliche Abwasserbeseitigung“) die Mindestanforderungen für IT-Sicherheit gemäß § 8a (1) BSI-Gesetz erfüllen. Auch Unternehmen aus dem KRITIS-Sektor Wasser, die nicht als Betreiber einer Kritischen Infrastruktur im Sinne des BSIG gelten, können den Standard umsetzen und somit das IT-Sicherheitsniveau des Unternehmens erhöhen. Der B3S Wasser/Abwasser wird damit auch außerhalb der gesetzlichen Verpflichtungen einen wichtigen Beitrag für die Erhöhung der IT-Sicherheit in der gesamten Wasserbranche leisten.
gwf Wasser|Abwasser berichtet in Ausgabe 7_8/2017 in einem ausführlichen Praxisbeitrag über den B3S-Standard und die Implementierung und Auditierung der Maßnahmen. Die Ausgabe erscheint am 25. August. Wer noch kein Abonnent ist, erhält hier ein kostenloses Probeheft.