Digitale Dämme gegen Cyberkriminelle

18. August 2022

„Delta-Werke“ – das sind gewaltige Bauwerke, die mehrere niederländische Provinzen vor Hochwasser und Sturmfluten schützen. Die elektronische Steuerung der Flutwehrtore ist mittlerweile auch digital vernetzt – und damit ein potenzielles Einfallstor für Hackerangriffe. Expertinnen und Experten von TÜV NORD haben die Cybersicherheit der Schleusen unter die Lupe genommen.

Ohne einen funktionierenden Hochwasserschutz wären die Niederlande in Not, denn rund ein Viertel unseres Nachbarlandes liegt unterhalb des Meeresspiegels. Deshalb sorgen dort neben meterhohen Deichen ausgeklügelte Schleusenkonzepte für Sicherheit. Verantwortlich für den Bau und Betrieb dieser elementaren Infrastrukturen sind regionale Wasserbehörden. Die älteste von ihnen ist Hoogheemraadschap van Rijnland. Expert:innen von TÜV NORD aus Deutschland und den Niederlanden haben nun gemeinsam die Cybersicherheit beim Hochwasserschutz und Abwassermanagement von Hoogheemraadschap van Rijnland zertifiziert – und dabei echte Pionierarbeit geleistet.

Fachleute wie Matthias Springer, Experte für funktionale Sicherheit und IT-Security bei TÜV NORD, unterscheiden zwischen Safety und Security. Während Safety den Schutz von Mensch und Umwelt meint, bedeutet Security den Schutz der Maschine vor dem Menschen. „Alles, was früher sicherheitstechnisch betrachtet wurde, ist heute digital vernetzt, um Remote-Monitoring und weitere Onlinedienste anzubieten“, sagt Springer. Diese Sicherheitssteuerungen sind also von außen zugänglich. „Um für Safety zu sorgen, muss auch die Security betrachtet werden.“

Im Fall der niederländischen Schleusen wird besonders deutlich, warum. Riesige Flutwehrtore schützen die Niederlande vor dem Wasser der Nordsee. „Da ist eine ganze Reihe komplexer Automatisierungstechnik involviert, die zentral von den Leitstellen gesteuert werden kann“, schildert Springer. Diese Schleusen lassen sich also aus der Ferne öffnen und schließen. Welche Folgen ein Hackerangriff haben könnte, lässt sich leicht ausmalen: Im Fall eines Hochwassers hätte die Öffnung der Tore die Überflutung großer Landesteile zur Folge. Dieses Gefährdungsszenario ist Ausgangspunkt für die Arbeit der Expertinnen und Experten von TÜV NORD.

„Wir schauen uns mit unseren Auftraggebern den Worst Case an und brechen dann herunter, welche Maßnahmen getroffen werden“, sagt Springer. Am Anfang steht immer das Verständnis: Was wird betrachtet? Was sind die Systemgrenzen und welches sind die Schnittstellen zur Umgebung? „Diese neuralgischen Punkte versuchen wir abzusichern“, beschreibt Springer das Vorgehen.

Das kann heißen: Mitarbeitende und Komponenten müssen sich im System autorisieren und authentifizieren. Verschlüsselung, Datensicherheit und digitale Zertifikate spielen ebenso eine Rolle wie organisatorische Abläufe. „Das reicht vom klassischen USB-Port am Computer, der per Schloss gesichert ist, über einen guten Passwortschutz bis hin zum Objektschutz des Gebäudes“, sagt Springer. In Summe gehe es immer um technische, organisatorische und physikalische Sicherheitsmaßnahmen. „Wir checken die Dokumente und spielen die Anforderungen der Norm durch. Es ist also eine Mischung aus Schreibtischarbeit sowie Vor-Ort- Audit und -Inspektion“, erklärt Springer. Am Ende stehen ein technischer Bericht und das Zertifikat.

Die Expert:innen von TÜV NORD haben in diesem Pionierprojekt exemplarisch Leitstellen und Automatisierungssysteme überprüft. Die Pilotzertifizierung soll nun als Muster für weitere 80 Standorte der Wasserbehörde umgesetzt werden. „Diese Zertifizierung war schon etwas Besonderes“, meint Projektleiter Vincent Schijven, Innovation Manager bei TÜV Nederland. „Aufgrund der Größe, weil sie ein ganzes Land betrifft, und wegen der hohen Kritikalität. Wenn hier also etwas schiefgeht, sind sofort sehr viele Menschen betroffen.“ Da ist es doch beruhigend zu wissen, dass Hoogheemraadschap van Rijnland den internationalen Standard für Cybersicherheit in der Betriebstechnik IEC 62443 erfüllt – die zertifizierten Anlagen also den aktuellen Stand der Technik repräsentieren.