KRITIS-Ready: Sicherheit durch vorausschauende Umsetzung

Abwasserzweckverband (AZV) Breisgauer Bucht erhöht effektiv seine Netzwerksicherheit bei gleichbleibender Anlagenverfügbarkeit.

Der AZV Breisgauer Bucht modernisierte bereits fünf Jahre vor Umsetzungspflicht der Vorgaben aus Energiewirtschaftsgesetz (EnWG) und BSI Gesetz (BSIG) seine Netzwerkinfrastruktur. Dies erforderte aufgrund der Komplexität einen externen IT-Dienstleister mit entsprechender Branchenkenntnis. In der Region wurde man schnell fündig: mit HWI IT aus Malterdingen.

Über AZV

Der Abwasserzweckverband (AZV) Breisgauer Bucht, eine Körperschaft des öffentlichen Rechts, setzt sich zusammen aus der Stadt Freiburg und weiteren 28 Städten und Gemeinden als Verbandsmitglieder.

Zur Durchführung der Verbandsaufgaben unterhält der Abwasserzweckverband ein Kanalnetz von rund 140 km Länge, eine Kläranlage für 600.000 Einwohnerwerte in Forchheim und die Geschäftsstelle mit Betriebshof für die Kanalunterhaltung in Freiburg i.Br.

  • Einzugsgebiets-Fläche: ca. 650 km²
  • Trinkwasserverbrauch: ca. 21 Mio. m³/ Jahr
  • Gesamtlänge der Verbandskanäle: ca. 140km
  • Anzahl der Pump-/ Hebewerke: 4
  • Gesamtabfluss zur Kläranlage: ca. 47 Mio. m³/a

Die Herausforderung

Als Betreiber kritischer Infrastrukturen mit einer vorgabenrelevanten Einwohnergleichwertschwelle von über 500.000 hat der AZV Breisgauer Bucht besondere Verpflichtungen. Insbesondere seine Dienstleistungen bezüglich Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität auf einem hohen Niveau anzubieten und bereitzustellen. Das übergeordnete Ziel ist dabei der Schutz, der für die Abwasserentsorgung notwendigen IT-Systeme.

2011 musste durch die Digitalisierung des Prozessleitsystems (PLS), und dem damit verbundenen Umstieg auf Microsoft, auch die Office-IT integriert werden. Die größte Herausforderung von Marian Lizurek: „Wie sichern wir unser Netzwerk bei einer durchgängig engineerten Anlagen– und Office-IT?“

Die zunächst selbstständig entworfene Ringstruktur des PLS-Netzwerks bediente zwar das Thema Verfügbarkeit, lies aber Fragen der Sicherheit, wie Fernwartung und Segmentierung sowie der Integration der Office-IT offen. Und mehr noch: Das für den Betrieb und die Auswertung notwendige Datenhandling auf Office-IT Ebene war im täglichen Gebrauch inakzeptabel.

„Die Komplexität der durchgehenden Digitalisierung überstieg einfach das vorhandene Wissen und Können unserer sehr fähigen Prozessleittechnikabteilung,“ so Lizurek, „wir suchten einen Partner, der unsre Branche und die damit verbundenen Anforderungen verstand und umsetzen konnte.“ AZV stieß schnell auf den renommierten IT-Dienstleister mit Schwerpunkt Automation: die HWI IT GmbH.

Die Analyse der Anforderungen seitens AZV unter den Aspekten

  • Sicherheit,
  • Verfügbarkeit sowie
  • Integrität

durch die IT-Ingenieure von HWI IT, ergab zeitnah die notwendige Lösungsstruktur.

Marian Lizurek, Abteilungsleiter Elektro- und Prozessleittechnik Kläranlage

Die Lösung

Nach Durchsicht der bisherigen Planungsunterlagen erkannte HWI schnell, dass die geplanten Maßnahmen den Wünschen und Zielen AZVs nicht genügen würde. Für ein kosteneffizientes, sicheres und durchgängiges Netzwerkengineering wurden seitens HWI neue Pläne und Maßnahmen erstellt.

Durch die Segmentierung des Office und des Industrial IT Bereiches, kann ein Schadensübergriff auf das gesamte Netzwerk im Worst-Case-Szenario verhindert werden. Den Fernwartungswunsch von AZV und Lieferanten regeln dezidierte Zugriffsrechte und Steuerungen. Auf den Firewalls erfolgt nun eine Angriffserkennung mit Verhaltensanalysen und Applikationskontrollen.

Aus Redundanzgründen wurde ein zweiter Serverraum eingeplant, die Anbindung von Komponenten wie Switches, Server oder Filer auf beide Serverräume verteilt. Durch die Verwendung neuer Glasfaserkabel konnten sowohl größere Entfernungen als auch höhere Datenraten erreicht werden. Um die Infrastruktur vor Manipulation zu schützen, wurde der physikalische Zugang zum Serverraum und der administrative Zugriff auf die Switches nur autorisierten Personen möglich gemacht.

Durch den Ausbau der aktiven Infrastruktur werden geringere Umschaltzeiten, höhere Datenraten und zusätzliche Redundanzen geschaffen. Der aktuelle Ring wurde auf mehrere Ringe aufgeteilt und damit eine höhere Verfügbarkeit gewährleistet. Selbst bei einem Komplettausfall eines Serverraumes bleibt die aktive Netzwerkinfrastruktur somit bestehen.

Industrial-IT versus Office-IT

Das Ergebnis

Die kompetente Durchführung überzeugte letztlich nicht nur AZV, sondern überraschte auch den Lieferanten des Prozessleitsystems. Gerade vier mal zehn Minuten fehlender Visualisierung machte die Anlage trotz dem Umbau fast durchgängig verfügbar.

Stabilität, Sicherheit und Nutzerfreundlichkeit der neuen Netzwerkstruktur lösten alle Herausforderungen. Die transparente und umfassende Dokumentation aller Bestandteile bildeten nicht nur die Grundlage für eine andauernde Partnerschaft, sondern auch die Vertrauensbasis für die Übernahme des IT-Betriebs durch HWI IT.

2017 wurde ein unabhängiges KRITIS-Beratungsunternehmen von AZV damit beauftragt Analysen hinsichtlich Aufbaus, Betrieb, Funktionalität und Verfügbarkeit der IT-/ OT-Infrastrukturen durch zu führen. Schnell war klar: das IT- und OT-System wurde bereits durch die autolinguale IT®-Lösung von HWI optimal und effizient ausgelegt sowie betrieben.

Der Kundennutzen

  • Maximale Sicherheit des Netzwerks vor intern und extern eingebrachtem Schadcode.
  • Integration der Office IT in die Industrial-IT.
  • Hohe Beratungs– und Umsetzungsqualität durch IT– und Security Experten mit umfangreicher Projekterfahrung und Branchen-Knowhow.
  • Kosteneffiziente Umsetzung.
  • Vertrauensvolle und partnerschaftliche Betriebsverantwortungsübernahme durch HWI IT.