Die Abfallwirtschaft wird zur Kritischen Infrastruktur
Mit dem IT-Sicherheitsgesetz 2.0 werden Teile der Siedlungsabfall-Entsorgung als Kritische Infrastruktur eingestuft. Im Mittelpunkt steht die Informationssicherheit beim Umgang mit Abfallströmen sowie eine stärkere Resilienz der Informationen, die für den Schutz von Gesundheit, Umwelt und für die Hygiene im öffentlichen Raum besonders relevant sind. Betroffen sind hauptsächlich die Prozesse Abfallsammlung, -beförderung, der Umschlag sowie die Abfallverwertung und -beseitigung.
Sektorenübergreifende Gefährdungen
Angriffe auf die Dateninfrastruktur sind längst nicht mehr nur auf einen Sektor begrenzt. Sie können umfassenden Störungen der genutzten Systeme auslösen, wenn nicht nur mehrere Sektoren miteinander vernetzt sind, sondern auch zwischen Informationstechnik (IT) und operativer Technik (OT) Verbindungen bestehen. Beispiel: Eine Entsorgungsgruppe wurde über ein Rechenzentrum ihres Energieversorgers zur Zielscheibe. Die Informationssysteme konnten zwar rasch vom Netz genommen werden, wodurch das Müllheizkraftwerk und die Entsorgungsanlagen sicher weiterbetrieben wurden. Gefährdungen bestanden jedoch für das Kundenportal und die Online-Prozesse. In solchen Fällen kann eine Schadsoftware schnell in die Logistikprozesse, das Auftragsmanagement und oder in Tourenplanung eindringen.
Regulatorischer Rahmen in der Vorbereitung
Mit der Novellierung des IT-Sicherheitsgesetzes ist die Siedlungsabfallentsorgung als neuer Kritis-Sektor gemäß BSI-Gesetz bestimmt worden. Noch enthält die zugehörige Verordnung BSI-KritisV keine Definition, welche Einrichtungen, Anlagen oder Teile davon als kritisch im Sinne der informationstechnischen Sicherheit anzusehen sind. Hierfür stimmt ein Arbeitskreis aus Branchenakteuren noch die grundlegenden Prozesse, Anlagenkategorien und Schwellenwerte ab.
In der Abstimmung befindet sich ebenso der Branchenspezifische Standard (B3S). Mit anderen Regelwerken dient er als sogenannte Prüfgrundlage für die Kritis-Prüfungen. Ein Branchenspezifischer Standard wird meist durch den jeweiligen Fachverband federführend erstellt. Das Ziel: Mit eigener Branchenexpertise zu konkretisieren, was im jeweiligen Sektor als Stand der Technik zur Erfüllung der Sicherheitsanforderungen gilt. Ebenso können einzelne Unternehmen oder Vertreter einer Branche einen B3S erarbeiten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Eignungsprüfung vorlegen. In der Auditpraxis sind die zu prüfenden Themen vom jeweiligen Prüfdienstleister festzulegen. Hierzu erstellen Prüfdienstleister eine entsprechende Prüfgrundlage, die – sofern erforderlich – weitere Prüfaspekte zum Stand der Technik berücksichtigen kann.
Als weitere Anforderung kommen seit Mai 2023 die Systeme zur Angriffserkennung (SzA) hinzu. Hierfür hat das BSI eine eigene Orientierungshilfe bereitgestellt. Die SzA müssen in der Lage sein, geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch zu erfassen und auszuwerten (§ 8 a Absatz 1a BSIG). Die Systeme beziehen sich auf eine Bandbreite an technischen und organisatorischen Maßnahmen. Sie sollen Bedrohungen fortlaufend identifizieren und geeignete Instrumente zur Beseitigung der Störung vorsehen können.
Was zeichnet sich ab?
Aktuell besteht für Betreiberfirmen noch keine Rechtspflicht, die Informationssicherheit auf ein höheres Schutzniveau zu bringen. Doch wird die BSI-KritisV voraussichtlich Anfang 2024 in Kraft treten. Folgen werden die Fertigstellung, Eignungsfeststellung und Freigabe des Branchenspezifischen Sicherheitsstandards. Betriebe sollten daher rasch beginnen – auch angesichts der sich häufenden IT-Sicherheitsvorfälle – sich systematisch auf die neuen Anforderungen vorzubereiten. Insbesondere gilt es, die Risiken und Sicherheitsziele von Systemkomponenten zu analysieren, die zum Planen, Steuern, Optimieren und Durchführen der Abfallsammlung, -beförderung und -Verwertung wesentlich bzw. kritisch sind.
Die Versorgungsschwelle, ab wann ein Betrieb zur Kritischen Infrastruktur zählt, dürfte wie bei anderen Kritis-Sektoren und im Katastrophenschutz bei 500.000 zu versorgenden Personen liegen. Allerdings wird die BSI-KritisV nicht jeden Abfallstrom einbeziehen. Relevant sind vor allem Siedlungsabfälle, die stärkere Auswirkungen auf den Gesundheits- und Umweltschutz haben. Dazu zählen gemäß VKU (Verband kommunaler Unternehmen e.V.) folgende Abfallarten:
- Restmüll, Bioabfall, Verpackungen und Kunststoffe, Altglas, Papier, Kartonagen im Bereich Abfallsammlung und -beförderung
- Restmüll, Bioabfall, Verpackungen, Kunststoffe im Bereich Abfallverwertung und -beseitigung
Um einen Eindruck über das zu bearbeitende Abfallvolumen zu gewinnen, das unter die Kritis-Verordnung fallen könnte, dient folgende exemplarische Herleitung: Für Rest- oder gemischte Gewerbeabfälle wird ein durchschnittliches Abfallaufkommen von 159 kg (Rest-, Hausmüll sowie hausmüllähnliche Gewerbeabfälle) einer Person pro Jahr angenommen. Bei 500.000 Personen errechnet sich somit ein Schwellenwert von 79.500 t im Jahr.
Die erweiterten Schutzmaßnahmen für den neuen Kritis-Sektor werden sich insbesondere auf Anlagen, IT-Systeme und Kernprozesse zur Abfallsammlung und -beförderung beziehen. Dazu zählen z.B. das Dispositions- und Flottenmanagement sowie die ERP-Systeme. Zur weiteren Absicherung der Abfallverwertung und -beseitigung dürften vorrangig folgende Anlagen im Mittelpunkt stehen:
- Abfallverbrennungsanlagen, Ersatzbrennstoffkraftwerke
- Mechanisch-biologische Anlagen
- Biologische Behandlungsanlagen
- Mechanische Anlagen
- Sortieranlagen
Welches Sicherheitsniveau anstreben?
Um ein hohes Niveau an Informationssicherheit zu erreichen, orientieren sich die meisten Branchen im deutschsprachigen Raum an der Norm DIN EN ISO/IEC 27001 (kurz: ISO 27001) und an dem IT-Grundschutzkatalog des BSI. Organisationen, die auf dieser Basis ein Informationssicherheits-Managementsystem (ISMS) aufbauen, erfüllen wichtige Grundanforderungen vor allem in folgenden Bereichen: Risikomanagement, technische IT-Sicherheit, bauliche Sicherheit, Mitarbeiterkompetenz sowie beim betrieblichen Kontinuitäts- und Lieferantenmanagement.
Einen zentralen Stellenwert nimmt der bewusste Umgang (Awareness) mit sensiblen Informationen und Prozessen ein. IT-Angriffe legen immer wieder Schwachstellen offen, die aus unzureichenden technischen Maßnahmen, organisatorischen Mängeln oder aus Unachtsamkeiten in der Belegschaft entstehen. So schwächt ein inkonsequent eingesetztes Managementsystem letztlich auch die Informationssicherheit.
Sowohl die ISO 27001 als auch der BSI-Grundschutz konzentrieren sich – über die Umsetzung technischer Maßnahmen hinaus – auf die Identifikation, Analyse und Behandlung der relevanten Risiken in den betrieblichen Prozessen. Erst das Umsetzen risiko-behandelnder und das Ineinandergreifen technischer und organisatorischer Maßnahmen stärkt die IT- und OT-Systeme eines Unternehmens gegen Cyberangriffe. Die Folge ist ein erhöhtes Informations¬sicherheitsniveau in den Prozessen.
Managementsysteme für eine breiten Sicherheitsansatz
Dass weitere Infrastrukturen – wie die Abfallwirtschaft – in Bezug auf die Informationssicherheit als kritisch definiert werden, zeigt einen Trend zu branchenübergreifenden Sicherheitsregelungen. So wird das geplante Kritis-Dachgesetz zahlreiche denkbare Gefährdungen abdecken, die Natur oder Mensch verursachen können – ob Unwetter, menschliches Versagen oder ein Sabotageakt. Zudem sollen Abhängigkeiten zwischen Kritischen Infrastrukturen stärker berücksichtigt werden, da diese häufig in Lieferbeziehungen stehen.
Gerade für einen breiten Sicherheitsansatz haben sich die Managementsysteme auf Basis weltweit anerkannter Normen bewährt. Die Definition, Implementierung und Dokumentation der Prozesse erweisen sich als grundlegende Voraussetzung, um ein angestrebtes Sicherheitsniveau fortlaufend an die aktuelle Gefährdungslage anpassen zu können. Darüber hinaus bestehen Synergien zu weiteren Managementsystemen.
Verfügt ein Entsorgungsbetrieb z. B. über ein zertifiziertes Qualitätsmanagementsystem nach DIN EN ISO 9001 und sind die kritischen IT-Prozesse und -Komponenten (sogenannte Assets) erfasst, kann ein Informationssicherheitsmanagement darauf aufbauen. Allerdings ist zu beachten, dass die Anforderungen der ISO 27001 an die Informationssicherheit vollumfänglich umgesetzt und integriert werden.
Auf dem Weg zur Zertifizierung gilt es vor allem, Antworten auf die Fragen zu finden, welche Informationen bei der Abfallsammlung und -beförderung sowie bei der Abfallverwertung und -beseitigung besonders sicherheitskritisch sind. Hierbei muss das Management mit den IT-Verantwortlichen alle relevanten Prozesssteuerungssysteme einschließlich der Informationswerte und Anwendungen sowie die Verantwortlichkeiten für die Anlagen spezifizieren. Dies versetzt die Organisation in die Lage, die Prozesskette von Geschäftsabläufen kontinuierlich und verlässlich zu überwachen und auf künftige Schutzanforderungen rasch reagieren zu können.
Papier, Pappe und Papierprodukte, Kunststoffe, Glas, Metalle, Lebensmittel- und Gartenabfälle sowie Textilien. Es ist der Müll, der in Haushalten, im Handel und Gewerbe, Büros sowie institutionellen Einrichtungen anfällt. Eingeschlossen sind auch Sperrmüll, Laub und Baumschnitt, Straßenkehricht und der Inhalt von Abfallbehältern.