Haben Internet-Hacker jetzt auch die Wasserversorger im Fokus? Egal wie die Frage beantwortet wird, die neue Bundesregierung wird die Trinkwasserversorgung als „Kritische Infrastruktur“ in einem IT-Sicherheitsgesetz erfassen. Ein Referentenentwurf liegt bereits seit März 2013 vor – und seitdem wegen der Handlungsunfähigkeit der Regierung „auf Eis“ (Entwurf). Dessen ungeachtet ist zu vernehmen, dass sich die Arbeitsgruppe Wirtschaft in den Koalitionsverhandlungen schon auf eine neue Gesetzesinitiative verständigt haben soll.
Doch worum geht es eigentlich? Hacker-Attacken auf deutsche „Kritische Infrastrukturen“? Da denkt doch jeder zunächst an Kraftwerke oder verkehrstechnische Anlagen wie die Bahn. Aber auch Wasserversorger sind von den „guten“ Hackern als mögliche Ziele „böser“ Hacker erklärt worden. Erst im August wurde in den USA auf der Black Hat-Conference in Las Vegas, einem Experten-Forum „guter“ IT-Spezialisten, über Angriffe auf Wasserversorger diskutiert. IT-Sicherheitstechnologien bei Wasserwerken seien demnach auf einem veralteten Stand geblieben. Wer die finanziellen Probleme der meisten US-Wasserversorger kennt, wundert sich über diese Erkenntnis wahrlich nicht. Der Fernsehsender CBS zählte Wasserversorgung in einem Artikel zudem in der Liste der fünf „scariest cybersecurity threats“ auf, den besorgniserregendsten Cyberbedrohungen, neben Energieanlagen, medizintechnischen Einrichtungen und KFZ-Elektronik. (Artikel). Daher hat sich auf der anderen Seite des Atlantiks die Homeland Security der Herausforderung angenommen. Schon wird dort an einer Sicherheitsarchitektur gearbeitet. Israelische Sicherheitsexperten berichten in der Washington Times sogar von syrischen Attacken auf Wasserwerke (Artikel).
Und in Deutschland? Anders als in den USA sind die Wasserwerke – zumal die Großen – auch IT-technisch auf einem hohen Stand, Smart Meter für Wasser – immerhin Ziel der Attacken bei Strom – gibt es bei Wasser bis auf Weiteres nicht, und Angriffe auf die Abrechnungssysteme führen zu Ärger, aber nicht zu Bedrohungen. Konflikte wie zwischen Israel und seinen Nachbarstaaten sind auch unbekannt. Aber Vorsorge kann auch hierzulande nicht schaden, wenn sie vertretbar bleibt. Der Referentenentwurf gibt Orientierung: „Betreiber kritischer Infrastrukturen sind wegen der weitreichenden gesellschaftlichen Folgen eines Ausfalls und ihrer besonderen Verantwortung für das Gemeinwohl zu verpflichten, einen Mindeststandard an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik erhebliche IT-Sicherheitsvorfälle zu melden.“ Binnen zwei Jahren müssen demnach die Versorger Vorkehrungen treffen, um die IT-Schutzsysteme nach dem Stand der Technik aufzurüsten. Regelmäßig sollen dann so genannte Sicherheitsaudits stattfinden, die die Einhaltung der Regeln prüfen und bestätigen. Es wird ein neues Betätigungsfeld für IT-Berater entstehen. Attacken müssen den Behörden umgehend mitgeteilt werden. Das klingt zunächst mal alles so, als würden dann alle Risiken beherrschbar sein.
Aber was soll die Organisation für die Versorger kosten? Die Referenten gehen davon aus, dass die neue IT-Sicherheitsinfrastruktur keine finanziellen Folgen haben wird, denn sie gehen davon aus, dass auf die Wirtschaft keine Kosten zukommen. Selbst wenn man annimmt, dass dies so sein könnte, fragt man sich natürlich, ob alle rund 6.000 Wasserversorger diese Regeln einhalten müssen, also auch jene 5.000 Kleinstversorger in Bayern und Baden-Württemberg? Im Sommer oder Herbst nächsten Jahres sind wir dann klüger, dann soll das Gesetz stehen.
Übrigens, nach dem was aus Brüssel zu vernehmen ist, gehören Wasserversorger in Europa gar nicht zu den EU-seitig relevanten „Kritischen Infrastrukturen“. Die übermittelte Begründung kann nur als „typisch europäisch“ bezeichnet werden: „da sie nicht grenzüberschreitend tätig sind“. (ohne Worte)
2 Trackbacks / Pingbacks