Hackerangriffe auf kritische Infrastruktur Wasser. Kommt IT-Sicherheitsgesetz rechtzeitig?

Vergangenes Jahr trat das IT-Sicherheitsgesetz in Kraft. Es regelt unter anderem, dass Betreiber Kritischer Infrastrukturen zur Umsetzung von Mindeststandards verpflichtet werden. Die jetzt vorgelegte Verordnung (BSI-KritisV) regelt, welche Betreiber unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Wie dringend eine solche Regelung ist und warum eigentlich nicht nur die vom Gesetz erfassten Betreiber kritischer Infrastrukturen handeln sollten, belegen echte und simulierte Hackerangriffe auf Krankenhäuser und Wasserwerke der vergangenen Wochen. Uwe Jacob, Direktor des Landeskriminalamts in Nordrhein-Westfalen, machte zum Thema Cybercrime deutlich, dass es nicht zuletzt die reine Masse an Schadsoftware sei, die eine Gefahr darstelle. „Wir werden zur Zeit von Schadsoftware überschwemmt“, so Jacob. Er appellierte eindringlich an sämtliche Entscheider bei Unternehmen und Behörden, mehr für ihre IT-Sicherheit zu tun und sprach in diesem Zusammenhang von einem Weckruf. In einem sind sich viele IT-Sicherheitsexperten einig: Es geht gar nicht immer um terroristische Angriffe, häufig sind es Erpressungsfälle. Manche Hacker wollen aber auch einfach nur (sich) beweisen, dass sie in (nicht immer geschützte) Systeme  eindringen können. Getreu dem Motto „Ich will doch nur spielen“ oder „Es muss keinen Sinn machen, Hauptsache es geht“. Diese Motivationen sollten Weckruf genug sein – für die Betreiber kritischer Infrastrukturen in der Wasserwirtschaft auch unterhalb der Schwellenwerte.

Was regelt das IT-Sicherheitsgesetz und wer wird davon erfasst ?

Zu den Kritischen Infrastrukturen zählen grundsätzlich auch Trinkwasserversorgungs- und Abwasserentsorgungsanlagen. Aber nicht alle Anlagen fallen unter das Gesetz. Den Geltungsbereich des IT-Sicherheitsgesetzes regelt eine Verordnung, die das Bundesministerium des Innern (BMI) am 2. Februar 2016 als Referentenentwurf vorgelegt und während einer Anhörung am 2. März 2016 beraten hat. Der Entwurf definiert die Schwellenwerte für Wasser- und Abwasser-Anlagen, bei deren Überschreiten die Anlagen als Kritische Infrastrukturen gelten. Für den Wasser- und Abwasserbereich liegen die Schwellenwerte bei einer Wassermenge von 21,9 Mio. Kubikmeter für die Trinkwasserversorgung und bei 500.000 Einwohnern für die Trinkwasserver- und Abwasserentsorgung (Anhang 2, Teil 3 BSI-KritisV). In der Abwasserbeseitigung sind demnach 80 Anlagen (Aggregate Kanalisation, Kläranlage und Leiteinrichtung) und bei der Trinkwasserversorgung 150 Anlagen (Aggregate Gewinnungsanlagen, Wasserverteiluungssystem, Wasserwerk, Aufbereitungsanlage und Leiteinrichtung) von der Regelung betroffen.

Meldepflicht
Für Betreiber Kritischer Infrastrukturen der Trinkwasserversorgung und Abwasserbeseitigung gilt eine Meldepflicht nach §8 Abs. 4BSI-G für erhebliche IT-Sicherheitsvorfälle über eine verpflichtend einzurichtende und an das BSI zu meldende Alarmierungsstelle nach Inkraftttreten der BSI-KritisV nach sechs Monaten, also voraussichtlich ab Oktober 2016. In Folge des IT-Sicherheitsgesetzes besteht die Verpflichtung den IT-Mindeststandard Wasser/Abwasser nach zwei Jahren einzuhalten, und erhebliche IT-Sicherheitsvorfälle zu melden. Die Betreiber müssen sicherstellen, dass sie über diese Kontaktstelle für das BSI jederzeit erreichbar sind. Es gibt eine Übergangsfrist: Die Einhaltung des Mindeststandards Wasser/Abwasser wäre dann frühestens ab April 2018 gefordert. Die Verbände sind jetzt in Arbeitsgruppen aktiv, um die Einzelheiten der Umsetzung mit den Behörden abzustimmen. Sicher wird es in den nächsten Wochen weitere Details geben.

Die Verordnung soll nach aktuellem Zeitplan nach Auswertung der Stellungnahmen und Kabinettsvorlage noch in der ersten Aprilwoche im Kabinett vorgelegt, verabschiedet werden und in Kraft treten.

Wer die Verordnung nachlesen möchte, findet hier den Entwurf klick hier!

Weitere Beiträge zu dem Thema siehe auch hier:
Sind Wasserversorger gegen Hackerangriffe gerüstet ?