„Cyberattacken auf Versorgungsunternehmen gehören zu den Schreckensszenarien der Sicherheitsbehörden. Doch nur ein Bruchteil der Wasserversorger gilt als kritische Infrastruktur“, berichtet das HANDELSBLATT unter Bezugnahme auf eine Antwort des Bundesinnenministeriums. Angefragt hatte die Grünen-Innenpolitikerin Irene Mihalic.
Die kurze Antwort des Bundesinnenministeriums, die mir vom Abgeordneten-Büro auf Anfrage zur Verfügung gestellt wurde, dürfte eigentlich nachdenklich stimmen:
„In Deutschland gibt es insgesamt 5.748 Wasserversorger. Von diesen sind 47 Wasserversorger gemäß BSI-KritisV als Kritische Infrastruktur eingestuft, weil sie über dem Schwellenwert von 22 Millionen Kubikmeter verteilter Wassermenge pro Tag liegen. Diese Anzahl ergibt einen Prozentsatz von 0,82 Prozent der Wasserversorger. Die Anzahl der jeweils versorgten Personen ist dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht bekannt. Alle Wasserversorger die über dem Schwellenwert liegen, versorgen jeweils über 500.000 Personen.“
Das bedeutet im Umkehrschluss: Die eigentlich faktisch kritische Infrastruktur Wasserwirtschaft ist somit zu 99,18% nicht durch die Schutz-Anforderungen der gesetzlichen Regelungen erfasst. Angesichts der hohen Schwellenwerte muss somit nur ein geringer Anteil der Wasserwerke in Deutschland die Standards des IT-Sicherheitsgesetzes einhalten. Nur eine Handvoll Versorger überschreitet das Kriterium der 500.000 versorgten Einwohner. Das dürfte durchaus zu Denken geben, berücksichtigt man die Kleinteiligkeit der Branche und den allgemeinen Trend zur Digitalisierung von Arbeitsabläufen, der in Folge von Corona und Nachwuchsproblemen mancher Versorger noch verstärkt wird.
Der verschwindend geringe Anteil der als kritische Infrastruktur eingestuften Wasserversorger werfe Fragen auf, sagte Mihalic dem Handelsblatt. „Die Trinkwasserversorgung ist einer der wichtigsten Bestandteile der öffentlichen Daseinsvorsorge und muss ganz besonders geschützt werden.“ Die Bundesregierung müsse daher dringend die Schwellenwerte zur Bestimmung solcher Infrastrukturen überprüfen. „Wir müssen zu einem risikobasierten Ansatz kommen, der auch mittelgroße Versorger stärker berücksichtigt“, erklärt die Grünen-Innenpolitikerin im HANDELSBLATT. Darin kann man Mihalic nur zustimmen, „Resilienz“ ist das Gebot der Stunde. So sehen es auch IT-Sicherheitsexperten.
Manuel Atug, Gründer und Sprecher der AG Kritis, einer Gruppe von etwa 40 IT-Experten mit dem Schwerpunkt Cyber-Security, hält den Schwellenwert bei Wasserversorgern von 500.000 Menschen für willkürlich gewählt. Es könne beispielsweise passieren, dass ein staatlicher Akteur in einer koordinierten Aktion eine Reihe von kleineren Wasserwerken angreife. „Dann sind weit mehr als 500.000 Menschen betroffen, aber keines der Wasserwerke war per Gesetz verpflichtet, seine IT angemessen abzusichern“.
Im Juni hatte bereits die FDP-Bundestagsfraktion nach der Anpassung der Schwellenwerte im Zuge der Novellierung des IT-Sicherheitsgesetzes gefragt. Die Bundesregierung nahm dazu damals eher ausweichend Stellung: „Die diesbezügliche Änderungsverordnung wird aktuell noch erstellt. Aufgrund der noch nicht abgeschlossenen Ressortabstimmungen können zum aktuellen Zeitpunkt keine Aussagen zum Inhalt und Zeitplan getroffen werden.“ Es mag ja sein, dass die Ressortabstimmungen schon abgeschlossen sind und die Bundesregierung bald Aussagen treffen kann. Man hätte sich an dieser Stelle eine Antwort des Bundesinnenministeriums gewünscht – aber es ist ja nicht gefragt worden.
Übereinstimmend fordert die IT-Sicherheit-Community eine Absenkung der Schwellenwerte, um auch kleinere Betriebe zu einem „höheren Schutzniveau zu verhelfen“. Deren Herausforderungen sind nicht zu unterschätzen. Während viele „Kleinen“ im „analogen Raum auf sicherem Terrain“ zu kämpfen haben, hält das „digitale Neuland“ unangenehme Überraschungen für sie bereit. In Folge dessen bewegen sie sich in einer trügerischen Sicherheit oder Ahnungslosigkeit. Glücklicherweise gibt es losgelöst von den gesetzlichen Bestimmungen bereits wertvolle Hilfestellungen für die Unternehmen.
22 Mio m³ pro Tag? Gemeint ist doch sicher pro Jahr!
Das ist ja mal ein Hammer! Natürlich hätte in der Antwort 22 Mio. Kubikmeter pro Jahr stehen müssen. Tut es aber nicht! Da steht tatsächlich pro Tag!! Danke für den Hinweis!!!