Fördert die Struktur der Wasserwirtschaft deren Anfälligkeit für Cyberattacken?

Anfang Mai berichtete die Israel Times von erfolgreichen Cyberattacken iranischer Hacker auf israelische Wasser- und Abwasserwerke. Was bei den hochgradig geschützten israelischen kritischen Infrastrukturen gelang, wird womöglich bei einer Vielzahl der deutschen Ver- und Entsorger ein „Kinderspiel“ sein. Klimawandel, Corona und demographischer Wandel – Veränderungen, die den Bedarf für digitale Anwendungen in den Unternehmen der Wasserwirtschaft steigern. Damit wächst auch deren Anfälligkeit für Cyberattacken. Neben „den Großen“ sind auch die vielen kleinen und mittelgroßen Betriebe betroffen. Sie wähnen sich in einer zumeist trügerischen Sicherheit. Denn nur weil diese vom IT-Sicherheitsgesetz (noch) nicht erfasst werden, bedeutet nicht, dass sie nicht im Fokus von Cyberkriminellen stehen. Doch es gibt Lösungen, die ihnen eine gemeinschaftliche Vorbereitung und Absicherung ermöglichen.

Kleinteiligkeit macht Deutschlands Wasserwirtschaft anfällig für Cyberattacken

Das IT-Sicherheitsgesetz weist die Wasserwirtschaft als „Kritische Infrastruktur“. Wasserwerke, Kläranlagen, Leitungen, Rohre und Kanäle und alle dazugehörigen technischen Vorrichtungen, die zur Bereitstellung von Trinkwasser oder Betriebswasser und zur Ableitung und Behandlung von Abwasser benötigt werden, gelten als besonders schützenswert. Sie leisten einen wichtigen Beitrag zur Daseinsvorsorge. Wie wichtig der Beitrag gerade in Krisenzeiten sein kann, hat die Corona-Pandemie bewiesen. Daher müssen sie in besonderer Weise geschützt werden. Aber im Zuge der Digitalisierung werden diese als kritisch eingestuften Infrastrukturen noch „verletzlicher“, denn sie sind möglichen Cyberangriffen ausgesetzt. Es sind gerade die kleinen und mittelgroßen, die jetzt ihre Digitalisierungsanstrengungen intensivieren. Sei es, weil eine höhere Effizienz gefragt ist, also die Meß- und Regelsysteme auf künstliche Intelligenz zurückgreifen sollen, weil der Markt und die Kunden Veränderungen wollen, wie bei den Smart Metern der Fall, oder weil die digitalen Anwendungen altersbedingt ausscheidendes Personal ersetzen sollen.

Die fortschreitende Digitalisierung erzeugt eine besondere Anfälligkeit von eher schlecht auf Cyberangriffe vorbereitete kleine und mittelgroße Betriebe in Deutschland. Vor derartigen Sicherheitslücken in großen Teilen der Wasserwirtschaft warnen die Experten des ISOE in der Zeitschrift für Technikfolgenabschätzung in Theorie und Praxis (TATuP) und fordern bei der anstehenden Novellierung des IT-Sicherheitsgesetzes eine Erweiterung dessen Geltungsbereichs über die bisher erfassten „großen“ Ver- und Entsorger hinaus.

Gemäß der ersten Verordnung zur Änderung der BSI‑Kritisverordnung vom 21. Juni 2017 werden sog. „Schwellenwerte“ zur Bewertung der Relevanz der Anlagen herangezogen. Demnach gehören Anlagen der Trinkwasserversorgung mit mehr als 22 Millionen Kubikmeter jährlich verarbeiteter Wassermenge zur Schutzbedarfskategorie „hoch“, ebenso Anlage der Abwasserbeseitigung an die mindestens 500.000 Einwohner angeschlossen sind. Sie müssen branchenspezifische Mindeststandards erfüllen insbesondere die Einführung eines Information Security Management Systems (ISMS), und relevante Vorfälle, die IT‑Sicherheit betreffen, an das Bundesamt melden.

„Wir beobachten, dass die Anfälligkeit der digitalen Systeme sowohl für gezielte Sabotage und Cyberangriffe als auch für menschliches und technisches Versagen in der Fachdebatte zu Wasser 4.0 nicht hinreichend berücksichtigt wird,“ sagt Wasserexperte Martin Zimmermann vom ISOE – Institut für sozial-ökologische Forschung.

IT-Sicherheitsgesetz jetzt nachbessern

„Die verantwortlichen Behörden haben sich lange fatalerweise auf die großen Anlagen und Einzugsgebiete konzentriert. Da aber gerade in Deutschland die Siedlungswasserwirtschaft sehr stark kommunal organisiert ist, müssen Regularien zum Schutz der Kritischen Infrastrukturen künftig unbedingt auch den Bedarf der kleineren und mittleren Unternehmen berücksichtigen“, ist sich Martin Zimmermann sicher. Denn die Bandbreite für mögliche Sicherheitsausfälle bis hin zu gezielter Cyberkriminalität sei groß.

Martin Zimmermann und seine Mitautoren weisen deshalb in ihrem Artikel „Siedlungswasserwirtschaft im Zeitalter der Digitalisierung“ darauf hin, dass die bevorstehende Novellierung des deutschen IT-Sicherheitsgesetzes einen guten Zeitpunkt bietet, um die Sicherheitsprobleme der kleineren Unternehmen zu berücksichtigen.

Kooperationen „auf Augenhöhe“ für effiziente Sicherheit

Weil die Cybersicherheit „die Achillesverse der Digitalisierung in der Siedlungswasserwirtschaft“ sei, empfehlen die ISOE-Autoren den kleineren Unternehmen zudem, untereinander zu kooperieren. „Wenn nicht jedes Unternehmen der Wasserversorgung und Abwasserbeseitigung ausreichend eigene Kompetenzen zur IT-Sicherheit aufbauen kann, könnten Kooperationen zwischen mehreren kleinen Unternehmen ein gutes Mittel sein, um Synergieeffekte zu erzielen. So könnten sie sich gegenseitig in Fragen der Cybersicherheit unterstützen“, sagt Martin Zimmermann.

Mit Kooperationen „auf Augenhöhe“ könnten die kleinen Versorger sicherer werden. Schon 2012 entwickelte ein Konsortium mit dem Projekt DiregKomp eine Blaupause für ein Kooperationsmodell für kleine und mittlere Wasserversorger. Federführend waren die Berliner Firma Pretherm und die Uni Potsdam. Heute ist das Konzept aktueller denn je. Das Modell für die gemeinsame Organisation von Sicherheitsleistungen war vom BMBF gezielt gefördert worden, um insbesondere kleine und mittlere Wasserversorger bei der Optimierung von sicherheitsrelevanten Aufgaben systematisch zu unterstützen. Dazu sollten sicherheitsrelevante Aufgaben, die nicht von jedem Betreiber individuell bearbeitet werden müssen, identifiziert und zu entsprechenden Dienstleistungen weiterentwickelt werden, die ein gemeinsames Kompetenzzentrum anbietet. Da die Partner die Dienstleistungen aus ihren konkreten Bedarf ableiteten, wurden diese anwendungsnah konzipiert und waren auf die kleinen und mittleren Betreiber kritischer Infrastrukturen im Bereich Wasserversorgung zugeschnitten worden. Durch die zielgerichtete Erstellung und Umsetzung von Schutzkonzepten für kleine Wasserversorger sollte diesen mit einem Kooperationsansatz die Möglichkeit gegeben werden, ihr Schutzniveau dem der führenden Branchenvertreter anzunähern, ohne dass dies zu einer unverhältnismäßigen Erhöhung der spezifischen Kosten führt. Die sich daraus ergebenden Erfahrungswerte verblieben in der eigenen Kooperation und konnte auch Dritten zur Verfügung gestellt werden. Das bot auch die Chance, anderen vergleichbaren Unternehmen eine Hilfestellung zu bieten.

Der Weg wird gefährlicher

Viele Unternehmen in der deutschen Wasserwirtschaft setzen sich einem zunehmenden Risiko aus. Gelingt es nicht, kleine und mittelgroße Versorger systematisch gegen Cyberattacken abzusichern, wird neben dem Klimawandel eine weitere Bedrohung der Leistungsfähigkeit der kritischen Infrastruktur Wasser virulent. Die Einfallstore nehmen in dem Maße zu, wie die Digitalisierung sich ihren Weg bahnt. Das soll nicht bedeuten, dass der digitale Weg ein Irrweg wäre, es lauern nur viele neue Gefahren und gerade kleineren fehlt der Blick dafür. Sie sind zuweilen sorglos oder es fehlt ihnen die erforderliche Kompetenz – vielleicht auch beides. Schon seit vielen Jahren gibt es effiziente und mittlerweile erprobte Lösungen. Der Gesetzgeber ist aufgefordert, die richtigen regulatorischen Leitplanken zu setzen.

NACHTRAG: Kurz nach der Veröffentlichung dieses Posts sendete das ARD-Magazin Report Mainz einen Beitrag über die Anfälligkeit der Energie- und Wasserwirtschaft. Die Sendung ist sehr empfehlenswert.

Quellen Weiterführendes

  • Siedlungswasserwirtschaft im Zeitalter der Digitalisierung, Cybersicherheit als Achillesferse, DR.-ING. MARTIN ZIMMERMANN e.a., ISOE, in ZEITSCHRIFT FÜR TECHNIKFOLGENABSCHÄTZUNG IN THEORIE UND PRAXIS – TATuP 29/1 2020)
  • DiregKomp: Dienstleistung und Modelle für die gemeinsame Organisation von Sicherheitsleistungen, BMBF
  • Iran attempted cyber attack on Israeli water and sewage facilities — report, ISRAEL TIMES, 7.5.2020
  • Kritische Infrastruktur Wasser zu anfällig? „Cyber-Hilfswerk“ will beim Schützen helfen, LebensraumWasser, 2020
  • Digitale Sorglosigkeit?! Handlungsbedarf bei IT-Sicherheit in der Wasserversorgung, LebensraumWasser, 2018
  • Sind Wasserversorger gegen Hackerangriffe gerüstet ?, LebensraumWasser, 2015

Hinterlasse jetzt einen Kommentar

Was meinen Sie dazu?

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.