Selten war die Bedrohungslage so gravierend wie in den Zeiten von Corona, Klimawandel und Ukraine-Krieg. Zu allem Übel nehmen jetzt die Cyber-Angriffe von Hackern aus dem “Dark Wide Web“ auf die kritischen Infrastrukturen zu – wozu auch die Wasserversorgung gehört. Immer lukrativer scheint das damit verbundene „Geschäftsmodell“ zu sein, das auf Erpressung abzielt. “Datenfreigabe gegen Kryptowährung“, lautet die Forderung. Erst vor wenigen Tagen war der Regionalversorger enercity in Hannover Opfer einer solchen Attacke. Das BSI zeigt in seinem Jahresbericht 2022 die Schwachstellen und Handlungsbedarfe für mehr Sicherheit in der IT auf – mit dabei auch die Wasserversorgung.
Cyber-Erpressung bleibt eine der größten Bedrohungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem jüngst veröffentlichten Bericht zur Lage der IT-Sicherheit 2022 zu dem Fazit: “Cyber-Erpressung bleibt eine der größten Bedrohungen“. Das BSI beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen.
Der Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 und greift aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen.
Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen.
„Die wichtigste Voraussetzung für die Wiederherstellung der Betriebsfähigkeit nach einem Ransomware-Angriff ist eine klare Backup-Strategie. Diese umfasst die Verfügbarkeit funktionierender und aktueller Backups. Die Funktionsfähigkeit dieser Backups muss regelmäßig geprüft werden. Es ist inzwischen bei Schadprogramm-Infektionen üblich, dass Angreifende mit zuvor erlangten Administrationsrechten gezielt nach allen Backups suchen und diese, ebenso wie Produktivsysteme, verschlüsseln. Daher sollte zumindest je eine Kopie offline gesichert werden. Diese Kopien werden nach dem Backup von den anderen Systemen der Einrichtung getrennt und sind daher vor Remote-Angriffen geschützt.
Um der zunehmenden Ausleitung von Daten und der Drohung einer Veröffentlichung wirksam begegnen zu können, ist ein systematisches, regelgeleitetes Monitoring des Datentransfers erforderlich. So lässt sich etwa der Abfluss ungewöhnlich hoher Datenmengen erkennen und unterbinden.“
„Empfehlungen“ – Bericht-Die Lage der IT-Sicherheit in Deutschland 2022
Wasser ist „Kritische Infrastruktur“
Auch wenn Verbraucher es gewohnt sind, dass ihr Wasser wie selbstverständlich aus dem Hahn kommt, müssen sie sich vergegenwärtigen, dass die Versorgung mit Wasser und die Entsorgung von Abwasser als “Kritische Infrastrukturen“ nicht nur eine existenzielle Bedeutung haben, sondern auch einer besonderen Bedrohung ausgesetzt sind. Kritische Infrastrukturen (KRITIS) sind Organisationen mit wichtiger Bedeutung für das Gemeinwesen. Sie erbringen kritische Dienstleistungen wie die medizinische Versorgung oder die Versorgung mit Lebensmitteln, Wasser oder Strom.
KRITIS Wasser/Abwasser widmet der Bericht wegen seiner Bedeutung und seiner Anfälligkeit besondere Aufmerksamkeit. Denn in dem Maße wie die Digitalisierung in die Wasserwirtschaft Einzug hält, steigt auch ihre potenzielle Bedrohung durch Cyberattacken. Angesichts ihrer Kleinteiligkeit sind nur mal gerade ein Prozent der Wasserver- und Abwasserentsorger gesetzlich zu Schutzmaßnahmen nach dem IT-Sicherheitsgesetz verpflichtet. Denn nur ein kleiner Anteil der Unternehmen überschreitet die gesetzlich relevanten Schwellenwerte für besondere Schutzmaßnahmen der „Kritis-Verordnung“ (KritisV) des IT-Sicherheitsgesetzes. Um die IT-Sicherheit nicht an der Größe scheitern zu lassen, empfehlen die Branchenverbände, allem voran der DVGW, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch kleinen und mittleren Wasserversorgungsunternehmen, die nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinander zu setzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen. Dafür wurde ein eigener Standard, der B3S Wasser/Abwasser entwickelt. Nicht bekannt ist leider, wieviele Betriebe diesem Standard tatsächlich folgen. Der DVGW erklärt auf Anfrage, dass er davon ausgehe, die Wasserversorger, die gesetzlich verpflichtet sind, den Anforderungen auch genügen. Neben dem B3S könnten die Unternehmen die gesetzlichen Anforderungen aber auch auf anderem Wege umsetzen (z.B. ISO-Norm). Der Sprecher der AG KRITIS, Manuel Atug, zeigte sich wenig überzeugt von der Wirksamkeit des B3S-Branchenstandard und bemängelt bestehende Defizite.
Mängel aus dem KRITIS-Sektor Wasser
Der BSI-Jahresbericht sieht auch steigende Mängel bei KRITIS Wasser. Hier wurden, so das BSI, die meisten Mängel erneut dem Bereich ISMS zugeordnet. Das „Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten“.
Mängel dieser Kategorie machten laut BSI-Bericht bereits im Vorjahr rund ein Drittel aller Mängel aus; im aktuellen Auswertungszeitraum stieg der Anteil auf über 50 Prozent. Die Kategorien bauliche/physische Sicherheit sowie technische Informationssicherheit machen zusammen 20 Prozent der identifizierten Mängel aus. Die Zusammenarbeit der Betreiber des Sektors Wasser mit dem BSI auf Basis der Mängelbeseitigung hat sich in den vergangenen Jahren intensiviert. Kritisiert wird aber, dass sich die Zusammenarbeit auf formale Aspekte beschränkt.
Doch wer soll die Unternehmen bei der IT-Sicherheit unterstützen? Die Frage, ob der IT-Fachkräftemangel das „Damoklesschwert“ der zunehmend digitalisierten Wasserwirtschaft sei, wird vom DVGW verneint. Die Unternehmen müssten sich bei Bedarf externe Expertise durch die Einbindung von Dienstleistern beschaffen. Daran schließt sich allerdings die Frage an, ob die Unternehmen der Wasserwirtschaft die externe Experten auch bezahlen können. Eigene können sie jedenfalls mit den beschränkten Personalbudgets nicht halten.
Was Kunden und Stakeholder tun sollten
Noch ist fast alles gut gegangen. Das muss abef nicht so bleiben. Die Zahl der Cyberattacken nehmen zu. Die Stakeholder und Kunden „ihres“ Wasserversorgers sollten ein vitales Interesse daran haben, dass dieser geeignete Vorkehrungen gegen Cyber-Attacken trifft. Die Aufsichtsgremien, seien es Verbandsversammlungen oder Aufsichtsräte sollten sich für das Risikomanagement in ihrem Unternehmen interessieren. Das ISMS ist keine Modeerscheinung, sondern eine Grundvoraussetzung für ein funktionierendes IT-Sicherheitssystem.
Auf Ebene der Bundespolitik wünschen sich die GRÜNEN von Bundesinnenministerin Nancy Faeser (SPD) – ihrer Koalitionspartnerin – mehr Initiative, um beim Schutz von Einrichtungen der sogenannten kritischen Infrastruktur voranzukommen. „Ich hatte bisher nicht den Eindruck, dass das Bundesinnenministerium die Brisanz der aktuellen Bedrohungslage verstanden hat, und erwarte hier konkrete Antworten und Konzepte“, so GRÜNEN-Obmann im Innenausschuss des Bundestages, Marcel Emmerich, gegenüber der Deutschen Presse-Agentur. Ich habe Emmerich in der vorletzten Woche gefragt, welche Antworten er als Sicherheitsexperte hat. Noch hat er nicht hören lassen, welche das sind. Eine Erfahrung, die auch Manuel Atug macht. Seit Jahren bieten die Experten sich als Gesprächspartner der Politik und den Behörden an und machen Vorschläge. Aber irgendwie scheint die disruptive Kraft der Digitalisierung vor den Türen des BSI und des Innenministeriums stecken zu bleiben. Deshalb sollte der Bericht insbesondere dort auch selbstkritisch gelesen werden.
© Can Stock Photo / andose24
Hinterlasse jetzt einen Kommentar