Seit Monaten warnen IT-Experten und Politiker vor zu geringem Schutz unserer Wasserwerke – Cyberkriminelle könnten deren Ablauf erheblich stören oder sie mit Datenklau erpressbar machen. Warum besteht dieses erhöhte Risiko einer Cyberattacke und wie wahrscheinlich ist sie?
Wasser ist elementar für unseren Alltag. Wir benötigen es ständig, zum Beispiel zum Trinken, Duschen und Wäschewaschen, aber auch industriell zur Erzeugung von Strom, zur Kraftwerkskühlung, für viele Industriebranchen und auch für die Landwirtschaft, wie auch das "Umweltbundesamt" berichtet. Doch Cyberkriminelle könnten diese Versorgung gefährden.
Aus einer aktuellen kleinen Anfrage der FDP ging nun hervor, dass laut der Bundesregierung kleinere und mittlere Unternehmer der Wasserversorgung nicht immer ausreichende Ressourcen und Mittel haben, sich wie große Wasserversorger gegen Cyberkriminalität zu schützen. Das Problem: Hackerangriffe können so kaum abgewehrt werden.
Die Mehrheit der Wasserwerke ist betroffen
Als große Wasserversorger können gemäß dem "Behörden Spiegel" insbesondere Unternehmen verstanden werden, die den Schwellenwert von 500.000 versorgten Personen überschreiten. Sie unterliegen damit automatisch der Verordnung zur Bestimmung kritischer Infrastrukturen nach dem Gesetz des Bundesamtes für Sicherheit in der Informationstechnik.
Folglich müssen sie sich um die Erfüllung definierter Sicherheitsanforderungen kümmern und sind deshalb zumindest theoretisch grundsätzlich besser gegen Angriffe von Cyberkriminellen gerüstet als die mittleren und kleinen Versorger.
Das Problem: Letztere machen die Masse der versorgenden Unternehmen aus, da es in Deutschland nur rund 15 Städte gibt, die über diesem Schwellenwert liegen. Für den Haupanteil der Werke besteht demnach keine Vorschrift für Sicherheitsanforderungen dieser Art.
"Wenn man sich digitalisiert, muss man sich absichern"
Dafür, dass Deutschlands Wasserwerke bis dato nicht ausreichend gegen Cyberkriminalität abgesichert sind, hat Experte Manuel Atug, Gründer und Sprecher der Arbeitsgemeinschaft Kritis, kein Verständnis. Die Arbeitsgemeinschaft verfolgt das Ziel, die Versorgungssicherheit der Bevölkerung zu erhöhen.
Atug mahnt: "Wenn man sich digitalisiert, muss man sich absichern, da darf es eigentlich überhaupt keine Diskussion darüber geben. Alles andere ist nur grob fahrlässig und die Bevölkerung wird nicht geschützt."
Mögliche Schäden durch Cyberangriffe
Doch welche Schäden im Wasserwerk könnte durch Cyberkriminelle und Hackerangriffe entstehen, welche Gefahr besteht für die Bevölkerung? Ein sehr denkbares Szenario wäre die Störung von Kreisläufen durch kriminelle Zugriffe auf die Produktionskreisläufe aus der Ferne.
So könnte sich zum Beispiel das aufbereitete Wasser mit dem Abwasser vermischen. Das hätte die Verunreinigung mit Bakterien und Ähnlichem zur Folge. Möglich wäre auch, dass Schadstoffe oder Bakterien in das Trinkwasser gelangen, wie zu viel Chlor oder Legionellen.
Ein zweites Szenario wäre die Veränderung des Wasserdrucks aus der Ferne. Diese könnte bei zu wenig Druck eine Unterversorgung mit Trinkwasser nach sich ziehen, bei zu hohem Druck die Rohre platzen lassen und die Versorgung mit Wasser unterbrechen.
"Erpressungstrojaner sind lukrativer als Drogenhandel"
Möglich wäre alternativ auch, dass sich weltweit vernetzte Cyberkriminelle unerlaubt Zugriff auf Daten des Wasserwerks verschaffen und den Firmen dann mit deren Veröffentlichung drohen. Diese Art von Angriff ist nicht zu vergleichen mit einfachen Hackerangriffen, also Attacken von nicht organisierten IT-Kriminellen, die mitunter im Affekt passieren.
Atug schätzt die Lage folgendermaßen ein: "Am wahrscheinlichsten und am meisten ernst zu nehmen sind Angriffe von Cyberkriminellen mit Hilfe von Erpressungstrojanern. Diese können unbemerkt Daten von Wasserwerken abziehen und erpressen dann anschließend das Unternehmen. Das ist organisierte Bandenkriminalität, und schon lange viel lukrativer und verbreiteter als Drogenhandel."
Neben finanziellen Mitteln mangelt es an Know-how
Warum mangelt es den kleineren und mittleren Wasserversorgern an Ressourcen und Mitteln? Die Anschaffung schützender Software und Systeme ist grundsätzlich sehr kostspielig. Den Unternehmen fehlt es an finanziellen Mitteln für Investitionen dieser Art. Und auch das Know-how und das Bedienen neuer Hard- und Software, also die Wartung und Administration, stellen viele deutsche Wasserversorger vor riesige Herausforderungen.
"Oft finden Sie dort noch alte Windowsrechner, selten gibt es Firewalls oder getrennte Netze. Doch die sichere Nachrüstung der Systeme auf neuere Systeme würde ein großes Dilemma offenbaren: Es gibt so gut wie kein Personal, das sich mit der Administration dieser Systeme auskennt und notwendiges Fachwissen rund um Cyber Security mitbringt. Was nützt also neue Technik, wenn man sie nicht bedienen kann", erklärt Christine Deger, Cyber Security Expertin, Unternehmensberaterin und Gründerin einer Sicherheitsplattform.
Lösungsansätze: Netze trennen und Sensibilisierungsschulungen
Neben der Einführung schützender Technik würde ihrer Einschätzung nach grundsätzlich die Trennung des Produktions- vom Verwaltungsnetzes helfen. Dieses wäre laut Deger innerhalb von wenigen Monaten praktisch umsetzbar. Im Falle eines Angriffs könnte so schnell auf manuellen Betrieb umgeschaltet werden.
Regelmäßige Security-Schulungen der Mitarbeiter würden zudem das Bewusstsein für Cyberkriminalität schärfen und deutlich machen, wie gefährlich etwa E-Mails von unbekannten Absendern für den Ablauf eines Wasserwerks sein könnten.
Deger sieht hier erheblichen Nachholbedarf: "Viele Wasserwerke schützen sich nicht, lassen quasi ihre Wohnungstür komplett offen – weil das Geld fehlt für Experten und für modernere Systeme, die sich damit genau auskennen."
Lesen Sie auch: Hackerangriff auf Bundestag und Landtage: Hunderte deutsche Politiker betroffen
Die Politik ist am Zug
Viele Experten fordern deshalb die Politik auf, ihre Sicherheitsanforderungen auf alle Wasserwerke auszuweiten, sie weiter zu konkretisieren, regelmäßig zu kontrollieren sowie mehr in das Sicherheits-Know-how von Betreibern der Wasserversorger zu investieren.
Atug appelliert: "Deutsche Wasserwerke müssen keine Opfer von Cyberkriminalität werden. Sie können ausreichend geschützt werden, alles andere ist eine Ausrede. Am Ende ist es einfach eine Frage der Priorität der Politik."
Manuel Atug ist seit über 23 Jahren in der Informationssicherheit tätig und hat langjährige Erfahrung im Bereich technische IT-Sicherheit und Auditierungen. Dabei berät und begleitet er Institutionen und Unternehmen bei der Einführung von Informationssicherheitsmanagementsystemen. Als Leiter des Themas Kritische Infrastrukturen und Leiter der Prüfenden Stelle KRITIS befasst er sich mit der IT und OT im Kontext der Resilienz bei KRITIS-Betreibern.
Verwendete Quellen:
- umweltbundesamt.de: Öffentliche Wasserversorgung
- bundestag.de: Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Dr. Lukas Köhler, Frank Sitta, Grigorios Aggelidis, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/ 19967 – Sicherheit der Wasserversorgung in Deutschland
- behoerden-Spiegel.de: Wenn der Hacker das Wasser stoppt
- zdf.de: Digitale Schwachstellen - Cybergefahr: Schutzlose Wasserwerke
- Bundesamt für Sicherheit in der Informationstechnik: BSI-Kritisverordnung
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.