Steigt die Bedrohung der Wasserwirtschaft angesichts massiver Sicherheitslücken?

Sicherheitsexperten hatten einen erfolgreichen schweren Cyberangriff gegen die Berliner Wasserbetriebe mit Zusammenbruch der Abwasserentsorgung für wahrscheinlich gehalten. Die Berliner hatten schnell reagiert, die FDP-Bundestagsfraktion offenbart mit einer Kleinen Anfrage, dass dies kleinen und mittelgroßen Ver- und Entsorgern nicht gelingen wird. Das IT-Sicherheitsgesetz bzw. die KRITIS-Verordnung sei zu lax. Das sehen auch Sicherheitsexperten von AG KRITIS in einem Beitrag im DEUTSCHLANDFUNK als Problem für die Sicherheit der Wasserwirtschaft in vielen deutschen Kommunen. Die sich beschleunigende Digitalisierung bei unzureichenden IT-Sicherheitsexperten in den Unternehmen verschärft das Problem.

Cyber-Penetrationstest in Berlin offenbarte IT-Sicherheitsprobleme

Die Berliner Wasserbetriebe (BWB) seien unzureichend vor Angriffen auf ihre IT-Systeme sowie auf andere kritische technische Anlagen geschützt. Das teilte die Cybersicherheitsfirma Alpha Strike Labs in einer Security-Analyse Ihrem Auftraggeber BWB mit, so berichtete der Berliner TAGESSPIEGEL. Die Experten stellten demnach in den Bereichen IT und Abwasser über 30 Schwachstellen fest.

In dem als vertraulich eingestuften (!), 82-seitigen Papier schreibt Alpha Strike laut TAGESSPIEGEL, „wir bewerten den IT-Sicherheitszustand der Berliner Wasserbetriebe als mangelhaft und die aktuelle Gefährdungslage als hoch“. Befürchtet wird ein „mehrwöchiger Zusammenbruch der Abwasserentsorgung Berlins“. Die Analyse liegt dem TAGESSPIEGEL nach eigenem Bekunden vor.

Dieser Artikel sorgte für starke Aufmerksamkeit (Q: TAGESSPIEGEL, 28.7.2020)

Entwarnung! BWB hat nachgerüstet

Mittlerweile haben die BWB „ihre Hausaufgaben gemacht“. Auf der BWB-Website ist zu lesen: „Die Berliner Wasserbetriebe schützen ihre Werke und Systeme mit einer umfassenden Sicherheitsarchitektur. Diese ist nie fertig und wird stetig verbessert. So stressen wir unsere Systeme routinemäßig und regelmäßig und lassen die Wirksamkeit unserer Schutzmaßnahmen überprüfen. IT-Sicherheit im Wettstreit mit der Schwerstkriminalität bis hin zu Cyberterrorismus ist eine ständige Herausforderung für uns.

Wir haben im Frühjahr 2020 einen sogenannten Penetrationstest für ein Teilsystem der Abwasserentsorgung (LISA), selbst beauftragt, der eine Vielzahl von Erkenntnissen und einen bisweilen erheblichen Nachholbedarf ergeben hat und der auch Thema medialer Berichterstattung war. Den Test führte die Firma Alpha Strike Labs GmbH durch.

Alle sogenannten „Findings“ im Bericht arbeitet eine Task Force im Unternehmen ab. Alpha Strike Labs GmbH begleitet die Task Force dabei und prüft die jeweiligen Umsetzungsergebnisse auf ihre Wirksamkeit.

Zum 31. Juli 2020 bewertet Johannes Klick, Geschäftsführer der Alpha Strike Labs GmbH, den aktuellen Projektfortschritt so: „Die in unserem Bericht zum Penetrationstest dargestellten Szenarien sind nicht mehr möglich.“

Bundesregierung antwortet ausweichend auf eine Kleine Anfrage der FDP-Fraktion

In einer Kleinen Anfrage thematisiert die FDP- Bundestagsfraktion im Juni bereits die Sicherheit in der deutschen Wasserwirtschaft. Was für den Schutz vor Cyberattacken und im Krisen- und Kriegsfall mit vorgehaltenen Notversorgungsstellen für die Versorgung mit Trinkwasser und Entsorgung des Abwassers geleistet werden kann, wollten die Liberalen wissen.

Dazu muss man wissen, dass seit 2015 das Gesetz zur IT-Sicherheit die Sicherheit informationstechnischer Systeme sowie den Schutz Kritischer Infrastrukturen (KRITIS) regelt. Damit sind KRITIS-Betreiber verpflichtet, zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit angemessene technische und organisatorische Maßnahmen zu treffen und diese nachzuweisen. Aber nicht alle Betreiber kritischer Infrastrukturen müssen per Gesetz diese Regeln beachten. Eine Rechtsverordnung, die KritisV, schließt auf der Grundlage von Schwellenwerten nur solche Betreiber mit ein, die eine Grenze von 500.000 Personen bzw. 22 Millionen m³/Jahr erreichen oder überschreiten. Damit sind nur die „Großen“ erfasst. Es ist also der Kleinteiligkeit der deutschen Wasserwirtschaft geschuldet, dass diese strengen Regeln nur für weniger als 1 Prozent der Wasserversorgungsunternehmen in Deutschland verpflichtend snd. Dazu gehören neben den Berliner Wasserbetrieben auch andere Metropole-Versorger wie Stadtwerke Köln, München, RWW oder Gelsenwasser. Bei allen anderen 99 Prozent greift das Gesetz ins Leere.

Die FDP fragte ganz gezielt, ob und inwieweit Unternehmen, die wegen des Schwellenwertes aktuell nicht von den Mindestanforderungen an IT-Sicherheit erfasst werden, zukünftig darunter fallen. Die Bundesregierung nimmt dazu eher ausweichend Stellung: „Die diesbezügliche Änderungsverordnung wird aktuell noch erstellt. Aufgrund der noch nicht abgeschlossenen Ressortabstimmungen können zum aktuellen Zeitpunkt keine Aussagen zum Inhalt und Zeitplan getroffen werden.“ Das erklärt die Bundesregierung und verweist bei den strukturellen Unzulänglichkeiten auf die Zuständigkeit der Bundesländer.

Der technologiepolitische Sprecher der FDP-Fraktion und IT-Sicherheitsexperte, Mario Brandenburg, wirft dem zuständigen Bundesinnenministerium laut TAGESSPIEGEL vor, sich „vorsätzlich in den Blindflug“ zu begeben. Für die Koalition sei die Versorgungssicherheit der Bürger zweitrangig, sagte er dem TAGESSPIEGEL. Das BMI meine hingegen, im Plan zu sein und hält einen anderen Stichtag für maßgeblich.

IT-Sicherheitsexperten warnen vor massiven Gefahren wegen fehlender Evaluation und Verordnung

Auch die AG KRITIS, eine aus 40 IT-/Sicherheits-ExpertInnen bestehende verbandsfreie Arbeitsgruppe, erhebt starke Kritik an der Rahmensetzung durch die Bundesregierung. Die Experten schreiben „Die KritisV, und damit auch die Schwellenwerte, soll laut § 9 KritisV alle zwei Jahre evaluiert werden. Die Frist für die Evaluierung ist allerdings bereits zweimal verstrichen, ohne dass das BMI eine entsprechende Evaluierung vorgelegt hat. Dabei hatte sich das BMI diese Evaluierungen und Fristen selbst verbindlich in der Verordnung vorgegeben. Auch das IT-Sicherheitsgesetz von 2015 hätte bereits mindestens einmal (alle vier Jahre) evaluiert werden müssen.“

Im Deutschlandfunk äußerten sich die Experten am vergangenen Samstag und beklagen einen Missstand. Immer mehr kleine Wasserversorger würden massiv digitalisieren, ihnen fehle aber, so die Experten mit Blick in die Praxis, das passende Personal. Auch sei es der Personalmangel in anderen Bereichen, der die Ver- und Entsorger veranlasse, stärker auf Digitalisierung zu setzen und die technischen Anlagen zu vernetzen. Damit würden auch zwangsläufig die Angriffsrisiken steigen. Die Ergebnisse des Tests bei den Berliner Wasserbetrieben würden zeigen, wie anfällig die eigentlich auf einem hohen Schutzniveau agierenden und vom IT-Sicherheitsgesetz erfassten Ver- und Entsorger schon sind, kaum auszudenken wie es bei „den Kleinen“ aussehe.

Die AG KRITIS blickt daher mit großer Sorge darauf, dass die Versorgungssicherheit der Bevölkerung für das BMI nachrangig ist.

Dringender Handlungsbedarf

„Die Gefahr ist so groß, dass schnell gehandelt werden muss“, heißt es im Beitrag des DEUTSCHLANDFUNK, „denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss“, erklärt Manuel Atug, Mitbegründer von AG KRITIS.

„Im IT-Sicherheitsgesetz sollte auf jeden Fall nachgerüstet werden. Allerdings können die Schwellenwerte für die Kritis-Verordnung auch unabhängig vom IT-Sicherheitsgesetz angepasst werden. Eine Verordnung kann ja unabhängig einer Gesetzeslage angepasst werden. Hier sollte man tatsächlich mal eine Risikoanalyse machen, den Bedarf feststellen und auch einen Regel-Schwellenwert ansetzen, der dem Bedrohungsszenario angemessen ist. Woher die 500.000-Personen-Grenze kommt und wie sie sich berechnet oder herleitet, ist bis heute, ich würde sagen, eine ungeklärte Tatsache.“

Dass es bisher zu keinen größeren Ausfällen in der Wasserversorgung aufgrund digitaler Attacken gekommen ist, bezeichnen viele Sicherheitsexperten als reines Glück. Dass die Bundesregierung das Problem noch immer sträflich unterschätzt, ist für diese Sachverständigen nicht nachvollziehbar. Zwar wird das Problem im deutschen Bundestag jetzt intensiver diskutiert. Doch die Bundesregierung scheint darauf nicht reagieren zu wollen – noch nicht.

Reicht die Freiwilligkeit aus oder ist die Wasserwirtschaft als Infrastruktur zu kritisch?

Natürlich können auch die kleinen und mittelgroßen Wasserversorger und Abwasserentsorger auch ohne gesetzliche Regelung das Erforderliche tun, um die Sicherheitsrisiken zu reduzieren. Viele, aber nach unseren Erfahrungen nicht sehr viele, orientieren sich an den Regeln für IT-Sicherheit. Sie nehmen die Hilfestellung der Verbände an, nehmen an Schulungen teil und lassen ihre technische Infrastruktur testen. Sie haben IT–Sicherheit auf der Agenda, wenn neue Systeme integriert oder die Digitalisierung insgesamt vorangetrieben wird. Auch kooperieren Sie mit anderen, um von deren Erfahrungen zu lernen. Der Druck durch den Gesetzgeber reduziert nicht den Fachkräftemangel und lässt die IT-Experten in die Wasserwirtschaft strömen. Aber dennoch, die Wasserversorgung und Abwasserentsorgung sind zu kritisch für unsere Gesellschaft, als dass abgewartet werden könnte, ob alle so schnell reagieren werden, wie die Berliner, deswegen bedarf es einer Evaluation und der eindeutigen gesetzlichen Regelung. Wie sagte es ein sehr geschätzter Kollege, „wir können froh sein, dass die Hacker die deutsche Wasserwirtschaft zu langweilig finden….“