Vor einigen Wochen machten Schlagzeilen die Runde, dass in Florida (USA) ein Hackerangriff auf die Wasserversorgung in letzter Sekunde vereitelt wurde. Der Angreifer hatte versucht die Konzentration eines säureregulierenden Stoffes zu manipulieren und auf mehr als ein hundertfaches zu erhöhen, was gesundheitliche Schäden der Bevölkerung verursacht hätte. Glücklicherweise hatte ein Mitarbeiter des Wasserwerks den Angriff bemerkt und konnte eingreifen.
Im Nachhinein stellte sich heraus, wie solch eine Attacke möglich werden konnte. Über die beliebte Fernzugriffsoftware „TeamViewer“ hatte sich der Angreifer scheinbar Zugang zur Software der Steuerung verschafft. Dies war möglich, da auf allen Rechnern das veraltete Windows 7 Betriebssystem installiert war, für das seit 2020 keine Sicherheitsupdates mehr von Microsoft bereitgestellt werden. Dazu kam, dass auf allen Rechnern dasselbe Passwort für den Fernzugriff verwendet wurde und alle Rechner ohne Firewall direkt mit dem Internet verbunden waren (vgl. hier).
Es war nicht das erste Mal, dass ein Angriff auf die Wasserversorgung vereitelt wurde. Erst im April letzten Jahres wurde in Israel ein Angriff auf die Kommando- und Kontrollsysteme der Kläranlagen, Pumpstationen und die Abwasserinfrastruktur vereitelt.
Die Lage in Deutschland
In Deutschland gibt es ca. 6000 Unternehmen der Öffentlichen Wasserversorgung und Abwasserbeseitigung. Neben Wetterextremen wie Hochwasser und Trockenzeiten, Umfeld bedingte Gefährdungen sowie dem Ausfall der Stromversorgung, müssen sich die Unternehmen auch vor neuen Gefahren, wie Hackerangriffen, schützen. Zahlen des Statistischen Bundesamtes ist zu entnehmen, dass weniger als ein Prozent (17 von 5 845) der öffentlichen Wasserversorgung und Abwasserbeseitigung in Deutschland, aus dieser Ableitung verpflichtend unter Auflagen der BSI-Kritisverordnung fallen, da der Regelschwellenwert von 500.000 angeschlossenen Einwohnern bzw. 22 Mio. m³ Wassermenge nicht erreicht wird.
Mehreren Penetrationstests bei großen Wasserwerken nach zu urteilen, sind Wasserwerke Hackerangriffen häufig schutzlos ausgeliefert. Besonders die Bereiche Fernwartung und Pumpsysteme seien anfällig, denn die Industriesteuerungen stammen aus einer Zeit, in der niemand damit gerechnet hat, dass sie eines Tages vernetzt sein würden. Bei kleineren Unternehmen sind die eingesetzten Systeme häufig dieselben, was bedeutet, dass die Ergebnisse der Penetrationstests auf alle übertragbar wären.
In der „Drucksache 19/20965“ zum Thema „Sicherheit der Wasserversorgung in Deutschland“ aus Juli 2020 beantwortet die Bundesregierung die Frage „Welche Maßnahmen sieht die Bundesregierung für Betreiber, die aufgrund der Schwellenwerte nicht unter die BSI-KritisV fallen, vor?“ damit, dass gegebenenfalls notwendige, weitergehende verpflichtende Maßnahmen für Betreiber, welche die aus Bundessicht festgelegten Schwellenwerte nicht erreichen, im Zuständigkeitsbereich der Länder liegen und die Empfehlungen des BSI vollständig oder in Teilen freiwillig umgesetzt werden können.
Um freiwillig ein Sicherheitskonzept zu etablieren, fehlen den meisten kleinen und mittleren Wasserversorgern der Kommunen allerdings die finanziellen und personellen Ressourcen.
Fazit
Da sich die Bedrohungslage stetig erhöht, wäre eine gesetzliche Regelung für diese Unternehmen wünschenswert. Dies könnte beispielsweise durch ein Herabsetzen des Schwellenwertes möglich gemacht werden. Es sollte aber darauf geachtet werden, dass dieser mit einer gewissen Umsicht in Bezug auf finanzielle und organisatorische Möglichkeiten gewählt wird, um kleine Unternehmen nicht zu überfordern. Die Regelschwellenwerte wurden zuletzt Juni 2016 und Juni 2017 überprüft und angepasst. § 9 der BSI-Kritisverordnung sieht eine Anpassung der Regelschwellenwerte mindestens alle zwei Jahre vor. Damit wäre eine erneute Anpassung bereits überfällig.