Yahoo Finanzen Cyberattacken: Großteil der Wasserversorger nur unzureichend geschützt
Cyberattacken auf Versorgungsunternehmen gehören zu den Schreckensszenarien der Sicherheitsbehörden. Doch nur ein Bruchteil der Wasserversorger gilt als kritische Infrastruktur.
Die Grünen fordern einen besseren Schutz für die Wasserversorgung in Deutschland. Hintergrund ist, dass ein Großteil der Wasserwerke nur geringen Sicherheitsstandards unterliegt. Das geht aus der Antwort des Bundesinnenministeriums auf eine Anfrage der Grünen-Innenpolitikerin Irene Mihalic hervor, die dem Handelsblatt vorliegt.
Der verschwindend geringe Anteil der als kritische Infrastruktur eingestuften Wasserversorger werfe Fragen auf, sagte Mihalic dem Handelsblatt. „Die Trinkwasserversorgung ist einer der wichtigsten Bestandteile der öffentlichen Daseinsvorsorge und muss ganz besonders geschützt werden.“
Die Bundesregierung müsse daher dringend die Schwellenwerte zur Bestimmung solcher Infrastrukturen überprüfen. „Wir müssen zu einem risikobasierten Ansatz kommen, der auch mittelgroße Versorger stärker berücksichtigt.“
Laut Angaben des Ministeriums gelten von den insgesamt 5748 Wasserversorgern in Deutschland 47 als sogenannte kritische Infrastruktur, weil sie über dem Schwellenwert von 22 Millionen Kubikmeter verteilter Wassermenge pro Tag liegen. Das entspricht einem Anteil von 0,82 Prozent.
Deutschlands oberste Cyber-Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), legt in der „Kritis-Verordnung“ Schwellenwerte fest, ab denen öffentliche Institutionen oder Unternehmen als sogenannte kritische Infrastrukturen (Kritis) gelten. Darunter werden Systeme verstanden, die laut Bundesregierung „von hoher Bedeutung für das Funktionieren des Gemeinwesens in Deutschland sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“.
„Gefährdungslage liegt auf hohem Niveau“
Dazu gehören zum Beispiel die Bereiche Ernährung, Informations- und Telekommunikationstechnik, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Energie und eben auch Wasser. Nicht jede Institution aus diesen Bereichen muss aber in gleicherweise strenge Sicherheitsstandards erfüllen, um gegen Cyberangriffe gewappnet zu sein.
Der Schwellenwert für Versorgungsunternehmen beispielsweise in der Sparte Wasser liegt bei der Versorgung von 500.000 Menschen oder mehr. Ab dieser Schwelle gilt ein Wasserwerk als Betreiber einer kritischen Infrastruktur und ist verpflichtet, seine IT angemessen abzusichern.
Online-Angriffe, die kritische Infrastruktur wie Kraftwerke lahmlegen, sind ein Schreckensszenario für einen Cyberkrieg. Beim BSI können Konzerne derartige Vorfälle melden – je nach Größe und Relevanz müssen sie dies auch.
Manuel Atug, Gründer und Sprecher der AG Kritis, einer Gruppe von etwa 40 IT-Experten, hält den Schwellenwert bei Wasserversorgern von 500.000 Menschen für willkürlich gewählt. Es könne beispielsweise passieren, dass ein staatlicher Akteur in einer koordinierten Aktion eine Reihe von kleineren Wasserwerken angreife. „Dann sind weit mehr als 500.000 Menschen betroffen, aber keines der Wasserwerke war per Gesetz verpflichtet, seine IT angemessen abzusichern“, sagte Atug kürzlich dem „Tagesspiegel“.
Wie angespannt die Lage ist, zeigt der jährliche BSI-Lagebericht. „Die Gefährdungslage im Bereich Kritischer Infrastrukturen liegt weiterhin auf hohem Niveau“, heißt es etwa im Bericht der Behörde für das Jahr 2019. Zwischen Juni 2018 und Mai 2019 seien 252 Sicherheitsvorfälle registriert worden. Davon betrafen neun Vorfälle den Bereich Wasser. Bei der Cyberkriminalität beobachtet die Behörde immer mehr Fälle von Erpressungen mittels Verschlüsselungsprogrammen, sogenannter Ransomware.
Die Bundesregierung warnte denn auch kürzlich in einer Antwort auf eine Kleine Anfrage der FDP-Bundestagsfraktion, durch erfolgreiche Cyberangriffe seien „prinzipiell auch Auswirkungen auf die Versorgungssicherheit möglich“.
