2024 erwischte es Wasserversorger in Nordtexas. Russische Hacker griffen an und brachten im Ort Muleshoe einen Wassertank zum Überlaufen. Im selben Jahr wurde das Wasserwerk Tureby-Alkestrup in Dänemark attackiert, auch von einer russischen Gruppe. Diese manipulierte den Wasserdruck so, dass Rohre platzten. Die Trinkwasserversorgung war vorübergehend eingeschränkt. Ein bekannter Fall hierzulande ist der Angriff auf den Trinkwasserverband Stader Land 2023. Es kam zu technischen Störungen, die Wasserversorgung war aber nicht beeinträchtigt.
Drei Beispiele, die zeigen: Kriminelle Hacker haben die Wasserwirtschaft im Visier. Diese gehört wie Krankenhäuser, Banken und Energieversorger zur kritischen Infrastruktur, die für das Gemeinwesen besonders wichtig ist – und deswegen ein lohnendes Angriffsziel darstellt.
Im Ruhrtower in Essen arbeiten Spezialisten rund um die Uhr daran, Deutschlands Wasserwirtschaft vor solchen Cyberattacken zu schützen. Hier befindet sich das Lagezentrum "Cybersec@Wasser". Es ist Teil des Kompetenzzentrums Digitale Wasserwirtschaft und in einem gesondert gesicherten Bereich untergebracht. Seit 2024 werden hier die Netzwerke von Wasserversorgern und Abwasserentsorgern vor allem aus NRW, aber auch aus anderen Bundesländern überwacht - sowohl ihre IT als auch die operative Technik (OT) mit Steuerungs- und Leitsystemen, Pumpwerken, Hochbehältern und Abwasseranlagen.
Ständige Überwachung für frühestmögliche Detektion
Herzstück des Lagezentrums ist das Managed Security Operations Center (SOC). An den Wänden hängen große Monitore, die Diagramme, grafische Auswertungen und automatisierte Alarmmeldungen zeigen. Manchmal ploppt eine Information zur aktuellen Bedrohungslage auf. Die beiden Cybersecurity-Analysten, die sich eine 8-Stunden-Schicht teilen, haben das alles stets im Blick. Ihre Aufgabe: Detektion. Sie sollen bevorstehende Angriffe so früh wie möglich erkennen - dafür müssen sie die ganzen hereinkommenden Daten, das Grundrauschen des Internets, richtig bewerten und einordnen.
Zum Beispiel prüfen sie die Logdaten – technische Protokolle, die Aufschluss über Vorgänge in den IT-Systemen der Wasserversorger geben. Ist da etwas auffällig? Wenn ja, passt diese Auffälligkeit zu bekannten Angriffsmustern? Ist der Port-Scan, mit dem gerade das IT-Netzwerk eines Wasserversorgers auf Schwachstellen abgetastet wird, ein gezielter Angriff? Manchmal kommt es auch vor, dass ein Mitarbeiter einfach nur unvorsichtig war und einen Malware-Link angeklickt hat – auch diese Nachlässigkeit wird angezeigt. Wonach die Analysten suchen, sind aber keine einzelnen auffälligen Signale. Ihnen geht es um strukturierte Informationen, die sie aus den großen unstrukturierten Datenmengen herausfiltern.
Es gibt viele Angriffe, aber die Versorger sind gut geschützt
Die Analysten haben viel zu tun. "Bei unseren Mandanten beobachten wir ständig Angriffsversuche auf IT- und OT-Systeme – bislang jedoch ohne größere Erfolge, da diese durch die vorhandenen Sicherheitsmaßnahmen abgewehrt werden konnten", sagt Ronald Derler. Er ist Geschäftsführer des 2020 auf Initiative des Landes NRW und der Wasserwirtschaft gegründeten Kompetenzzentrums und Initiator des vier Jahre später auf Wunsch der Branche eröffneten Lagezentrums. Dieses biete keine "Lösungen von der Stange", sondern Sicherheitsleistungen, die genau auf die typischen IT- und OT-Strukturen der Wasserwirtschaft zugeschnitten sind. "Wir haben alles gemeinsam mit den Betreibern entwickelt, nicht abstrakt, sondern entlang der tatsächlichen Anforderungen der Branche, der Regulatorik und der Betriebsrealität."
Die Aufgaben lassen sich in drei Bereiche einteilen: Prävention, Detektion, Reaktion. Detektion ist Sache der Analysten im SOC, zur Prävention gehören Schulungen und das monatliche Lagebild, das öffentlich zugängliche Informationen zusammenfasst: Berichte über Cyberangriffe, bekannte Schwachstellen, veröffentlichte Datenleaks, behördliche Lageeinschätzungen, Starkregenereignisse oder Hitzeperioden, politische und gesellschaftliche Entwicklungen.
"Das Lagebild ist als Orientierungshilfe gedacht. Dort werden einzelne technische Beobachtungen nicht isoliert betrachtet, sondern in die allgemeine Cyberbedrohungslage eingebettet", erklärt Derler. Die Mandanten können daraus konkrete Maßnahmen ableiten. Zum Beispiel legt ihnen das Lagebild nahe, die erst für 2027 geplante große Systemprüfung vorsichtshalber auf 2026 vorzuziehen.
Operative Entscheidungen für den Mandanten treffen wir nicht.
Ronald Derler
Geschäftsführer Cybersec@Wasser
Der dritte Bereich Reaktion sieht vor, Mandanten im Ernstfall zu unterstützen, jedoch nur in begrenztem Umfang. Begrenzt heißt, die Essener Cybersicherheits-Experten alarmieren den Mandanten, sofern ein Angriff droht. Sie liefern ihm eine Bewertung der Daten und schätzen ein, ob eine externe Unterstützung sinnvoll oder erforderlich ist. "Operative Entscheidungen für den Mandanten treffen wir nicht, das Lagezentrum greift auch nicht auf dessen System zu", betont Derler. Der Mandant kann, wenn es ihm nötig erscheint, einen Incident-Response-Dienstleister hinzuziehen.
Incident Response bedeutet Reaktion auf einen Cybervorfall. Darauf spezialisierte Dienstleister helfen gehackten Unternehmen, den Schaden zu minimieren. Bei den Versorgern, die ans Lagezentrum angeschlossen sind, war bisher kein solcher Incident Response notwendig. "In diesem theoretischen Ernstfall würden wir gemeinsam mit Mandant und Dienstleister die Lage, unsere Erkenntnisse und das weitere Vorgehen besprechen."
Angreifer wollen Bevölkerung verunsichern
Was erwartet die Wasserwirtschaft in den nächsten Jahren? Spitzt sich die Bedrohungslage zu? Derler geht davon aus, dass vermehrt OT-Systeme angegriffen werden, besonders durch politisch motivierte Akteure. Denen geht es in der Regel nicht darum, Geld zu erpressen. Vielmehr wollen sie möglichst großen Schaden anrichten und die Bevölkerung verunsichern. "Störungen der OT sind hierfür besonders geeignet, da diese Systeme unmittelbar die Erbringung der kritischen Dienstleistung steuern – im Fall der Wasserwirtschaft die Wasserver- und -entsorgung." Sicherheit speziell im OT-Bereich werde immer wichtiger, auch weil die technischen Systeme immer stärker vernetzt sind. Die Angriffsfläche vergrößert sich dadurch.
Entsprechend will Derler die "operativen Fähigkeiten" des Lagezentrums weiter ausbauen, besonders an den Schnittstellen von IT und OT. Geplant sind "strukturierte Reaktionsprozesse", um im Ernstfall noch schneller handeln zu können als heute. Auch die Branche müsse ihre Cybersicherheit professionalisieren. Viele fühlten sich überfordert, wegen begrenzter Ressourcen, aber auch wegen der Komplexität und Unübersichtlichkeit der eigenen IT- und OT-Strukturen. Die Regulatorik könnte Prozesse beschleunigen, Derler hofft da besonders auf die NIS-2-Richtlinie der EU, die höhere Anforderungen an die IT-Sicherheit von kritischen Infrastrukturen stellt. Das könnte Wasserversorger dazu bringen, das Thema in der Prioritätenliste dorthin zu setzen, wo es hingehört: ganz nach oben.
