Das IT-Sicherheitsgesetz weist sie als „Kritische Infrastrukturen“ aus: die Leitungen, Rohre und Kanäle der Wasserversorgung und Abwasserbeseitigung und alle dazugehörigen technischen Vorrichtungen, die zur Bereitstellung von Trinkwasser oder Betriebswasser und zur Ableitung und Behandlung von Abwasser benötigt werden. Sie gelten als besonders schützenswert, weil sie einen wichtigen Beitrag zur Daseinsvorsorge leisten, also der Grundversorgung der Bevölkerung dienen. Im Zuge der Digitalisierung werden diese als kritisch eingestuften Infrastrukturen noch „verletzlicher“, denn sie sind, wie alle smarten Anwendungen, möglichen Cyberangriffen ausgesetzt.

„Wir beobachten, dass die Anfälligkeit der digitalen Systeme sowohl für gezielte Sabotage und Cyberangriffe als auch für menschliches und technisches Versagen in der Fachdebatte zu Wasser 4.0 nicht hinreichend berücksichtigt wird“, sagt Wasserexperte Martin Zimmermann vom ISOE – Institut für sozial-ökologische Forschung. „Es sind vor allem die vielen kleinen Unternehmen der Siedlungswasserwirtschaft, die die Digitalisierung vor große Probleme stellt, denn sie können die hohen Anforderungen an IT-Sicherheits- und Datenschutzmaßnahmen schlichtweg nicht erfüllen.“ Bei den kleineren Unternehmen setze sich auch deshalb der Trend hin zu smarten, vernetzten und automatisierten Wasserversorgungs- und -entsorgungssystemen mit stärkerer Kundenorientierung nur zögerlich durch.

Behörden mit falschem Fokus

„Die verantwortlichen Behörden haben sich lange fatalerweise auf die großen Anlagen und Einzugsgebiete konzentriert. Da aber gerade in Deutschland die Siedlungswasserwirtschaft sehr stark kommunal organisiert ist, müssen Regularien zum Schutz der Kritischen Infrastrukturen künftig unbedingt auch den Bedarf der kleineren und mittleren Unternehmen berücksichtigen“, empfiehlt Zimmermann. Denn die Bandbreite für mögliche Sicherheitsausfälle bis hin zu gezielter Cyberkriminalität sei groß.

Zu den sogenannten vulnerablen, also verletzlichen Bestandteilen der Wasserversorgung gehören alle Bereiche der Siedlungswasserwirtschaft, von der Wassergewinnung und -aufbereitung über die Wasserverteilung bis hin zur Abwasserbeseitigung. „In all diesen Bereichen der Siedlungswasserwirtschaft sind Manipulationsversuche grundsätzlich möglich“, sagt Zimmermann. Naheliegend seien Manipulationen an der Rohwassergewinnung aus Grundwasser, Seen oder Talsperren oder auch Angriffe auf Prozesse der Wasseraufbereitung im Wasserwerk. Auch kann der Ausfall von Pumpen zu Versorgungsproblemen bei der Wasserverteilung führen.

Kleine Störungen bis Totalausfall

Es seien aber auch Szenarien vorstellbar, bei denen sich gezielte Cyberangriffe auf spezifische Branchen oder begrenzte Gebiete richteten. Denkbar seien hier etwa Finanzdistrikte wie das Frankfurter Bankenviertel oder auch Internetknoten und Rechenzentren, deren Kühlungsanlagen auf Wasser angewiesen sind. Als kritisch müsse man auch die Versorgung von Wohn- und Bürotürmen durch private Dienstleister ansehen. Durch die Vergabe von Betriebs- und Wartungsarbeiten an externe Facility-Management-Anbieter sei ein weiteres Einfallstor hinsichtlich der Cybersicherheit gegeben.

„Insgesamt betrachtet, sind die Bedrohungslagen für Gesellschaft und Natur vielfältig“, analysiert Zimmermann. „Für beide können sich je nach Szenario – vorübergehende Funktionsstörung einzelner Komponenten bis hin zum Totalausfall der Wasserversorgung und Abwasserentsorgung – sehr unterschiedliche Reichweiten und Gefährdungslagen ergeben.“

Gesetzgeber soll Chance nutzen

Die bevorstehende Novellierung des deutschen IT-Sicherheitsgesetzes biete einen guten Zeitpunkt, um die Sicherheitsprobleme der kleineren Unternehmen zu berücksichtigen. In diesem Zusammenhang empfehlen die ISOE-Autoren den kleineren Betrieben zudem, untereinander zu kooperieren. „Wenn nicht jedes Unternehmen der Wasserversorgung und Abwasserbeseitigung ausreichend eigene Kompetenzen zur IT-Sicherheit aufbauen kann, könnten Kooperationen zwischen mehreren kleinen Unternehmen ein gutes Mittel sein, um Synergieeffekte zu erzielen. So könnten sie sich gegenseitig in Fragen der Cybersicherheit unterstützen“, sagt Zimmermann. (hp)