Cybersicherheit für das höchste Gut: Wasser

Ihr Experte für Fragen

Mailin von Knobelsdorff
Senior Manager bei PwC Deutschland
E-Mail

Die Wasserversorgung vor Angriffen schützen

Wasser ist eine der wichtigsten Ressourcen unseres Planeten. Für die Gesellschaft und für jeden einzelnen Menschen ist der Zugang zu Wasser von kritischer Bedeutung. Entsprechend zählen Betreiber von Anlagen der Wasserversorgung ab einer gewissen Größe zur Kritischen Infrastruktur (KRITIS).

Um die Wasserversorgung und Abwasserentsorgung sicherzustellen, sind Systeme in Betrieb, die rund um die Uhr gesteuert und überwacht werden müssen. Das geschieht immer häufiger digital. Solche Steuerungsanlagen werden folglich zu einem attraktiven Ziel für Hacker und andere Angreifer.

Im Frühjahr 2021 nahmen Angreifer in den US-Bundesstaaten Kalifornien und Florida beispielsweise die Wasserversorgungssysteme ins Visier – mit beinahe dramatischen Folgen: Hätte ein Mitarbeiter den Angriff in Florida nicht rechtzeitig erkannt, wären die Hacker in der Lage gewesen, das Trinkwasser von bis zu 15.000 Menschen zu vergiften.

Wasser ist das höchste Gut

Wasser ist die Lebensgrundlage für alle Lebewesen – egal ob Mensch, Tier oder Pflanze. Nach Angaben des Bundesverbands der Energie- und Wasserwirtschaft BDEW lag der durchschnittliche Trinkwasserverbrauch in Deutschland im Jahr 2021 bei etwa 127 Litern pro Person. Auch als Wirtschaftsfaktor ist Wasser von enormer Bedeutung – sei es als Energiequelle, als Rohstoff in der Produktion anderer Güter oder als Transportmedium.

Entsprechend wichtig ist ein sorgsamer Umgang mit dieser wertvollen Ressource entlang aller Abschnitte der Wasserwirtschaft – von der Trinkwassergewinnung über die Aufbereitung und Verteilung bis hin zum Abtransport und der Behandlung von Abwasser und seiner Rückführung in den natürlichen Wasserkreislauf.

Die Wasserversorgung gerät ins Visier von Cyber-Kriminellen

Um eine konstante Versorgung mit sauberem Trinkwasser und eine sichere Entsorgung von Abwasser zu gewährleisten, sind komplexe, geografisch verteilte Anlagen, Rohrsysteme und Steuerungsmechanismen in Betrieb. Diese werden immer häufiger digital gesteuert und überwacht. Solche Anlagen werden dadurch zu einem attraktiven Ziel von Hackern und anderen Angreifern. Einzelne Notfälle lassen sich zeitweise überbrücken: So hat sich der Katastrophenschutz zum Beispiel ausgiebig mit den bestehenden Risiken und Gegenmaßnahmen befasst.

Große Anlagen der Wasserversorgung zählen zur KRITIS

Die Absicherung der Anlagen ist aber allein schon durch die Größe der versorgten Bevölkerungsteile keine einfache Aufgabe: Laut KRITIS-Verordnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zählen Betreiber von Anlagen der Trinkwasserversorgung mit einem Durchsatz von mindestens 22 Millionen Kubikmeter pro Jahr sowie Betreiber von Anlagen zur Abwasserentsorgung mit einem Versorgungsgrad von mindestens 500.000 Personen als Betreiber Kritischer Infrastrukturen (KRITIS). Solche Wassermengen und Personenzahlen benötigen entsprechend groß angelegte Ver- und Entsorgungssysteme.

Betreiber müssen Sicherheitsvorkehrungen treffen und nachweisen

Mit der Novellierung des IT-Sicherheitsgesetzes und der KRITIS-Verordnung müssen sich Betriebe, die diese Grenzwerte überschreiten, bereits am folgenden Tag beim BSI registrieren. Sollte ein Betrieb dies nicht tun, ist das BSI auch ermächtigt, die Organisation als Kritische Infrastruktur zu benennen.

In jedem Fall muss der Betreiber ab diesem Zeitpunkt angemessene organisatorische und technische Vorkehrungen der Infrastruktur treffen, um Störungen zu vermeiden. Dazu zählen informationstechnischen Systeme, Komponenten und Prozesse. Die getroffenen Maßnahmen müssen dem neuesten Stand der Technik entsprechen und sich auch nachweisen lassen.