Digitalisierung in der Wasserwirtschaft

Lücken in der Cybersicherheit

Cyberangriffe auf kritische Infrastrukturen in Deutschland galten lange als möglich, aber unwahrscheinlich. Doch im Zuge der Kriegsereignisse in der Ukraine werden aktuell Warnungen laut, die mögliche Angriffe nahelegen. Auch der Wassersektor bietet aufgrund seiner zunehmenden Digitalisierung Angriffsflächen: Der Begriff „Wasser 4.0“ steht für neue digitale Möglichkeiten für eine flexible, ressourceneffiziente und wettbewerbsfähige Wasserwirtschaft – intelligente Mess- und Regelsysteme etwa, die inzwischen die Bedienung per Hand ersetzen können. Prozesse und Bestandteile der Wasserversorgung und Abwasserbeseitigung, wie Aufbereitungsanlagen, Ventile, Schieber oder Pumpen, lassen sich „smart“ steuern. Doch mit der Digitalisierung steigt auch die Anfälligkeit für Cyberangriffe. Wasserexperten des ISOE weisen in einem aktuellen Fachartikel darauf hin, dass sich vor allem bei kleinen Unternehmen Sicherheitslücken auftun.

| Nachricht
Illustration eines Wasserkraftwerks, weiße Linien auf blauem Hintergrund
Bild: panimoni - stock.adobe.com

Das IT-Sicherheitsgesetz weist sie als „Kritische Infrastrukturen“ aus: die Leitungen, Rohre und Kanäle der Wasserversorgung und Abwasserbeseitigung und alle dazugehörigen technischen Vorrichtungen, die zur Bereitstellung von Trinkwasser oder Betriebswasser und zur Ableitung und Behandlung von Abwasser benötigt werden. Sie gelten als besonders schützenswert, weil sie einen wichtigen Beitrag zur Daseinsvorsorge leisten, also der Grundversorgung der Bevölkerung dienen. Im Zuge der Digitalisierung werden diese als kritisch eingestuften Infrastrukturen noch „verletzlicher“, denn sie sind, wie alle smarten Anwendungen, möglichen Cyberangriffen ausgesetzt.

Die ISOE-Forscher Martin Zimmermann und Engelbert Schramm zeigen in einem aktuellen Beitrag im Fachmagazin der Deutschen Vereinigung für Wasserwirtschaft DWA, dass die Anfälligkeit der digitalen Systeme sowohl für gezielte Sabotage und Cyberangriffe als auch für menschliches und technisches Versagen in der Fachdebatte zu Wasser 4.0 immer noch nicht hinreichend berücksichtigt wird. Besonders problematisch sei die Situation für die vielen kleinen Unternehmen der Siedlungswasserwirtschaft. Sie stelle die Digitalisierung vor große Probleme, denn sie könnten die hohen Anforderungen an IT-Sicherheits- und Datenschutzmaßnahmen schlichtweg nicht erfüllen. Der Trend hin zu smarten, vernetzten und automatisierten Wasserversorgungs- und -entsorgungssystemen mit stärkerer Kundenorientierung setze sich bei ihnen deshalb auch nur zögerlich durch. 

Cyberkriminalität im Wassersektor – Bedrohungsszenarien für Mensch und Natur 

„Die verantwortlichen Behörden haben sich beim Thema IT-Sicherheit von Unternehmen im Wassersektor lange auf die großen Anlagen konzentriert. Da aber gerade in Deutschland die Siedlungswasserwirtschaft sehr stark kommunal organisiert ist, müssen Regularien zum Schutz der Kritischen Infrastrukturen künftig unbedingt auch den Bedarf der kleineren und mittleren Unternehmen berücksichtigen“, sagt ISOE-Wasserexperte Martin Zimmermann. Denn die Bandbreite für mögliche Sicherheitsausfälle bis hin zu gezielter Cyberkriminalität sei groß. Zu den sogenannten vulnerablen, also verletzlichen Bestandteilen gehören alle Bereiche der Siedlungswasserwirtschaft, von der Wassergewinnung und -aufbereitung über die Wasserverteilung bis hin zur Abwasserbeseitigung. „In all diesen Bereichen der Siedlungswasserwirtschaft sind Manipulationsversuche grundsätzlich möglich“, sagt Martin Zimmermann. Naheliegend seien Manipulationen an der Rohwassergewinnung aus Grundwasser, Seen oder Talsperren oder auch Angriffe auf Prozesse der Wasseraufbereitung im Wasserwerk. Auch kann der Ausfall von Pumpen zu Versorgungsproblemen bei der Wasserverteilung führen.

Es seien aber auch Szenarien vorstellbar, bei denen sich gezielte Cyberangriffe auf spezifische Branchen oder begrenzte Gebiete richteten. Denkbar seien hier etwa Finanzdistrikte wie das Frankfurter Bankenviertel oder auch Internetknoten und Rechenzentren, deren Kühlungsanlagen auf Wasser angewiesen sind. Als kritisch müsse man auch die Versorgung von Wohn- und Bürotürmen durch private Dienstleister ansehen. Durch die Vergabe von Betriebs- und Wartungsarbeiten an externe Facility-Management-Anbieter sei ein weiteres Einfallstor hinsichtlich der Cybersicherheit gegeben. „Insgesamt betrachtet sind die Bedrohungslagen für Gesellschaft und Natur vielfältig“, sagt Martin Zimmermann. „Für beide können sich je nach Szenario – vorübergehende Funktionsstörung einzelner Komponenten bis hin zum Totalausfall der Wasserversorgung und Abwasserentsorgung – sehr unterschiedliche Reichweiten und Gefährdungslagen ergeben.“

Kooperationen von kleinen Unternehmen können die IT-Sicherheit erhöhen

Weil die Cybersicherheit „die Achillesverse der Digitalisierung in der Siedlungswasserwirtschaft“ sei, empfehlen die ISOE-Autoren in ihrem Fachartikel, der jüngst in der Ausgabe KA Korrespondenz Abwasser, Abfall 69 (2) erschienen ist, den kleineren Unternehmen, möglichst untereinander zu kooperieren. „Wenn nicht jedes Unternehmen der Wasserversorgung und Abwasserbeseitigung ausreichend eigene Kompetenzen zur IT-Sicherheit aufbauen kann, könnten Kooperationen zwischen mehreren kleinen Unternehmen ein gutes Mittel sein, um Synergieeffekte zu erzielen. So könnten sie sich gegenseitig in Fragen der Cybersicherheit unterstützen“, sagt Martin Zimmermann.
Ein weiterer Vorschlag lautet: Ein solcher Kooperationsverbund könnte zum Beispiel aus einem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geförderten zentralen Kompetenzzentrum und mehreren regionalen Arbeitsgemeinschaften bestehen, in denen sich gebietsweise Abwasserunternehmen zusammenschließen, um bedarfsgerechte Schutzkonzepte zu erarbeiten und umzusetzen.

Schramm, Engelbert/Martin Zimmermann (2022): Cybersicherheit in der Siedlungswasserwirtschaft, insbesondere bei kleinen Unternehmen. KA Korrespondenz Abwasser, Abfall 69 (2), 122-126