Digitale Wasserwirtschaft: Lücken in der Cybersicherheit

Prozesse und Bestandteile der Wasserversorgung und Abwasserbeseitigung, wie Aufbereitungsanlagen, Ventile, Schieber oder Pumpen, lassen sich „smart“ steuern. Doch die fortschreitende Digitalisierung in Unternehmen kann deren Anfälligkeit für Cyberangriffe erhöhen.

Wasserexperten des ISOE weisen in der Zeitschrift für Technikfolgenabschätzung in Theorie und Praxis (TATuP) darauf hin, dass sich vor allem bei kleinen Unternehmen Sicherheitslücken auftun.

Das IT-Sicherheitsgesetz weist sie als „Kritische Infrastrukturen“ aus: die Leitungen, Rohre und Kanäle der Wasserversorgung und Abwasserbeseitigung und alle dazugehörigen technischen Vorrichtungen, die zur Bereitstellung von Trinkwasser oder Betriebswasser und zur Ableitung und Behandlung von Abwasser benötigt werden.

Sie gelten als besonders schützenswert, weil sie einen wichtigen Beitrag zur Daseinsvorsorge leisten, also der Grundversorgung der Bevölkerung dienen. Im Zuge der Digitalisierung werden diese als kritisch eingestuften Infrastrukturen noch „verletzlicher“, denn sie sind, wie alle smarten Anwendungen, möglichen Cyberangriffen ausgesetzt.

„Wir beobachten, dass die Anfälligkeit der digitalen Systeme sowohl für gezielte Sabotage und Cyberangriffe als auch für menschliches und technisches Versagen in der Fachdebatte zu Wasser 4.0 nicht hinreichend berücksichtigt wird,“ sagt Wasserexperte Martin Zimmermann vom ISOE – Institut für sozial-ökologische Forschung.

„Es sind vor allem die vielen kleinen Unternehmen der Siedlungswasserwirtschaft, die die Digitalisierung vor große Probleme stellt, denn sie können die hohen Anforderungen an IT-Sicherheits- und Datenschutzmaßnahmen schlichtweg nicht erfüllen.“ Bei den kleineren Unternehmen setze sich auch deshalb der Trend hin zu smarten, vernetzten und automatisierten Wasserversorgungs- und -entsorgungssystemen mit stärkerer Kundenorientierung nur zögerlich durch.

Cyberkriminalität im Wassersektor – Bedrohungsszenarien für Mensch und Natur

„Die verantwortlichen Behörden haben sich lange fatalerweise auf die großen Anlagen und Einzugsgebiete konzentriert. Da aber gerade in Deutschland die Siedlungswasserwirtschaft sehr stark kommunal organisiert ist, müssen Regularien zum Schutz der Kritischen Infrastrukturen künftig unbedingt auch den Bedarf der kleineren und mittleren Unternehmen berücksichtigen“, ist sich Martin Zimmermann sicher. Denn die Bandbreite für mögliche Sicherheitsausfälle bis hin zu gezielter Cyberkriminalität sei groß.

Zu den sogenannten vulnerablen, also verletzlichen Bestandteilen der Wasserversorgung gehören alle Bereiche der Siedlungswasserwirtschaft, von der Wassergewinnung und -aufbereitung über die Wasserverteilung bis hin zur Abwasserbeseitigung. „In all diesen Bereichen der Siedlungswasserwirtschaft sind Manipulationsversuche grundsätzlich möglich“, sagt Martin Zimmermann.

Naheliegend seien Manipulationen an der Rohwassergewinnung aus Grundwasser, Seen oder Talsperren oder auch Angriffe auf Prozesse der Wasseraufbereitung im Wasserwerk. Auch kann der Ausfall von Pumpen zu Versorgungsproblemen bei der Wasserverteilung führen.

Es seien aber auch Szenarien vorstellbar, bei denen sich gezielte Cyberangriffe auf spezifische Branchen oder begrenzte Gebiete richteten. Denkbar seien hier etwa Finanzdistrikte wie das Frankfurter Bankenviertel oder auch Internetknoten und Rechenzentren, deren Kühlungsanlagen auf Wasser angewiesen sind. Als kritisch müsse man auch die Versorgung von Wohn- und Bürotürmen durch private Dienstleister ansehen.

Durch die Vergabe von Betriebs- und Wartungsarbeiten an externe Facility-Management-Anbieter sei ein weiteres Einfallstor hinsichtlich der Cybersicherheit gegeben. „Insgesamt betrachtet, sind die Bedrohungslagen für Gesellschaft und Natur vielfältig“, sagt Martin Zimmermann. „Für beide können sich je nach Szenario – vorübergehende Funktionsstörung einzelner Komponenten bis hin zum Totalausfall der Wasserversorgung und Abwasserentsorgung – sehr unterschiedliche Reichweiten und Gefährdungslagen ergeben.

IT-Sicherheitsgesetz jetzt nachbessern

Martin Zimmermann und seine Mitautoren weisen deshalb in ihrem Artikel „Siedlungswasserwirtschaft im Zeitalter der Digitalisierung“ (TATuP 29/1 2020) darauf hin, dass die bevorstehende Novellierung des deutschen IT-Sicherheitsgesetzes einen guten Zeitpunkt bietet, um die Sicherheitsprobleme der kleineren Unternehmen zu berücksichtigen.

Weil die Cybersicherheit „die Achillesverse der Digitalisierung in der Siedlungswasserwirtschaft“ sei, empfehlen die ISOE-Autoren den kleineren Unternehmen zudem, untereinander zu kooperieren. „Wenn nicht jedes Unternehmen der Wasserversorgung und Abwasserbeseitigung ausreichend eigene Kompetenzen zur IT-Sicherheit aufbauen kann, könnten Kooperationen zwischen mehreren kleinen Unternehmen ein gutes Mittel sein, um Synergieeffekte zu erzielen. So könnten sie sich gegenseitig in Fragen der Cybersicherheit unterstützen“, sagt Martin Zimmermann.

Weitere News und Artikel