Weltweit nehmen die elektronischen Angriffe über Netzwerkverbindungen auf Unternehmen zu. Diese werden im Schnitt alle drei Minuten Opfer eines Angriffs. Als ein besonders sensibler Bereich muss sich auch der Wassersektor damit auseinandersetzen. Wie sicher sind unsere Systeme? Was gilt es zu tun? Dipl.-Ing. Norbert Engelhardt, Ständiger Vertreter des Vorstandes des Erftverbands, gibt im Interview mit Springer für Professionals Antworten auf diese Fragen.
Welche Branchen sind heute potentiell gefährdet?
Betroffen sind grundsätzlich alle Branchen, bei denen es sich lohnt, Daten und Betriebsgeheimnisse auszuspionieren oder deren Systeme zu beschädigen bzw. zu blockieren, um sich z. B. als Wettbewerber einen 'unzulässigen' Wissens- und Entwicklungsvorteil zu verschaffen.
Gravierende Gefährdungen können aber insbesondere gezielte Cyber-Attacken bzw. elektronische Angriffe auf Institutionen und Einrichtungen auslösen, die eine wichtige Bedeutung für unsere Gemeinwesen haben und deren Funktionieren die öffentliche Sicherheit, die nachhaltige Ver- und Entsorgung und die Gesundheit der Bevölkerung gewährleisten. Das sind die so genannten "kritischen Infrastrukturen", zum Beispiel
- Energieversorgung
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Gesundheit und Ernährung
- Finanzwirtschaftliche Einrichtungen, z. B. Banken
und auch
- Wasser, Abwasser und Wasserwirtschaft
Welche kritische wasserwirtschaftliche Infrastruktur kann betroffen sein?
Zur kritischen Wasserwirtschaftlichen Infrastruktur zählen
- die Trinkwasserversorgung mit ihren Wasserwerken, Pumpanlagen und Trinkwasserleitungen und -netzen
- die Abwasserentsorgung mit ihren Kläranlagen, Pumpwerken, Regenbecken und der Kanalisation
- und sonstige wasserwirtschaftliche Einrichtungen, z. B. Talsperren, Stauanlagen, Hochwasserschutzanlagen
Warum erfolgen diese Cyberattacken und wer steckt dahinter?
Der Grund für Cyber-Attacken liegt bei Angriffen auf kritische Infrastrukturen meist darin, mit wenig Aufwand - und zumeist unerkannt – für ein Gemeinwesen lebenswichtige Einrichtungen, Anlagen und Systeme zu manipulieren, zu beschädigen oder zu blockieren. Im terroristischen Sinne ist es ein "Krieg mit anderen Mitteln", das heißt - ohne sich selbst zu gefährden - weitreichende Störungen mit z. T. dramatischen Folgen zu erzeugen. Aber hier sind nicht nur terroristische Angriffe im Fokus: Auch unzufriedene Mitarbeiter, Hackerinitiativen oder kriminelle System- und Anlagenanbieter (z. B. Einschleppung von Malware bei Wartungsarbeiten oder Neuinstallation) sind potentielle Akteure bei solchen Attacken.
Wie beurteilen sie das tatsächliche Gefährdungspotential?
Derzeit wird die Gefährdungslage für die Branche Wasser, Abwasser, Wasserwirtschaft von den Branchenexperten noch als niedrig eingeschätzt. Das liegt einerseits an der derzeitigen Struktur der Branche, die überwiegend dezentral und ortsnah organisiert ist. Zur Zeit gibt es in Deutschland etwa 6.200 Unternehmen der Wasserversorgung und ca. 6.900 Abwasserentsorgungsunternehmen. Der Grund für diese kleinräumige Struktur liegt darin, dass Wasserversorgung und Abwasserentsorgung kommunale und in Bezug auf Abwasser auch hoheitliche Aufgaben sind. Die Ressource Wasser wird in der Regel regional gewonnen und verteilt und die Abwasserreinigung aus wirtschaftlichen Gründen (Kosten für Kanal) ortsnah durchgeführt. Eine großräumige Vernetzung existiert in Deutschland nicht und macht unter diesen Voraussetzungen auch technisch und wirtschaftlich keinen Sinn. Abwasser aus Köln in München oder Berlin zu behandeln wäre extrem ineffizient. Und ein deutschlandweiter Betreiber, der solche Anlagen zentral von einem Standort aus steuert, ist derzeit nicht denkbar.
Außerdem sind die Anlagen der Wasserwirtschaft, der Wasserversorgung und Abwasserentsorgung auch ohne intakte IT-Systeme funktionsfähig und wesentliche technische Kernprozesse manuell steuerbar. Bei Ausfall automatischer Prozesssteuerungen durch technisches Versagen oder elektronischen Angriff kann innerhalb kurzer Zeit vor Ort auf Handsteuerung umgestellt werden.
Dipl.-Ing. Norbert Engelhardt, Ständiger Vertreter des Vorstandes des Erftverbands
Norbert Engelhardt
Welche Grundzüge der IT-Sicherheit bestehen heute bei den größeren Wasserwirtschaftsunternehmen?
Auch bei großen Wasserwirtschaftsunternehmen, z. B. den Nordrhein-westfälischen Wasserverbänden, die jeder für sich ein Vielzahl solcher Anlagen betreiben, wird auf lokale Steuerungssysteme Wert gelegt und die Verbindung zu externen Netzen weitgehend vermieden. Dadurch wird die Möglichkeit, auf den Anlagen vor Ort extern angegriffen zu werden, nahezu unmöglich. Allerdings bleibt auch dann noch die Gefahr der Einschleppung von Schadsoftware bei Wartungsarbeiten und Updates. Deshalb werden neben IT- technischen Vorsichtsmaßnahmen auch organisatorische Regelungen getroffen, die eine obligatorischen IT-Grundschutz vorsehen, unter anderem durch periodische Überprüfungen des Systems, eine regelmäßige Schulung der Mitarbeiter, durch Entkopplung von Anlagensteuerung und sonstigen IT-Systemen.
Wie gestaltet sich die aktuelle Gesetzeslage hinsichtlich von Hacker-Angriffen?
Derzeit bereitet das Bundesministerium des Inneren ein "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" vor. Der Referentenentwurf liegt den einschlägigen Interessenvertretungen der unterschiedlichen Branchen zur Stellungnahme vor. Damit möchte das Ministerium seinerseits Verbesserungen zur IT-Sicherheit kritischer Infrastrukturen einleiten. Inhaltlich sieht dieser Gesetzesentwurf einen Mindeststandard der IT-Sicherheit für kritische Infrastrukturen, eine Meldepflicht erheblicher IT-Sicherheitsvorfälle, eine regelmäßige Überprüfung (Sicherheitsaudit) und eine zweijährliche Berichtspflicht an das Bundesamt für die Sicherheit in der Informationstechnik vor.
Welche Ziele sind in der Wasserbranche vorgesehen?
Die Branche Wasser beabsichtigt, das Thema IT-Sicherheit in ihren Regelwerken zu verankern. Dies ist in einzelnen Arbeits- und Merkblättern schon geschehen. Allerdings bedarf es noch eines umfassenden Screenings der sonstigen betroffenen Regelwerke. Ziel dabei ist es, das Regelwerk zu aktualisieren, notfalls zu ergänzen und bei Bedarf einen branchenspezifischen, ggf. abgestuften IT-Sicherheitsstandard zu entwickeln, der sich an der tatsächlichen Gefährdungslage und dem aktuellen und zukünftigen Gefährdungspotential ausrichtet. Dabei sollte auch die jeweilige Größe des Unternehmens und dessen individuelles Risiko eine Rolle spielen. Handelnde Akteure sind neben den Interessenvertretungsverbänden im Wesentlichen die regelsetzenden Verbände: für den Trinkwasserbereich der Deutsche Verein des Gas- und Wasserfachs e.V. (DVGW) und für den Bereich Abwasser und Wasserwirtschaft die deutsche Vereinigung Wasserwirtschaft, Abwasser und Abfall e.V. (DWA). Geplant ist außerdem eine kooperative Zusammenarbeit mit dem Bundesamt (BSI) und die Mitarbeit in dem Umsetzungsplan KRITIS, einer Public Privat Partnership Kooperation zwischen Bund, Ländern, BSI, Unternehmen unterschiedlicher Branchen, Fach- und Interessenvertretungsverbänden, zum Vorantreiben der IT-Sicherheit in den kritischen Branchen.
Wie IT-sicher ist eigentlich der Erftverband und wer garantiert das?
Nach meiner Einschätzung und derzeitigen Erfahrung ist die IT des Erftverbandes sicher aufgestellt. Mir sind Ausfälle aufgrund von externen Angriffen weder aufgefallen noch bekannt. Das gilt sowohl für die IT des Verwaltungsbereiches als auch für die lokalen Steuerungssysteme unserer Anlagen, die üblicherweise von den Verwaltungs-IT entkoppelt sind. Dies stellen dankenswerterweise unsere IT-Fachkollegen und deren Mitarbeiter durch ihr fachkompetentes Handeln sicher, die sich ständig weiterbilden, auf neue Herausforderungen reagieren und unser IT-System auch in sicherheitsrelevanten Fragen auf dem neuesten Stand halten.