Schutz vor Cyberangriffen Nur wenige Wasserversorger aus Sachsen gehören zur Kritischen Infrastruktur
Hauptinhalt
23. März 2023, 19:02 Uhr
Die Zahl der Cyberangriffe besonders auf Kommunen und öffentliche Einrichtungen steigt. Doch laut BSI-Verordnung für Kritische Infrastruktur fallen strenge Sicherheitsregeln nur für die Wasserversorger an, die mindestens eine halbe Million Menschen versorgen.
- Sachsen hat 70 Wasserversorger, doch nur wenige davon müssen laut BSI-Gesetz Sicherheitsvorkehrungen für Kritische Infrastrukturen treffen.
- Das Ministerium hüllt sich in Schweigen, bestätigt aber die Gefahr von möglichen Cyberangriffen.
- Der Verfassungsschutz betrachtet Cyberangriffe als Sabotage.
Sachsen hat 70 Wasserversorger doch nur ein kleiner Teil davon gehört nach dem BSI-Gesetz zur Kritischen Infrastruktur (Kritis) und muss Auflagen erfüllen. Dem sogenannten IT-Sicherheitsgesetz zufolge sind die strengen Cyber-Sicherheitsbestimmungen nur für die Unternehmen, Eigenbetriebe und Zweckverbände gesetzlich bindend, die mindestens 500.000 Menschen mit Wasser versorgen. Das hat eine Recherche von MDR SACHSEN ergeben.
Bundesweit nur wenige Versorger Kritischer Infrastruktur zugehörig
"Bundesweit zählen laut BSI-Gesetz 47 von rund 5.500 Wasserversorgern zu den Kritischen Infrastrukturen", erklärt Manuel Atug von der unabhängigen AG Kritis. "Die meisten Wasserversorger sind also unreguliert und benötigen scheinbar keine Cybersicherheit." Und weiter: "Offenbar hat das Bundesinnenministerium die Sachlage so eingeschätzt, dass Städte wie Freiberg, Döbeln oder Torgau durch Cyberangriffe von der Trinkwasserversorgung abgeschnitten werden können."
Über die aktuelle Gesetzgebung schüttelt Atug den Kopf. "Wenn wir wirklich davon ausgehen, dass Cyberangriffe drohen, verstehe ich nicht, warum wir einen Großteil der Wasserversorger davon ausnehmen", erklärt der Experte im Gespräch mit MDR SACHSEN. "Wenn cyberphysische Auswirkungen drohen, bedeutet dies nichts anderes, als dass die Versorgung mit Trinkwasser durch genau diese Art von Angriffen gefährdet werden kann."
Die drei großen Player in Sachsen
In Sachsen gehören die drei großen Wasserversorger "Sachsenenergie" aus Dresden, die Leipziger Wasserwerke sowie der Zweckverband Fernwasser Südsachsen zur Kritischen Infrastruktur. Das bestätigten die Unternehmen MDR SACHSEN. Sie alle erfüllen den Schwellenwert nach der sogenannten BSI-Kritisverordnung. Die Wasserversorger in Leipzig und Dresden beliefern jeweils etwa 700.000 Menschen und der Zweckverband Fernwasser Südsachsen versorgt 1,2 Millionen Einwohner im südwestsächsischen Raum.
Zu den Kritische Infrastrukturen im Sektor Wasser gehören sowohl Brunnen, Stauanlagen, Wasserwerke, Wasserverteilsysteme als auch die Leitzentrale sowie Kanalisation und Kläranlagen. Die Auflagen erstrecken sich unter anderem von der Risikoanalyse der IT-Struktur und deren Aufrüstung nach Stand der Technik. Es gilt aber auch eine Meldepflicht von IT-Vorfällen und eine ständige Erreichbarkeit bis zur Kontrolle durch einen Gutachter alle zwei Jahre.
Ministerium hüllt sich in Schweigen
Doch viele Wasserversorger in Sachsen erfüllen diesen Schwellenwert einer Mindestversorgung von Menschen nicht und sind daher gesetzlich nicht verpflichtet, sich den strengen IT-Sicherheitsregeln zu unterwerfen. Wie viele das genau sind und ob sie sich freiwillig den Regularien unterwerfen, darüber hüllt sich das sächsische Innenministerium (SMI) in Schweigen. "Aus Sicherheitserwägungen werden Informationen über die als kritische Infrastruktur eingestuften Anlagen nicht veröffentlicht."
Bedrohungslage wird kontinuierlich beobachtet
Das Ministerium bestätigt aber die Gefahr von möglichen Cyberangriffen – auch vor dem Hintergrund der mutmaßlichen Sabotageakte an den Nord-Stream-Pipelines. "Die Einschätzung der Bundesregierung, die seit Monaten von einer abstrakten Gefährdung der besonders im öffentlichen Fokus stehenden Energieinfrastruktur ausgeht, teilen wir", erklärt das Ministerium auf Anfrage von MDR SACHSEN. Im Verfassungsschutzverbund werde "die Bedrohungslage durch Cyberangriffe auf die kritische Infrastruktur kontinuierlich beobachtet".
Verfassungsschutz betrachtet Cyberangriffe als Sabotage
Demnach betrachtet der Verfassungsschutz Sachsen "Cyberangriffe" - inklusive Cyberspionage, Cybersabotage sowie cybergestützte Einflussnahme-Aktionen als staatlich gelenkte Sabotage, die sich gegen den Geltungsbereich des Grundgesetzes wendet und im "Zusammenhang mit sicherheitsgefährdenden oder geheimdienstlichen Tätigkeiten für eine fremde Macht steht". Allerdings, erklärt das Ministerium, liegen dem Verfassungsschutz Sachsen bislang keine Erkenntnisse zu konkreten Angriffen auf die Cybersicherheit von Einrichtungen der kritischen Infrastruktur in Sachsen vor.
IT-Sicherheitsexperten bestätigen Cyber-Gefahr
Die zunehmende Gefahr von Cyberangriffen bestätigt auch der IT-Sicherheitsdienstleister "Myra Security". Der Experte für sogenannte DDoS-Angriffe schützt unter anderem die Bundesregierung, Ministerien, Banken und globale e-Commerce Anbieter. "Wir sehen in unseren Abwehrstatistiken, dass der öffentliche Sektor inzwischen das Hauptangriffsziel ist. Die Angreifer versuchen, Internet-Anwendungen, die für Bürger und Behörden-Mitarbeiter immer erreichbar sein müssen, gezielt zu blockieren (zum Beispiel Serviceportale, Schnittstellen oder Webseiten)", erklärt Tobias Lang. "Diese sogenannten DDoS-Angriffe auf die Anwendungsschicht haben sich im letzten Jahr beinahe verdreifacht. Die Auswertung unseres Pentesters zeigt dabei, dass 75 Prozent der getesteten Betriebe diese Angriffe nicht zuverlässig abwehren können."
Hohe Kosten und Personalaufwand
Doch können sich die kleineren Versorger die hohen IT-Standards überhaupt leisen? "Für die Erfüllung dieser Anforderungen sind sowohl personell als auch finanziell sehr hohe Ressourcen vorzuhalten und einzusetzen", sagt Ute Gernke, Geschäftsführerin der Südsachsen Wasser GmbH. "In Anbetracht der ständig steigenden Gefährdungslage ist die Umsetzung der Anforderungen jedoch notwendig und von hoher Bedeutung."
Vorwürfe des Lobbyismus
Sicherheitsberater Atug sieht den Fehler bereits im BSI-Gesetz. Das Bundesinnenministerium habe "offenbar wenig Interesse gehabt, viele Kritis-Betreiberinnen zu definieren". "Hier wurde von vielen Wirtschaftsverbänden stark lobbyiert", meint Atug. Rund 80 Prozent aller Kritischen Infrastrukturen liegen dabei in privatrechtlicher Hand.
Wenn die IT-Systeme in den Wasserwerken gestört werden, können sie die Wasserversorgung empfindlich treffen und von der Versorgung abkoppeln.
"Niemand möchte, dass die Auflagen so hoch sind, dass von den etwa 5.500 Wasserwerken sehr viele insolvent gehen würden. Doch viele kleine Versorger haben eine enorm schlechte IT-Sicherheitsstruktur. Wenn die IT-Systeme in den Wasserwerken gestört werden, können sie die Wasserversorgung empfindlich treffen und von der Versorgung abkoppeln", erklärt Atug. "Es ist doch sehr unentspannt, wennTausende Menschen aufgrund von schlechter – sprich unsicherer – Digitalisierung plötzlich kein Wasser mehr aus der Leitung bekommen können."
Neue EU-Richtlinie NIS will Kritis-Kriterien erweitern
Hoffnung auf mehr Sicherheit bietet die gerade von der EU verabschiede NIS-Richtlinie zur Cybersicherheit, welche eine Ausweitung der Kriterien auf weitere Einrichtungen und Unternehmen vorsieht. Internen Schätzungen zufolge könnte damit die Zahl der Kritis-Unternehmen von derzeit bundesweit 2.500 auf etwa 30.000 steigen. Das SMI begrüßt die Richtlinie, die jetzt noch in nationales Recht ausgestaltet werden muss. "Wir gehen jedoch grundsätzlich davon aus, dass es angesichts neuer potenzieller Bedrohungen richtig und wichtig ist, den Schutz von Einrichtungen und Infrastruktur grundsätzlich auszuweiten", kommentiert das Ministerium.
Wir gehen jedoch grundsätzlich davon aus, dass es angesichts neuer potenzieller Bedrohungen richtig und wichtig ist, den Schutz von Einrichtungen und Infrastruktur grundsätzlich auszuweiten.
"Wir begrüßen, dass mit der NIS2 Cybersicherheit-Standards für eine viel größere Gruppe von Betreibern kritischer Infrastrukturen gelten werden, als dies bisher der Fall war. Das stärkt unsere digitale Resilienz nachhaltig", erklärt auch Lang von "Myra-Security". "Unternehmen sollten jetzt zügig bewerten, ob sie unter die NIS2 fallen - denn der Aufwand an Zeit und Personal für die Umsetzung ist signifikant."
MDR (tomi)
Dieses Thema im Programm: MDR SACHSEN - Das Sachsenradio | Regionalnachrichten aus dem Studio Dresden | 21. März 2023 | 18:30 Uhr