Schutz vor Cyberangriffen Nur wenige Wasserversorger aus Sachsen gehören zur Kritischen Infrastruktur

• Sachsen hat 70 Wasserversorger, doch nur wenige davon müssen laut BSI-Gesetz Sicherheitsvorkehrungen für Kritische Infrastrukturen treffen.
• Das Ministerium hüllt sich in Schweigen, bestätigt aber die Gefahr von möglichen Cyberangriffen.
• Der Verfassungsschutz betrachtet Cyberangriffe als Sabotage.

Sachsen hat 70 Wasserversorger doch nur ein kleiner Teil davon gehört nach dem BSI-Gesetz zur Kritischen Infrastruktur (Kritis) und muss Auflagen erfüllen. Dem sogenannten IT-Sicherheitsgesetz zufolge sind die strengen Cyber-Sicherheitsbestimmungen nur für die Unternehmen, Eigenbetriebe und Zweckverbände gesetzlich bindend, die mindestens 500.000 Menschen mit Wasser versorgen. Das hat eine Recherche von MDR SACHSEN ergeben.

"Bundesweit zählen laut BSI-Gesetz 47 von rund 5.500 Wasserversorgern zu den Kritischen Infrastrukturen", erklärt Manuel Atug von der unabhängigen AG Kritis. "Die meisten Wasserversorger sind also unreguliert und benötigen scheinbar keine Cybersicherheit." Und weiter: "Offenbar hat das Bundesinnenministerium die Sachlage so eingeschätzt, dass Städte wie Freiberg, Döbeln oder Torgau durch Cyberangriffe von der Trinkwasserversorgung abgeschnitten werden können."

Über die aktuelle Gesetzgebung schüttelt Atug den Kopf. "Wenn wir wirklich davon ausgehen, dass Cyberangriffe drohen, verstehe ich nicht, warum wir einen Großteil der Wasserversorger davon ausnehmen", erklärt der Experte im Gespräch mit MDR SACHSEN. "Wenn cyberphysische Auswirkungen drohen, bedeutet dies nichts anderes, als dass die Versorgung mit Trinkwasser durch genau diese Art von Angriffen gefährdet werden kann."

In Sachsen gehören die drei großen Wasserversorger "Sachsenenergie" aus Dresden, die Leipziger Wasserwerke sowie der Zweckverband Fernwasser Südsachsen zur Kritischen Infrastruktur. Das bestätigten die Unternehmen MDR SACHSEN. Sie alle erfüllen den Schwellenwert nach der sogenannten BSI-Kritisverordnung. Die Wasserversorger in Leipzig und Dresden beliefern jeweils etwa 700.000 Menschen und der Zweckverband Fernwasser Südsachsen versorgt 1,2 Millionen Einwohner im südwestsächsischen Raum.

Zu den Kritische Infrastrukturen im Sektor Wasser gehören sowohl Brunnen, Stauanlagen, Wasserwerke, Wasserverteilsysteme als auch die Leitzentrale sowie Kanalisation und Kläranlagen. Die Auflagen erstrecken sich unter anderem von der Risikoanalyse der IT-Struktur und deren Aufrüstung nach Stand der Technik. Es gilt aber auch eine Meldepflicht von IT-Vorfällen und eine ständige Erreichbarkeit bis zur Kontrolle durch einen Gutachter alle zwei Jahre.

Doch viele Wasserversorger in Sachsen erfüllen diesen Schwellenwert einer Mindestversorgung von Menschen nicht und sind daher gesetzlich nicht verpflichtet, sich den strengen IT-Sicherheitsregeln zu unterwerfen. Wie viele das genau sind und ob sie sich freiwillig den Regularien unterwerfen, darüber hüllt sich das sächsische Innenministerium (SMI) in Schweigen. "Aus Sicherheitserwägungen werden Informationen über die als kritische Infrastruktur eingestuften Anlagen nicht veröffentlicht."

Das Ministerium bestätigt aber die Gefahr von möglichen Cyberangriffen – auch vor dem Hintergrund der mutmaßlichen Sabotageakte an den Nord-Stream-Pipelines. "Die Einschätzung der Bundesregierung, die seit Monaten von einer abstrakten Gefährdung der besonders im öffentlichen Fokus stehenden Energieinfrastruktur ausgeht, teilen wir", erklärt das Ministerium auf Anfrage von MDR SACHSEN. Im Verfassungsschutzverbund werde "die Bedrohungslage durch Cyberangriffe auf die kritische Infrastruktur kontinuierlich beobachtet".

Demnach betrachtet der Verfassungsschutz Sachsen "Cyberangriffe" - inklusive Cyberspionage, Cybersabotage sowie cybergestützte Einflussnahme-Aktionen als staatlich gelenkte Sabotage, die sich gegen den Geltungsbereich des Grundgesetzes wendet und im "Zusammenhang mit sicherheitsgefährdenden oder geheimdienstlichen Tätigkeiten für eine fremde Macht steht". Allerdings, erklärt das Ministerium, liegen dem Verfassungsschutz Sachsen bislang keine Erkenntnisse zu konkreten Angriffen auf die Cybersicherheit von Einrichtungen der kritischen Infrastruktur in Sachsen vor.

Die zunehmende Gefahr von Cyberangriffen bestätigt auch der IT-Sicherheitsdienstleister "Myra Security". Der Experte für sogenannte DDoS-Angriffe schützt unter anderem die Bundesregierung, Ministerien, Banken und globale e-Commerce Anbieter. "Wir sehen in unseren Abwehrstatistiken, dass der öffentliche Sektor inzwischen das Hauptangriffsziel ist. Die Angreifer versuchen, Internet-Anwendungen, die für Bürger und Behörden-Mitarbeiter immer erreichbar sein müssen, gezielt zu blockieren (zum Beispiel Serviceportale, Schnittstellen oder Webseiten)", erklärt Tobias Lang. "Diese sogenannten DDoS-Angriffe auf die Anwendungsschicht haben sich im letzten Jahr beinahe verdreifacht. Die Auswertung unseres Pentesters zeigt dabei, dass 75 Prozent der getesteten Betriebe diese Angriffe nicht zuverlässig abwehren können."

Doch können sich die kleineren Versorger die hohen IT-Standards überhaupt leisen? "Für die Erfüllung dieser Anforderungen sind sowohl personell als auch finanziell sehr hohe Ressourcen vorzuhalten und einzusetzen", sagt Ute Gernke, Geschäftsführerin der Südsachsen Wasser GmbH. "In Anbetracht der ständig steigenden Gefährdungslage ist die Umsetzung der Anforderungen jedoch notwendig und von hoher Bedeutung."

Sicherheitsberater Atug sieht den Fehler bereits im BSI-Gesetz. Das Bundesinnenministerium habe "offenbar wenig Interesse gehabt, viele Kritis-Betreiberinnen zu definieren". "Hier wurde von vielen Wirtschaftsverbänden stark lobbyiert", meint Atug. Rund 80 Prozent aller Kritischen Infrastrukturen liegen dabei in privatrechtlicher Hand.

"Niemand möchte, dass die Auflagen so hoch sind, dass von den etwa 5.500 Wasserwerken sehr viele insolvent gehen würden. Doch viele kleine Versorger haben eine enorm schlechte IT-Sicherheitsstruktur. Wenn die IT-Systeme in den Wasserwerken gestört werden, können sie die Wasserversorgung empfindlich treffen und von der Versorgung abkoppeln", erklärt Atug. "Es ist doch sehr unentspannt, wennTausende Menschen aufgrund von schlechter – sprich unsicherer – Digitalisierung plötzlich kein Wasser mehr aus der Leitung bekommen können."

Hoffnung auf mehr Sicherheit bietet die gerade von der EU verabschiede NIS-Richtlinie zur Cybersicherheit, welche eine Ausweitung der Kriterien auf weitere Einrichtungen und Unternehmen vorsieht. Internen Schätzungen zufolge könnte damit die Zahl der Kritis-Unternehmen von derzeit bundesweit 2.500 auf etwa 30.000 steigen. Das SMI begrüßt die Richtlinie, die jetzt noch in nationales Recht ausgestaltet werden muss. "Wir gehen jedoch grundsätzlich davon aus, dass es angesichts neuer potenzieller Bedrohungen richtig und wichtig ist, den Schutz von Einrichtungen und Infrastruktur grundsätzlich auszuweiten", kommentiert das Ministerium.

"Wir begrüßen, dass mit der NIS2 Cybersicherheit-Standards für eine viel größere Gruppe von Betreibern kritischer Infrastrukturen gelten werden, als dies bisher der Fall war. Das stärkt unsere digitale Resilienz nachhaltig", erklärt auch Lang von "Myra-Security". "Unternehmen sollten jetzt zügig bewerten, ob sie unter die NIS2 fallen - denn der Aufwand an Zeit und Personal für die Umsetzung ist signifikant."