Archiv

Cyberattacken
Hackerangriffe gefährden Wasserversorgung

Mehreren Tests zufolge sind Wasserwerke Hackerangriffen bislang geradezu schutzlos ausgeliefert. Besonders anfällig seien die Bereiche Fernwartung und Pumpsysteme, erklärte Dlf-IT-Experte Peter Welchering. Kritiker mahnen zum schnellen Handeln. Doch es gibt ein Problem: den Föderalismus.

Peter Welchering im Gespräch mit Manfred Kloiber |
Eine Frau in Sicherheitsweste entfernt Schmutz aus einem Wasserbecken in einem Pumpwerk in Nyeri in Kenia, aufgenommen 2012
Wasserwerke hätten oft keine eigene Sicherheitsabteilung bzw. zu wenig Fachpersonal, sagte Dlf-IT-Experte Peter Welchering (imago/photothek)
"Die kommunalen kleinen Wasser-Betreiber sind in der Regel nicht kritische Infrastruktur, Betreiber also im Sinne des BSI-Gesetzes. Insgesamt fallen da knapp unter 30 Wasserwerke darunter und müssen eben diese erweiterten Maßnahmen umsetzen. Und die restlichen - mehrere tausend kommunalen Wasserwerke - fallen da gar nicht runter."
Manfred Kloiber: Auf diesen Missstand weist Manuel Atug, Gründer und Sprecher der AG Kritis hin. Die AG Kritis ist eine Arbeitsgemeinschaft, die sich mit kritischen Infrastrukturen beschäftigt. Und den Mangel, den haben sie im Referentenentwurf für die Kritischen Infrastrukturen im neuen IT-Sicherheitsgesetz ausgemacht. Wie sieht es denn aus in Sachen IT-Sicherheit von Wasserwerken, Peter Welchering?
Peter Welchering: Insbesondere die kleinen kommunalen Unternehmen der Wasserwirtschaft digitalisieren mit einem enormen Tempo. Das liegt auch daran, dass die meist unter finanziellem Druck stehen und deshalb Personal sparen müssen. Wer Personal sparen muss, vernetzt, setzt auf Fernwartung, investiert in digitale Pumpensysteme. Und genau da bieten sich viele Angriffsmöglichkeiten. Die größeren Unternehmen der Wasserversorgung haben Penetrationstests durchführen lassen. Mit teilweise verheerenden Ergebnisse, wie bei den Berliner Wasserbetrieben. Nicht gar so verheerend war das bei den Stadtwerken Ettlingen. Und auch die Emschergenossenschaft im Ruhrgebiet hat ein Sicherheitsszenario durchführen lassen, bei dem die Abwasserentsorgung als regelrechtes Sorgenkind sich entpuppte.
Bei den größeren Wasserwerken widmet man sich da jetzt Sicherheitsfragen intensiver. Aber diese Ergebnisse sind auf kleine Wasserwerke übertragbar, denn die setzen dieselben Industriesteuerungen für ihre Pumpsysteme, dieselbe Software für die Fernwartung ein. Und bei diesen Penetrationstests haben sich zahlreiche Angriffspunkte für digitale Attacken auf Wasserwerke ergeben, wurden sehr viele Sicherheitslücken gefunden.
An diesen Angriffspunkten, an diesen Sicherheitslücken muss ein Sicherheitsmanagement ansetzen. Das tut es aber zum großen Teil nicht, weil die gesetzlichen Grundlagen fehlen. Viele Wasserwerke gelten nämlich einfach nicht als kritische Infrastruktur. Und das hat für die Sicherheitslage verheerende Konsequenzen. Das sollte sich mit dem IT-Sicherheitsgesetz 2.0 ändern. Bei den bisherigen Referentenentwürfen sieht man aber noch nichts von diesen Änderungen.
Kloiber: Deshalb wurde und wird das Thema auch im Deutschen Bundestag diskutiert. Unter anderem gab es eine kleine Anfrage von Lukas Köhler und Kollegen von der FDP-Bundestagfraktion, die die Regierung jetzt beantwortet hat. Und diese Antwort hat für erhebliche Irritationen gesorgt.
Hacker könnten den Druck im Pumpwerk so manipulieren, dass es zu übersprudelnden GUllys kommen könnte
Ein Kanalarbeiter steht während einer öffentlichen Führung durch die Kanalisation an einem Abwasserkanal (picture alliance / dpa / Uwe Anspach)
Föderalismus gefährdet IT-Sicherheit von Wasserwerken
Die Bundestagsdrucksache 19/20965 umfasst neun Seiten. Und diese neun Seiten haben es in sich. Es geht um die "Sicherheit der Wasserversorgung in Deutschland" und deshalb natürlich auch um digitale Angriffe auf Wasserwerke. Dazu haben Lukas Köhler und seine Kollegen von der FDP-Bundestagsfraktion 23 Fragen vorgelegt, zum Beispiel inwieweit die Wasserversorger eigentlich vor Cyberangriffen geschützt sind oder vor welchen Herausforderungen insbesondere die mittleren und kleinen kommunalen Unternehmen stehen. Mit den Antworten der Bundesregierung sind IT-Spezialisten nicht sonderlich zufrieden. Sicherheitsexperte Manuel Atug fasst seinen Eindruck so zusammen.
"Uns als AG Kritis hat die Antwort oder die Antworten nicht zufrieden gestellt. Es wird an vielen Stellen eigentlich transparent, dass die Bundesregierung keinen geordneten und strukturierten Überblick hat und Maßnahmen oder Ansätze irgendwie sehr diffus darstellt."
Zahlenkolonnen laufen auf einem Computerbildschirm.
IT-Experte Killer: - Nicht immer steckt ein Hacker hinter einem Störfall
Laut Bundesamt für Sicherheit in der Informationstechnik haben die Störfälle in sogenannten kritischen Infrastrukturen zugenommen.
Die Bundesregierung verweist darauf, dass die kommunalen Wasserwerke eigentlich gar nicht in ihrer Zuständigkeit liegen. Der Föderalismus ist also mal wieder Schuld. In diesem Fall daran, dass die Versorgung der Bevölkerung mit Wasser durch zahlreiche IT-Sicherheitslücken ziemlich gefährdet ist. Für den Bundestagsabgeordneten Lukas Köhler von der FDP-Fraktion ein Unding:
"Ich denke, ein IT-Sicherheitsgesetz muss auch dafür darauf Rücksicht nehmen, dass die Subsidiarität gewahrt bleibt, aber auf der einen Seite aber auf der anderen Seite dafür gesorgt wird, dass es ein möglichst hoher Standard an der Sicherheit in Deutschland gewährleistet ist. Die Bundesregierung hat aber noch keine wirkliche Vorstellung, in welche Richtung sie im IT-Sicherheitsgesetz in Richtung Wasser und Wasserversorgung gehen möchte."
Ein unterschätztes Problem
Dass Wasserwerke in großer Zahl digitalen Angriffen bisher weitgehend schutzlos ausgeliefert sind, hat strukturelle Gründe. Doch mit denen setzt sich der Neuentwurf des IT-Sicherheitsgesetzes noch nicht einmal auseinander. Manuel Atug:
"Kleine Unternehmen haben natürlich eher tendenziell kein CERT, also Cyber Emergency Response Team oder Computer Emergency Response Team oder auch kein SOC, kein Security Operations Center. Die haben eher ein, wenn es, wenn es hoch kommt, einen Leiter und vielleicht den einen oder anderen Mitarbeiter. Insofern sind die natürlich aus diesem Fachkräftemangel heraus betroffen und können ihre Maßnahmen natürlich nicht so geeignet und vollständig umsetzen, wie es eben große Unternehmen vornehmen können."
Dringender Handlungsbedarf
Die Gefahr ist so groß, dass schnell gehandelt werden muss. Denn die bisherigen Bestimmungen in der sogenannten Kritis-Verordnung könnten auch schon geändert werden, ohne dass auf die Verabschiedung des IT-Sicherheitsgesetzes 2.0 durch den Deutschen Bundestag gewartet werden muss. Manuel Atug.

"Im IT-Sicherheitsgesetz sollte auf jeden Fall nachgerüstet werden. Allerdings können die Schwellenwerte für die Kritis-Verordnung auch unabhängig vom IT-Sicherheitsgesetz angepasst werden. Eine Verordnung kann ja unabhängig einer Gesetzeslage angepasst werden. Hier sollte man tatsächlich mal eine Risikoanalyse machen, den Bedarf feststellen und auch einen Regel-Schwellenwert ansetzen, der dem Bedrohungsszenario angemessen ist. Woher die 500.000-Personen-Grenze kommt und wie sie sich berechnet oder herleitet, ist bis heute, ich würde sagen, eine ungeklärte Tatsache."
Dass es bisher zu keinen größeren Ausfällen in der Wasserversorgung aufgrund digitaler Attacken gekommen ist, bezeichnen viele Sicherheitsexperten als reines Glück. Dass die Bundesregierung das Problem noch immer sträflich unterschätzt, ist für diese Sachverständigen nicht nachvollziehbar. Zwar wird das Problem im deutschen Bundestag jetzt intensiver diskutiert. Doch die Bundesregierung scheint darauf nicht reagieren zu wollen – noch nicht.
Zwei Bereiche sind besonders angriffsgefährdet
Kloiber: Immerhin können die Abgeordneten des Deutschen Bundestages durch die Beteiligung von Sachverständigen und auch von zivilgesellschaftlichen Gruppen in den Ausschüssen und durch Anträge zum IT-Sicherheitsgesetz 2.0 noch einiges erreichen. Dafür ist allerdings eine klare Bestandsaufnehme der Sicherheitslücken und Angriffspunkte nötig. Wo liegen die denn in den Wasserwerken, Peter Welchering?
Welchering: Da gibt es zwei Bereiche: Die Rohwassergewinnung aus Grundwasser, Seen und Talsperren und digitale Angriffe auf die Wasseraufbereitungssysteme und die Abwasserentsorgungssysteme im Wasserwerk selber. Hier sind unterschiedliche Schutzkonzepte erforderlich. Und das macht die Sache ein bisschen schwierig. Denn damit sind die IT-Leiter von Wasserwerken überfordert, da müssen entsprechende Sicherheitsteams aufgebaut werden.
Kloiber: Worum müssen sich denn diese Sicherheitsteams in erster Linie kümmern?
Welchering: Um eine bessere Absicherung der Industriesteuerungen. Denn die inzwischen digital gesteuerten Pumpen bei der Rohwasseraufbereitung auszuschalten, braucht es dummerweise nicht so viel. Die dafür zuständigen Industriesteuerungen stammen noch aus einer Zeit, zu der niemand gedacht hat, dass sie vernetzt werden. Das sind aber jetzt auch eben die Steuerungen für die Pumpen in der Rohwassergewinnung. Die könne über unternehmenseigene Netze, inzwischen zu großen Teilen übers Internet angegriffen werden. Und hier sind erst zu einem kleineren Teil Firewalls und andere Schutzprogramme installiert und so gut wie gar nicht automatisiert Abwehrsysteme. Und auch die installierten Firewalls weisen hier in vielen Fällen Konfigurationsfehler auf und sind leicht angreifbar. Die Sicherheitsberatung Alpha Strike Labs hat das ja für die Berliner Wasserwerke genau nachgewiesen.
Angriffspunkt Fernwartung
Kloiber: Wie sieht es bei den Wasseraufbereitungssystemen im Wasserwerk selber aus?
Welchering: Da gibt es den Angriffspunkt Fernwartung. Die Fernwartungssysteme weisen von allgemein bekannten Passwörtern bis hin zu unabgesicherten Schnittstellen zahlreiche Angriffspunkte auf. Auch im Wasserwerk sind die Industriesteuerungen ein Schwachpunkt, weil weitgehend ungesichert. Und als weiteren Angriffspunkt gibt es hier den Übergang von den Verwaltungsnetzen in den Wasserwerken zu den Produktivnetzen. Phishing-Attacken laufen meistens über die Verwaltungsnetze. Die weisen Schnittstellen zu den Produktivnetzen auf, und Angreifer kommen dann über diese Schnittstellen in die Produktivnetze, können Parameter der Wasseraufbereitung, vom Chlorzusatz bis hin zu anderen Additiven oder den Druck im Rohrsystem ändern und so für Störungen oder Teilausfälle bis hin zu Totalausfällen sorgen.
Kloiber: In der Abwasserentsorgung sollen die Pumpwerke ja große Probleme machen. Warum?
Welchering: Weil die oft unabgesichert sind. Pumpwerke in der Abwasserentsorgung, das sind häufig so kleine graue Kästen am Straßenrand. Um die aufzubrechen, reicht ein Schraubenzieher. Und über die digitale Pumpwerksteuerung in dem grauen Kasten am Straßenrand, kann der Angreifer dann in größere Schaltsysteme eindringen und die manipulieren.
Kloiber: Was kann dann passieren?
Welchering: Abwässer kommen dann ungeklärt in Flüsse. Abwasserkanäle laufen voll, die Brühe kommt dann an den Gullys hoch. Das sind die direkten Folgen. Es gibt weitere Folgen, wenn die Angreifer über die Pumpwerkschaltung in andere Schaltsysteme der Wasserwerke gelangen und dort Pumpen abstellen, Parameter wie Druck verändern und Ähnliches. Die ungesicherten Pumpwerke sind für die Sicherheitsteams jedenfalls ein Albtraum.
Wasserwerke haben ein Fachkräfte- und Sicherheitsproblem
Kloiber: Die Sicherheitsteams, die hier erforderlich sind, die gibt es ja in vielen Wasserwerken noch gar nicht. Haben wir hier ein Fachkräfteproblem?
Welchering: Ein Fachkräfteproblem und ein Budgetproblem. Um ein Sicherheitsoperationszentrum aufzubauen oder ein CERT, da fehlt den kleinen und mittleren Wasserwerken in den Kommunen schlicht das Geld. Von den kommunalen oder regionalen Rechenzentren, an denen ihre Verwaltungsnetze hängen, wird dieser Bereich in der Regel nicht mitbetreut. Da fehlt den Rechenzentren die Kompetenz. Entweder bauen die Rechenzentren solche Teams einzeln auf, oder es wird über eine Verbandslösung das entsprechende Sicherheitspersonal aufgestellt. Auf jeden Fall brauchen wir eine gesetzliche Regelung, mit denen auch kleinere Wasserwerke als kritische Infrastrukturen eingestuft werden.