B_I umweltbau: Die Gefahr von Cyberattacken ist in dieser Zeit so hoch wie nie, auch was kritische Infrastrukturen anbelangt. Was macht die Angriffe so gefährlich und was kann in der (kommunalen) Wasserwirtschaft schlimmstenfalls passieren?

Dr. Wolf Merkel: Digitale Systeme werden vermehrt in allen Bereichen eingesetzt. Eine Reihe von Auswertungen zeigt, dass sich auch die Schwachstellen in diesen Systemen häufen. In dem Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland ist von einer „hohen Bedrohungslage“ die Rede. Der Punkt ist: Angriffe auf kritische Infrastrukturen sind besonders wirkungsvoll, weil man eine große Anzahl von Personen verunsichern und einschüchtern kann. Lösegeldeinnahmen und politische Destabilisierung sind Motivationen, die dahinterstecken.

Dr. Friedrich Hetzel: Für die Wasserwirtschaft ist die Stromversorgung natürlich essentiell. Ein Blackout wäre sicher das Worst-Case-Szenario; dann wäre das zivile Miteinander nicht mehr möglich. Das ist aber äußerst unwahrscheinlich. Wenn überhaupt erwarten Fachleute einen Brownout, also kurzzeitige kontrollierte Lastabschaltungen.

Aufgrund der dezentralen Strukturen hätte ein Cyberangriff in der Wasserwirtschaft nur lokale Auswirkungen, wäre also keine Katastrophe für das ganze Land. Aber natürlich wären die Bevölkerung in der Region, die industrielle Wasserversorgung und auch der Umweltschutz im angegriffenen Gebiet betroffen.

B_I umweltbau: Wie groß sind Ihrer Einschätzung nach die IT-Sicherheitslücken bei Betreibern kritischer Infrastrukturen?

Dr. Merkel: Das lässt sich nicht genau sagen. Fakt ist: Einen hundertprozentigen Schutz gibt es nicht. Angriffe werden zunehmen und manche werden auch erfolgreich sein. Die Verantwortung für die Sicherheit liegt in erster Linie bei den Herstellern der eingesetzten Software-Programme, sichere Produkte zu entwickeln und möglichst sichere Updates bereitzustellen. Für Unternehmen ist das Schließen etwaiger IT-Sicherheitslücken eine Daueraufgabe. Nichts ist so empfindlich wie die Nachlässigkeit in der täglichen Routine. Was die Unternehmen zur Bewältigung dieser Daueraufgabe benötigen, sind Know-how, Aufmerksamkeit, Budget und Kompetenz.

Dr. Hetzel: Digitalisierung darf indes kein Selbstzweck sein. Es müssen immer Kosten und Nutzen abgewogen werden. Mit zunehmender Digitalisierung steigt die Angriffsgefahr. Die Frage ist daher: Muss ich alles durchdigitalisieren? Möglicherweise macht es nicht bei allen Anlagen Sinn und man kann die eine oder andere Anlage von Hand fahren. Dabei ist auch der Fachkräftemangel zu berücksichtigen, wonach es sich wiederum lohnen könnte, eine Anlage über eine Leitzentrale fernzusteuern und gegen Cyberangriffe zu schützen.

B_I umweltbau: Was raten Sie Unternehmen konkret, wenn es zu einem Cyberangriff kommt, der Auswirkungen auf die Sicherheitslage hat?

Dr. Hetzel: Wir empfehlen, sich bei einem solchen Vorfall schnellstmöglich an das BSI zu wenden. Das Amt hat eine entsprechende Checkliste, die beschreibt, was man tun sollte. Die ausgemachte Schwachstelle sollte dem BSI gemeldet werden. Denn jeder, der sich offenbart, hilft auch anderen sich zu schützen.

B_I umweltbau: In §§ 8a bis e des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik, kurz BSIG, sind die Kommunikation zwischen BSI und Betreibern kritischer Infrastrukturen konkretisiert sowie Nachweis- und Meldepflichten festgelegt. Das Gesetz verpflichtet KRITIS-Betreiber zudem, spätestens ab dem 1. Mai 2023 Systeme zur Angriffserkennung (§ 2 Abs. 9b BSIG) einzusetzen. Für welche Betreiber gilt das? Und welche Schutzmöglichkeiten haben sie?

Dr. Hetzel: Für kritische Infrastrukturen gibt die BSI-KritisV Schwellenwerte vor. Im Bereich Abwasserentsorgung liegt der Mindestwert bei 500.000 – angeschlossene Einwohner (Kanalisation) oder Ausbaugröße in Einwohnerwerten (Kläranlage). Bei großen Betreibern, die für mehrere kleine Anlagen verantwortlich sind und diese gemeinsam über eine Leitzentrale steuern, muss man die einzelnen Anlagen zusammenzählen, und wenn man dann auf einen Wert von mindestens 500.000 kommt, ist die Leitzentrale als kritische Infrastruktur anzusehen. Wir empfehlen aber, dass nicht nur Unternehmen oberhalb dieser Schwellenwerte, sondern auch kleinere Unternehmen sich mit Cybersicherheit auseinandersetzen.

Dr. Merkel: Im Bereich Trinkwasserversorgung liegt der Schwellenwert bei 22 Millionen m³ gewonnene, verteilte oder aufbereitete Wassermenge pro Jahr. Ich stimme Friedrich Hetzel zu, dass Schutzkonzepte auch für die meisten kleineren Unternehmen, an die Unternehmensgröße entsprechend angepasst, sinnvoll sind. Man muss sich aber immer vor Augen führen, dass die Einführung und der Betrieb von Schutzsystemen mit Personalaufwand verbunden sind sowie Know-how und Kompetenz erfordern.

Es gibt eine ganze Reihe von Schutzmöglichkeiten. Neben den von Ihnen angesprochenen Systemen zur Angriffserkennung sollte man die Gefährdungslage analysieren und die Systeme, insbesondere die IT-Systeme, auf dem aktuellen technischen Stand halten. Ganz wichtig ist auch die Ausarbeitung eines Notfallkonzeptes mit der Festlegung diverser Maßnahmen, zum Beispiel Abschottung der IT-Systeme von der Außenwelt, gezieltes Herunterfahren von Servern, um weitere interne Kontamination zu verhindern, sowie Vorbereitung der Kommunikation mit der Kommune und der Bevölkerung, die im Ernstfall unter dem bestehenden Druck weitaus schwerer wäre. Ferner sollte man Bauwerke und Anlagenteile sowie Reservekapazitäten vorhalten und den Notbetrieb konzipieren.

B_I umweltbau: Die DWA und der DVGW haben gemeinsam für den Sektor Wasser den Leitfaden „IT-Sicherheit – Branchenstandard Wasser/Abwasser (B3S)“ erarbeitet. Was ist Inhalt dieses Leitfadens und wie können Betreiber/Unternehmen davon profitieren?

Dr. Merkel: Unser Branchenstandard dient zur branchenspezifischen Identifikation notwendiger Schutzmaßnahmen gegen Bedrohungen der informationstechnischen Systeme, Komponenten oder Prozesse der Anlagen. Er beinhaltet Anwendungsfälle, Gefährdungen und Maßnahmen. Mit seiner Anwendung, also der Zuordnung der Anwendungsfälle, der Vornahme einer Analyse, der Klassifizierung der Anlagenteile und Prozesse sowie der Formulierung entsprechender Maßnahmen, erfüllen die Betreiber die Anforderungen des IT-Sicherheitsgesetzes, das heißt die Anlage ist ordnungsgemäß geschützt.

Dr. Hetzel: Der Branchenstandard „IT-Sicherheit Wasser/Abwasser“ (B3S WA) kann von allen Unternehmen angewendet werden. Er besteht aus dem DVGW-Merkblatt W 1060 bzw. dem DWA-M 1060 und der Web-Applikation „IT-Sicherheitsleitfaden“. Daneben haben wir eine Broschüre mit Hinweisen zum Nachweisverfahren gemäß § 8a Abs. 3 BSIG. Der Vorteil, Schutzmaßnahmen nach B3S nachzuweisen, ist, dass das BSI für das Merkblatt und den Sicherheitsleitfaden regelmäßig die Eignung prüft und feststellt. Auf der Grundlage des B3S kann somit der vom IT-Sicherheitsgesetz geforderte „Stand der Technik“ nachgewiesen werden. Das ist vollkommen ausreichend für die Auditierung und das Zertifikat am Ende.

B_I umweltbau: Was gibt es sonst für Angebote seitens der DWA und des DVGW für Unternehmen, die sich vor Cyberangriffen schützen möchten?

Dr. Hetzel: Die DWA und der DVGW bieten Fort- und Weiterbildungen an, in denen wir insbesondere Führungskräfte und Leiter von Betreibern auch davon überzeugen möchten, wie wichtig Budget, Ausbildung und Personal sind, um sich vor Cyberattacken zu schützen. Darüber hinaus haben Betreiber die Möglichkeit, sich konkret im Hinblick auf die Umsetzung des IT-Sicherheitsstandards schulen zu lassen.

B_I umweltbau: Bei Bauprojekten spielen digitalisierte Abläufe und insbesondere BIM (Building Information Modeling) eine immer größere Rolle. Inwieweit sehen Sie auch hier eine ernsthafte Bedrohung durch Cyberattacken?

Dr. Hetzel: Die Bedrohung ist auch hier real, keine Frage. Der ganze Planungsprozess bei BIM ist so angelegt, dass man in virtuellen Systemen anschauen kann, wie die Anlage funktioniert. In diesem Planungsprozess braucht man unbedingt eine Cybersicherheit, denn wenn Cyberattacken die Planung fehlerhaft machen, wird auch das Produkt fehlerhaft.

Dr. Merkel: Beim Building Information Modeling sind ja verschiedene Schritte in der Planung und im Betriebszyklus einer Anlage abzudecken. Die Schutzbedürftigkeit erhöht sich, wenn Bauteile mit Betriebsinformationen versehen werden, wenn also der digitale Zwilling auch für den späteren Betrieb und die Instandhaltung genutzt wird. Je mehr das BIM-Modell als Grundlage für den digitalisierten Betrieb der Anlagen dient, desto höher sind die Schutzanforderungen für das Bauwerk.

B_I umweltbau: Meine Herren, herzlichen Dank für das Gespräch und bleiben Sie sicher!

Lesen Sie auch: So können sich Bauunternehmen vor Cyberkriminalität schützen