Neue Gefahren für den KRITIS-Sektor „Wasser“ durch Hackerangriffe

Foto: Unsplash.com Jefferson Santos

In Deutschland gibt es ca. 6000 Unternehmen der Öffentlichen Wasserversorgung und Abwasserbeseitigung. Neben Wetterextremen wie Hochwasser und Trockenzeiten, Umfeld bedingte Gefährdungen sowie dem Ausfall der Stromversorgung, müssen sich die Unternehmen auch vor neuen Gefahren, wie Hackerangriffen, schützen. 

Mehreren Penetrationstests bei großen Wasserwerken nach zu urteilen, sind Wasserwerke Hackerangriffen häufig schutzlos ausgeliefert. Besonders die Bereiche Fernwartung und Pumpsysteme seien anfällig, denn die Industriesteuerungen stammen aus einer Zeit, in der niemand damit gerechnet hat, dass sie eines Tages vernetzt sein würden. Bei kleineren Unternehmen sind die eingesetzten Systeme häufig dieselben, was bedeutet, dass die Ergebnisse der Penetrationstests auf alle übertragbar wären.

Zahlen des Statistischen Bundesamtes ist zu entnehmen, dass weniger als ein Prozent (17 von 5.845) der öffentlichen Wasserversorgung und Abwasserbeseitigung in Deutschland, aus dieser Ableitung verpflichtend unter Auflagen der BSI-Kritisverordnung fallen, da der Regelschwellenwert von 500.000 angeschlossenen Einwohnern bzw. 22 Mio. m³ Wassermenge nicht erreicht wird.

Die Regelschwellenwerte wurden zuletzt Juni 2016 und Juni 2017 überprüft und angepasst. § 9 der BSI-Kritisverordnung sieht eine Anpassung der Regelschwellenwerte mindestens alle zwei Jahre vor. Damit wäre eine erneute Anpassung bereits überfällig.

Auf die Frage, welche Maßnahmen die Bundesregierung für Betreiber der Wasserversorgung vorsieht (Drucksache 19/20965), die aufgrund der Schwellenwerte nicht unter die BSI-KritisV fallen, lautet die Antwort dass dies im Zuständigkeitsbereich der Länder liegt und die Empfehlungen des BSI vollständig oder in Teilen freiwillig umgesetzt werden können.

Problematisch ist jedoch, dass um freiwillig ein Sicherheitskonzept zu etablieren, den meisten kleinen und mittleren Wasserversorgern der Kommunen die finanziellen und personellen Ressourcen fehlen.

Cyberangriffe! Auch eine Gefahr für die Trinkwasserhygiene im Gesundheitsbereich?

Cyberangriffe bestimmen immer häufiger die Schlagzeilen. Auch Krankenhäuser, Pflegeheime und Arztpraxen sind im Visier der Täter. Der Verband der Krankenhausdirektoren für Rheinland-Pfalz und das Saarland sagt beispielsweise: Cyberangriffe auf Kliniken seien eine reale Bedrohung. Die Angriffe reichen von fingierten (Phishing-)Mails bis hin zu Einbruchsversuchen in die Krankenhausnetze.

Unser Partner für Wasser-Experte Mark Peters berichtet von einem aktuellen Fall, in dem ein Pflegeheim betroffen war. Die Angreifer hatten eine Ransomware im System platziert. Das ist ein Verschlüsselungstrojaner, mit dem Lösegeld erpresst wird. Hinzu kam: Der EDV-Fachmann, der eigentlich für IT-Sicherheit zuständig ist, konnte nicht helfen. Die internen Entscheider waren im Urlaub und es war Ostern. Die Katastrophe kam von einer Sekunde auf die andere. Hochsensible Patientendaten waren plötzlich in Gefahr.

Die Frage ist: Was passiert, wenn Angreifer noch weiter ins System eindringen? Die Strom- und Trinkwasserversorgung einschließlich der Systeme zur Wasseraufbereitung werden in diesen Einrichtungen zunehmend elektronisch und digital gesteuert. Die Folgen sind kaum auszumalen.

„Etwa 80 Prozent aller Cybersicherheitsvorfälle im Gesundheitswesen entstehen durch menschliches Fehlverhalten“, sagt Mark Peters von Praxismanagement Bublitz-Peters, der seit 15 Jahren über 3.000 Leistungserbringer im Gesundheitswesen betreut.

 

Er bietet deshalb Datenschutz- und Cyber-Sensibilisierungsschulungen online und vor Ort unter anderem mit dem Bundes- und Landeskriminalamt an. In Planspielen werden mit den verantwortlichen Mitarbeitern mögliche Angriffsszenarien durchgespielt. Häufig erkennen sie dann mittendrin, dass sie in Schwierigkeiten sind, entweder weil es keine richtigen Abläufe, zu wenig geschulte Mitarbeiter oder keine professionelle externe Unterstützung gibt.

Der Gesetzgeber macht nun Druck. Mit dem neuen IT-Sicherheitsgesetz 2.0, das noch bis zum Jahresende beschlossen werden soll, drohen künftig Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, wenn Betreiber einer kritischen Infrastruktur, wozu Krankenhäuser und andere Gesundheitseinrichtungen gehören, ihren Pflichten zum Schutz ihrer IT-Systeme nicht nachkommen.

WebTalk Cyberkriminelle und Investitionsstau: Wie sicher ist die Trinkwasserversorgung in unseren Krankenhäusern?

 

Am 15. Juli von 11:00 bis 12:00 Uhr diskutieren dazu in unserem WebTalk Mark Peters (Datenschutz- und Hygiene-Auditor) und Christian Zehetgruber (Stellv. Vorsitzender der Partner für Wasser und Abteilungsleiter Seminare und Fortbildungen der Grünbeck Wasseraufbereitung GmbH) und beantworten Ihre Fragen! Merken Sie sich den Termin bereits vor. Die kostenfreie Anmeldung startet in Kürze.

Sicherheit in sensiblen Bereichen

Wasseraufbereitung in Pflegeeinrichtungen

Wasserqualität in Bildungs- und Betreuungseinrichtungen

Hygiene und Zuverlässigkeit

Kontakt

Partner für Wasser e.V.
Albrechtstraße 13, Aufgang A
10117 Berlin
030 / 84712268-43
kontakt@partnerfuerwasser.de