Foto: Unsplash.com Fly:D
Um Lösungen gegen physische und Cyber-Bedrohungen kritischer Wasserinfrastrukturen zu finden, hat ein Forschungskonsortium ein Risikomanagement-Konzept für physische und Cyber-Bedrohungen entwickelt und bei Wasserversorgern getestet. Die Expertenteam aus Europa und Israel haben eng zusammengearbeitet. Die Mitglieder waren Wasserversorger, Technologie-Entwickler, kleine und mittelständische Unternehmen und europäische Forschungsinstitute.
Das Projekt „Stop-it“ (Strategic, tactical and operational protection of critical water infrastructure against physical and cyber threats) lief von Juni 2017 bis Oktober 2021. Ziel von Stop-it war es, aktuelle und zukünftige Risiken zu identifizieren und im Rahmen des Konsortiums ein umfassendes Risikomanagement-Konzept für kritische Wasserinfrastrukturen zu erarbeiten.
Es wurden die skalierbare und adaptierbare Software-Plattform “Stop-it” entwickelt. Die entwickelten Lösungen wurden zunächst in vier Wasserversorgungsunternehmen – Berliner Wasserbetriebe in Deutschland, Aigües de Barcelona in Spanien, Mekorot in Israel und Oslo VAV in Norwegen – getestet.
Alle Informationen über die Stop-it Plattform sind auf der Webseite des Projektes zu finden.
Foto: Unsplash.com Jefferson Santos
In Deutschland gibt es ca. 6000 Unternehmen der Öffentlichen Wasserversorgung und Abwasserbeseitigung. Neben Wetterextremen wie Hochwasser und Trockenzeiten, Umfeld bedingte Gefährdungen sowie dem Ausfall der Stromversorgung, müssen sich die Unternehmen auch vor neuen Gefahren, wie Hackerangriffen, schützen.
Mehreren Penetrationstests bei großen Wasserwerken nach zu urteilen, sind Wasserwerke Hackerangriffen häufig schutzlos ausgeliefert. Besonders die Bereiche Fernwartung und Pumpsysteme seien anfällig, denn die Industriesteuerungen stammen aus einer Zeit, in der niemand damit gerechnet hat, dass sie eines Tages vernetzt sein würden. Bei kleineren Unternehmen sind die eingesetzten Systeme häufig dieselben, was bedeutet, dass die Ergebnisse der Penetrationstests auf alle übertragbar wären.
Zahlen des Statistischen Bundesamtes ist zu entnehmen, dass weniger als ein Prozent (17 von 5.845) der öffentlichen Wasserversorgung und Abwasserbeseitigung in Deutschland, aus dieser Ableitung verpflichtend unter Auflagen der BSI-Kritisverordnung fallen, da der Regelschwellenwert von 500.000 angeschlossenen Einwohnern bzw. 22 Mio. m³ Wassermenge nicht erreicht wird.
Die Regelschwellenwerte wurden zuletzt Juni 2016 und Juni 2017 überprüft und angepasst. § 9 der BSI-Kritisverordnung sieht eine Anpassung der Regelschwellenwerte mindestens alle zwei Jahre vor. Damit wäre eine erneute Anpassung bereits überfällig.
Auf die Frage, welche Maßnahmen die Bundesregierung für Betreiber der Wasserversorgung vorsieht (Drucksache 19/20965), die aufgrund der Schwellenwerte nicht unter die BSI-KritisV fallen, lautet die Antwort dass dies im Zuständigkeitsbereich der Länder liegt und die Empfehlungen des BSI vollständig oder in Teilen freiwillig umgesetzt werden können.
Problematisch ist jedoch, dass um freiwillig ein Sicherheitskonzept zu etablieren, den meisten kleinen und mittleren Wasserversorgern der Kommunen die finanziellen und personellen Ressourcen fehlen.
