Wasser und Abwasser immer häufiger Ziel von Angriffen

Mehrere Tests haben ergeben, dass Wasserwerke den Angriffen von Hackern bislang geradezu schutzlos ausgeliefert sind. Besonders anfällig seien die Bereiche Fernwartung und Pumpsysteme, hieß es dazu schon vor geraumer Zeit in einem Rundfunkinterview.

Um den Schutz dieser Grundversorgung besser zu gewährleisten, werden die Unternehmen der Abwasserentsorgung künftig unter die Regularien des Dachgesetzes für Kritische Infrastrukturen fallen. Das teilte der Parlamentarische Staatssekretär im Bundesinnenministerium, Johann Saathoff, im Mai auf der Jahresmitgliederversammlung des Bundesverbandes der Sicherheitswirtschaft (BDSW) mit. Bislang fällt weniger als ein Prozent der nahezu 6000 Unternehmen der Öffentlichen Wasserversorgung und Abwasserbeseitigung verpflichtend unter Auflagen der KRITIS-Verordnung des Bonner Bundesamtes für Sicherheit in der Informationstechnik.

Wie den Angaben des Statistischen Bundesamtes zu entnehmen ist, erreichen – wie der Bundestagsdrucksache 19/20965 vom Juli 2020 zu entnehmen ist –bislang nur 17 von 5.845 Unternehmen den Regelschwellenwert von 500.000 angeschlossenen Einwohnern bzw. 22 Millionen Kubikmeter Wassermenge. Das sind weniger als 0,3 Prozent.

In der Bundestagsdrucksache, welche die Beantwortung einer Kleinen Anfrage der FDP-Fraktion wiedergibt, wird auf die Frage nach den Risiken, die durch „mögliche Cyberangriffe auf die Wasserversorgung in Deutschland“ entstehen würden, von der damaligen Regierung eingeräumt, dass hierdurch „prinzipiell auch Auswirkungen auf die Versorgungssicherheit möglich“ seien.

Ebenfalls im Juli 2020 berichtete der Berliner „Tagesspiegel“, dass sich bei den Berliner Wasserbetrieben „in den vergangenen Jahren gravierende Sicherheitsmängel angehäuft“ hätten. Das Sicherheitsberatungsunternehmen Alpha Strike Labs habe nach Informationen des Tagesspiegels im April [2020] bei einer „Security Analyse“ im „Bereich Abwasser und bei der Informationstechnik der BWB mehr als 30 Schwachstellen“ festgestellt.

„Eine Störung bei der Wasserversorgung wird sich für die Verbraucherinnen und Verbraucher zumeist dadurch auswirken, dass der Druck im Leitungssystem der Trinkwasserversorgung nachlässt und im schlimmsten Fall die Wasserversorgung vollständig versiegt“, teilt das Bundesinnenministerium auf eine Anfrage der Zeitung „Die Welt“ mit.

Anschläge gegen die Wasserversorgung sind weltweit zu beobachten. Im Jahr 2000 hatte ein ehemaliger technischer Dienstleister der Kläranlage im australischen Bezirk Maroochy Shire über eine Million Liter verunreinigtes Wasser in Gewässer geleitet. Es überrascht nicht, dass die Verwundbarkeit und strategische Rolle der Wasserversorgung bereits von den Römern ausgenutzt wurde, indem sie tote Tiere in die Wasserversorgung des Feindes warfen.

Im April 2020 ist in Israel ein groß angelegter Cyberangriff auf die Wasserversorgung vereitelt worden. Wäre der Angriff nicht in Echtzeit entdeckt worden, hätten Chlor oder andere Chemikalien im falschen Verhältnis in die Wasserquelle gemischt werden und „desaströse“ Folgen haben können, wie die „Süddeutsche Zeitung“ berichtete. Erstmals sei versucht worden, Schaden im richtigen Leben und nicht an der IT oder Daten anzurichten. In einer am 23. April 2020 herausgegebenen Warnung der israelischen Behörden heißt es, man habe Berichte über versuchte Eingriffe in Kläranlagen, Pumpstationen und Abwasserkanäle erhalten, nannte jedoch keine Einzelheiten.

Im Februar 2021 wurde der Versuch eines Hackers bekannt, der im Wasseraufbereitungssystem von Oldsmar (US-Bundesstaat Florida) kurzzeitig die Menge an Natriumhydroxid im Wasseraufbereitungssystem der 15.000-Einwohner-Stadt erhöht hat. Natriumhydroxid, auch Äztnatron genannt, wird Trinkwasser zwecks Säureregulierung in geringen Mengen beigefügt, kann aber in erhöhter Dosis zu schweren Verätzungen, z.B. zur Erblindung führen. Sträfliche Fehler machen es dabei offensichtlich den Hackern allzu einfach, an ihr Ziel zu gelangen. Bei Oldsmar nutzten angeblich alle Mitarbeiter der Einrichtung dasselbe Passwort für den Zugriff auf die TeamViewer-App, heißt es auf der Website „Hackernoon“, die nach eigenen Angaben von Edwards in Colorado (USA) aus betrieben wird.

Im August 2022 ist der britische Wasserversorger South Staffordshire PLC Opfer eines Ransomware-Angriffs geworden, durch den Thames Water kompromittierte wurde, die größte Wasserversorgungs- und Abwasseraufbereitungsanlage in London und Umgebung.

Im gleichen Monat musste ein massiver und koordinierter Angriff auf mehrere Betreiber von Infrastrukturen in Montenegro registriert werden, der darauf abzielte, Wasserversorgungssysteme, Verkehrsdienste und Online-Regierungsdienste zu beeinträchtigen.

Heutzutage sei jeder einem erhöhten Risiko eines Cyberangriffs ausgesetzt, auch Versorgungsunternehmen wie Wasserversorgungs- und -aufbereitungsunternehmen, heißt es in dem im April bei „Hackernoon“ erschienen Artikel. Der US-amerikanische Wassersektor sei in den letzten Jahren von mehreren großen Cyberangriffen betroffen, die eine ernsthafte Bedrohung für die öffentliche Gesundheit und Sicherheit darstellen, heißt es dort.

Beispielsweise musste die Onslow Water and Sewer Activity Authority in North Carolina im Jahr 2018 ihr IT-Netzwerk nach zwei aufeinanderfolgenden Ransomware-Angriffen abschalten. Die in Jacksonville ansässige Organisation liefert Wasser an mehr als 100.000 Einwohner. Glücklicherweise hätten die Ransomware- Angriffe die Versorgung dieser Bewohner nicht beeinträchtigt, jedoch die Datensicherheit und die Infrastruktur der öffentlichen Dienste gefährdet.

Im Jahr 2019 habe sich ein 22-Jähriger in das Netzwerk des Ellsworth County Rural Water District in Kansas eingehackt. Der Angreifer habe versucht den Desinfektionsmittelgehalt in der Wasseraufbereitungsanlage zu manipulieren, der Angriff sei jedoch gestoppt worden, bevor er Schaden anrichtete. Der Täter wurde überführt und angeklagt. Es stellte sich heraus, dass es sich um einen ehemaligen Mitarbeiter der Einrichtung in Ellsworth County handelte.

In den Vereinigten Staaten verlangt der 2018 geänderte US Water Infrastructure Act, dass Wasseraufbereitungssysteme, die mehr als 3.300 Menschen versorgen, regelmäßig Risikobewertungen und Notfallpläne entwickeln und aktualisieren müssen. In Deutschland soll das KRITIS-Dachgesetz die Sicherheitslücken schließen und ein konkretes Regelwerk umsetzen.

In Deutschland hat die Regierung für die Verabschiedung des Dachgesetzes für die Kritische Infrastruktur ein Eckpunkte-Papier veröffentlicht. Zur KRITIS gehörend sind darin elf Sektoren definiert. Zwei davon sind Trink- wie auch Abwasser.