Die Berliner Wasserbetriebe (BWB) sind unzureichend vor Angriffen auf ihre IT-Systeme und andere kritische technische Anlagen geschützt, wie sich in einer Security-Analyse herausstellte. Offenbar gilt das für die tausende kleinen Wasserver- und -entsorger noch viel mehr. Dass es bisher nicht zu größeren Ausfällen aufgrund digitaler Attacken gekommen ist, sehen viele Sicherheitsexperten als reine Glückssache.
Der IT-Sicherheitszustand der BWB sei insgesamt mangelhaft und die aktuelle Gefährdungslage hoch.
Die Experten bewerteten acht Mängel stuften als „kritisch“ ein, neun als „hoch“. Besonders gefährdet seien die Firewalls. Deren Konfiguration sei „fehlerhaft, lückenhaft und nicht nachvollziehbar“.
In Berlin sollen die gröbsten Mängel schnellstens beseitigt werden. Die größeren Unternehmen der Wasserwirtschaft haben Penetrationstests durchführen lassen – mit teilweise ähnlich verheerenden Ergebnissen. Noch schwieriger sei die Situation bei mehreren tausend kleinen kommunalen Unternehmen der Wasserwirtschaft, wie der DLF jetzt berichtete.
Diese digitalisierten mit enormem Tempo, seien aber in der Regel nicht kritische Infrastruktur im Sinne des BSI-Gesetzes und müssten dessen erweiterte Sicherheitsmaßnahmen nicht umsetzen.
„Die Fernwartungssysteme weisen von allgemein bekannten Passwörtern bis hin zu unabgesicherten Schnittstellen zahlreiche Angriffspunkte auf. Auch im Wasserwerk sind die Industriesteuerungen ein Schwachpunkt, weil weitgehend ungesichert.“
Ein weiter Angriffspunkt seien die Übergänge von den Verwaltungsnetzen in den Wasserwerken zu den Produktivnetzen. Angreifer kommen über diese Schnittstellen in die Produktivnetze, können Parameter der Wasseraufbereitung, vom Chlorzusatz bis hin zu anderen Additiven oder den Druck im Rohrsystem ändern. So können sie für Störungen oder Teilausfälle bis hin zu Totalausfällen sorgen.
Dass die Bundesregierung das Problem noch immer unterschätzt, ist für die Sachverständigen nicht nachvollziehbar. Im Entwurf des geplanten IT-Sicherheitsgesetzes 2.0 taucht das Thema bisher nicht auf.