Ein Auszubildender bei den Berliner Wasserbetrieben sitzt vor einem Monitor (Bild: imago images)
Video: rbb|24 | 29.07.2020 | Gespräch mit Manuel Atug | Bild: imago images

Sicherheitsexperte kritisiert späte Prüfung - IT-Risiken auch bei Wasserwerken nicht angemessen bewertet

Die Berliner Wasserbetriebe sind aufgrund großer IT-Lücken leichte Beute für Hackerattacken. Das hatte eine Studie im Auftrag des Unternehmens ergeben. Für den IT-Experten Manuel Atug kommt diese Erkenntnis nicht nur in dem Berliner Fall zu spät.

Die kürzlich bekannt gewordenen IT-Sicherheitsmängel im Berliner Abwasserbereich deuten auf eine erhebliche Verzögerung der notwendigen Überprüfungen im Unternehmen hin. Nach Einschätzung des IT-Sicherheitsexperten Manuel Atug von der unabhängigen Arbeitsgruppe Kritis hätten die nun von den Wasserbetrieben veröffentlichten Sicherheitsüberprüfungen bereits vor mehreren Jahren erfolgen müssen.
 
Die Vorgaben des BSI-Gesetzes für Kritische-Infrastruktur-Betreiber - in Kraft seit Mai 2016 - hätten eigentlich schon längt behandelt werden müssen, sagte Atug rbb24 am Mittwochabend. "Dass man da jetzt nachzieht, ist erstmal positiv anzuerkennen, aber es zeigt, dass immer noch zu viele IT-Problemstellungen die Risiken nicht angemessen adressieren."

Das vollständige Interview mit Manuel Atug können Sie oben im Player nachschauen.

Standard durch das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz [kritis.bund.de] legt die Standards fest, wer zu den Betreibern kritischer Infrastruktur gehört und welche Sicherheitsstandards die Infrastruktur der Betreiber erfüllen müssen.
 
Die Berliner Wasserbetriebe hatten am Mittwoch bekannt gegeben, dass sie einer Sicherheitsanalyse zufolge nicht ausreichend gegen Hackerangriffe geschützt sind. Dies hatte der Berliner Tagesspiegel zuerst veröffentlicht. Demnach stellten Gutachter im Abwasserbereich 30 zum Teil gravierende Schwachstellen fest.

Die Wasserbetriebe hatten den Sicherheits-Check nach einer Daten-Panne selbst in Auftrag gegeben. Die beauftragte Firma stufte dabei die aktuelle Gefährdungslage als hoch ein. Betroffen sind vor allem die Pumpwerke. Beschrieben wird in dieser Analyse auch ein Szenario, dass ein schwerer Hacker-Angriff auf die IT zu einem mehrwöchigen Zusammenbruch der Abwasserentsorgung führen könnte. Eine Task Force des Unternehmens arbeitet nun ein Sofortprogramm ab, wie die Wasserbetriebe mitteilten. Die meisten Mängel sollen demnach in dieser Woche behoben sein.

Nicht ausreichend gesichert? - Eher die Regel!

Nach Einschätzung von Atug ist eine der Ursachen für die Mängel der Betreiber ein Defizit an Ressourcen. Die Bundesregierung komme hier dem Schutz kritischer Infrastruktur nicht angemessen nach, da Gesetzeslage, Haftungsfragen und Evaluierung dieser Gesetze nicht angepasst worden seien. Atug erklärte, es sei "eher die Regel", dass in Deutschland die Betreiber kritischer Infrastrukturen diese nicht ausreichend gesichert hätten.

Die Ursache für diese ungenügenden Sicherungen lägen im Betrieb der Anlagen: "Kritische Infrastrukturen können nicht so einfach für Wartungen und Updates abgeschaltet werden. Da laufen teilweise Komponenten seit Jahrzehnten und werden auch noch Jahrzehnte laufen." Die Hersteller dieser Systeme aber seien oft bereits insolvent oder verkauft worden, so dass nur schwer zu erfahren sei, wo Support für einen Umbau oder einen Sicherheitsausbau zu bekommen sei. Hier brauche es mehr Unterstützung durch die Regierung.
 
Atug zufolge sei nun eine Evaluierung des BSI-Gesetzes und der Kritis-Verordnungen nötig. Es müsse dabei bewertet werden, welche Probleme dringend behoben werden müssten. Dies sei kein Betreiberproblem oder Branchenproblem: "Es ist eine internationale oder globalisierte Fragestellung. "

Sendung:  

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

2 Kommentare

  1. 2.

    Und Unternehmen wie Nokia die gute Sicherheitsprodukte anbieten machen in Berlin zu...

    Das Problem ist, wer gibt schon gerne Geld aus, für etwas was man im Idealfall nicht braucht und was man nicht sieht. Das ist immer schwer an den Mann zu bringen, da ist Angst machen der einzige Weg...

  2. 1.

    Nicht nur kritische Infrastruktur. Teile der deutschen Wirtschaft stehen quasi zum Download bereit, für China, Russland oder die USA.

Das könnte Sie auch interessieren