Berliner Innenverwaltung weist Verantwortung von sich: Wie sicher sind BVG, Wasserbetriebe und Flughafen vor Hackerangriffen?

Jährlich sieben Millionen Cyber-Attacken registriert das IT-Dienstleistungszentrum (ITDZ) auf das Netz der Berliner Verwaltung. In der Vergangenheit hatte es wiederholt auch Angriffe auf die IT-Infrastruktur öffentlicher Einrichtungen in Berlin gegeben: 2015 wurde das Rechnernetz des Bundestags attackiert, 2019 beschädigte die hochgefährliche Schadsoftware „Emotet“ das gesamte Netzwerk des Kammergerichts.

Im Mai diesen Jahres griffen Hacker die Technische Universität Berlin an. Wie steht es um die Sicherheit bei den kritischen Infrastrukturen (KI), nachdem bei BVG oder Wasserbetrieben massive Sicherheitslücken entdeckt worden waren?

In einer Aktuellen Anfrage, die dem Tagesspiegel vorliegt, antwortet Innen-Staatssekretär Torsten Akmann auf diese Fragen des FDP-Digitalexperten Bernd Schlömer, viele Informationen gibt er aber nicht. Akmann verweist mehrfach auf das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI). Gegenüber dem BSI haben alle kritischen Infrastrukturen eine Auskunfts- und Nachweispflicht zum Beispiel über die Einhaltung von zertifizierten Sicherheitsstandards.

Auch acht landeseigene Betriebe, die zur Kritischen Infrastruktur zählen, kämen dieser Pflicht nach, „sodass sich keine zusätzlichen Verpflichtungen für das Land Berlin ergeben“. Die Betriebe würden „eigenverantwortlich“ in Abstimmung mit dem BSI agieren, das als Bundesoberbehörde für Kritische Infrastrukturen zuständig sei.

Land habe kein Interesse, sich um IT-Sicherheit zu kümmern

Folgende Unternehmen zählen laut Innenverwaltung zu KI: Berliner Verkehrsbetriebe (BVG), Berliner Wasserbetriebe (BWB), Berliner Stadtreinigung (BSR), Berliner Flughafen-Gesellschaft, Tochter der Flughafen Berlin Brandenburg GmbH, Charité Universitätsmedizin, Vivantes-Netzwerk für Gesundheit, das Verkehrssteuerungs- und Leitsystem im kommunalen Straßenverkehr, der Betrieb der Tunnel- und Verkehrstechnik der Bundesautobahn in Berlin sowie des Tunnels Tiergarten Spreebogen.

FDP-Mann Schlömer kritisiert, dass offenbar das Land „kein Interesse hat, sich um die IT-Sicherheit der Landesbetriebe zu kümmern. Als Eigner von Kritischen Infrastrukturen muss man doch Sorge tragen, dass die Dinge gut laufen“. Schlömer fordert das Land auf, sich über die Sicherheit in den Landesbetrieben unterrichten zu lassen. „Wir brauchen ein regelmäßiges Berichtswesen über die Sicherheit. Die Berichte sollen die Vorstände anweisen“, sagt der FDP-Politiker und frühere Vorsitzende der Piratenpartei.

Es dürfte „im hohen Interesse der Berlinerinnen und Berliner sein, dass systemrelevante Bereiche und kritische Infrastrukturen besonderes Augenmerk bekommen“. Neben regelmäßiger Berichte müsse es in Risikomanagement und ein Lagebild über Informationssicherheit geben.

Zu wenig gesichtere VPN-Tunnel für Richter:innen

Die Auswirkungen des 2019 im Computersystems des Kammergerichts entdeckten Emotet-Virus waren noch im Jahr 2020 zu spüren. Ein Großteil der 150 Richter:innen war nur eingeschränkt arbeitsfähig: Es fehlten ausreichend gesicherte Verbindungen aus dem Homeoffice zum Gericht, sogenannte VPN-Tunnel. Nur 210 von 1000 Richter:innen an Kammer-, Landes- oder Amtsgerichten konnten sich sicher ins Landesnetz einwählen – aber auch nur über den privaten Computer.

Das eigene Rechenzentrum des Kammergerichts wurde nach dem Cyberangriff nicht mehr aufgebaut, 550 Rechner mussten entsorgt werden. Die IT läuft jetzt wie die der elf Amtsgerichte und des Landgerichts über das ITDZ.

Inzwischen haben alle Richter:innen des Kammergerichts dienstliche Laptops mit sicherer VPN-Verbindung, teilte eine Sprecherin des Gerichts mit. VPN-Zugänge stünden auch für die ordentliche Gerichtsbarkeit in ausreichender Zahl zur Verfügung. Schwierigkeiten gebe es aber „wegen der coronabedingten Knappheit auf dem IT-Endgeräte-Markt“, weitere Laptops für Richter:innen der übrigen Gerichte zu besorgen. Bis Ende Juli wurden 1143 Laptops gekauft.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Nach dem Trojanerangriff hat es keine weiteren Angriffe auf die IT der Gerichte gegeben, die Infrastruktur der Schadsoftware Emotet konnte im Januar von Sicherheitsbehörden zerschlagen werden. Doch die Cyberattacken nehmen von Jahr zu Jahr zu, weil die Kritische Infrastruktur zunehmend ins Visier von Cyberkriminellen rückt. ist. Das im Mai verabschiedete Sicherheitsgesetz 2.0 schreibt höhere Schutzstandards für Betreiber von KI vor. Sie müssen zum Beispiel Systeme zur Angriffserkennung einsetzen.

Die Berliner Verkehrsbetriebe weigerten sich jedoch jahrelang, dem BSI die Abwehrkraft ihrer IT-Sicherheit nachzuweisen. Im April gab die BVG den schwelenden Streit mit der Bundesbehörde auf. Eine Cybersecurity-Firma stellte 23 Mängel in der IT-Sicherheit fest. Diese Punkte werden dem Vernehmen nach systematisch abgearbeitet in der gesetzlichen Frist von zwei Jahren.

Man habe ein „sehr hohes Sicherheitsniveau“, hieß es bei der BVG. Meldungen über neue IT-Schwachstellen erhalte man vom Lagezentrum des BSI, von den Herstellen der Systeme und übers Internet. Regelmäßig finden sogenannte Penetrationstests statt – hier werden gezielt Schwachstellen gesucht – außerdem gibt es interne Sicherheitsscreenings.

[Lesen Sie mehr mit Tagesspiegel-Plus: Kampf gegen Erpressungs-Trojaner - Berlin ist vor Hacker-Angriffen nicht ausreichend geschützt]

Im vergangenen Jahr wurde bekannt, dass die IT-Sicherheit der Berliner Wasserbetriebe (BWB) so löchrig war, dass ein Cyberangriff die Abwasserentsorgung wochenlang hätte lahmlegen können. Die Berliner Beraterfirma Alpha Strike hatte im Auftrag der BWB die IT-Sicherheit im Bereich Abwasser getestet und mehr als 30 Sicherheitslücken festgestellt.

Der IT-Sicherheitszustand sei mangelhaft, stellten die Sicherheitsexpert:innen fest. Und beim Penetrationstest wurden ungesicherte Pumpwerke entdeckt. Die Architektur der IT-Sicherheit wird derzeit umgebaut. Nach dem ersten Penetrationstest seien zwei weitere gefolgt, sagte Sprecher Stephan Natz. Man habe alle gängigen Zertifizierungen erhalten.

Bei den Wasserbetrieben gibt es mehrere Netze, darunter das System der Trinkwasserversorgung oder ein eigenes System für die 164 Abwasserpumpwerke und Regenbecken, die mit LISA (Leit- Informationssystem) gesteuert werden. Dieses System wurde über 25 Jahren hinweg aufgebaut. Dort fanden die Prüfer auch die meisten Mängel. Die sechs Klärwerke haben kein zentrales System: Jeweils zwei sind im Netz miteinander verbunden wie Ruhleben und Wansdorf oder Waßmannsdorf und Stahnsdorf.

Auch die Wasserbetriebe müssen Cyber-Angriffe abwehren. Der Kampf gegen Hackerattacken sei „ein pausenloses Wettrüsten“, sagte Sprecher Natz.