Sind auch BVG und BSR betroffen?: Sicherheitslücken bei Berliner Wasserbetrieben gravierender als gedacht

Die Sicherheitsprobleme der Berliner Wasserbetriebe (BWB) haben möglicherweise eine noch größere Dimension als bislang bekannt. Das landeseigene Unternehmen will nach dem alarmierenden Gutachten der Beraterfirma Alpha Strike zu Schwachstellen bei der IT und Abwasserentsorgung nun auch die Sicherheit der Trinkwasserversorgung durch ein externes Unternehmen prüfen lassen. Es sei davon auszugehen, dass die Untersuchung noch in diesem Jahr stattfinden werde, sagte BWB-Sprecher Stephan Natz am Donnerstag dem Tagesspiegel. 

Es handele sich um eine zusätzliche Prüfung, da schon alle zwei Jahre nach gesetzlichem Standard „extern zertifiziert“ werde. Untersucht werden sollten nun auch, sagte Natz, weitere „Systeme“. Welche das sind, wollte er nicht sagen. Intern war in den BWB zu hören, die Sicherheit der Klärwerke müsste bewertet werden.

Die Berliner Firma Alpha Strike hatte im Mai nach einem aufwändigen „Penetrationstest“ mehr als 30 Schwachstellen bei IT-Sicherheit und Abwasserentsorgung festgestellt. 

„Wir bewerten den IT-Sicherheitszustand der Berliner Wasserbetriebe als mangelhaft und die Gefährdungslage als hoch“, heißt es in der 82-seitigen „Security Analyse“. Alpha Strike spricht von einer hohen Wahrscheinlichkeit für einen erfolgreichen Hackerangriff, der zum mehrwöchigen „Zusammenbruch der Abwasserentsorgung Berlins“ und einem zweistelligen Millionenschaden führen könnte.

Die Wasserbetriebe setzten daraufhin eine „Task Force“ ein, die Schwachstellen beseitigen soll. Bis zum Monatsende an diesem Freitag wollen die BWB mehrere kritische Mängel behoben haben. Im Unternehmen sind allerdings Stimmen zu hören, die einen Umbau der gesamten Architektur der IT-Sicherheit für notwendig halten. Das würde mindestens zwei Jahre dauern, heißt es. Verwiesen wird zudem auf das Risiko, dass professionelle Hacker über die Schwachstellen in der IT und im Bereich Abwasser in weitere Unternehmensteile eindringen könnten.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere runderneuerte App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Offen bleibt, welche Gefahren die Sicherheitslücken für andere große Unternehmen des Landes Berlin bedeuten können. Die Berliner Wasserbetriebe teilen ihr Rechenzentrum mit den Berliner Verkehrsbetrieben (BVG) und den Berliner Stadtreinigungsbetrieben (BSR). Die Sprecherinnen von BVG und BSR betonten auf Anfrage des Tagesspiegels gleichermaßen, die IT ihrer Betriebe im Rechenzentrum sei komplett von den Anlagen der Wasserbetriebe getrennt.

Das Rechenzentrum sei angreifbar, heißt es intern

In den BWB wird jedoch intern geäußert, über Sicherheitslücken, die Alpha Strike benannt hat, könnte eine Gruppe professioneller Hacker, wie sie beispielsweise von russischen Geheimdiensten losgeschickt werden, auch die Stromversorgung und die Gebäudeleittechnik des Rechenzentrums angreifen. Würde es sabotiert, wären BVG und BSR ebenfalls betroffen. BSR-Sprecherin Sabine Thümler sagte, „nach menschlichem Ermessen ist ausgeschlossen, dass jemand das Rechenzentrum lahm legt“. BVG-Sprecherin Petra Nelken konnte auf die Frage zum Risiko keine Antwort geben.

Bei BVG und BSR sind bislang, so stellen es die Sprecherinnen dar, keine größeren Sicherheitsprobleme bekannt. In der BSR gebe es regelmäßige „Penetrationstests“, sagte Thümler. Sie verwies zudem auf eine seit 2016 laufende Kampagne, „um Mitarbeiter für IT-Sicherheit und Schadsoftware zu sensibilisieren“. Es würden regelmäßig „Testmails“ verschickt. Die Mails könnten theoretisch Schadsoftware enthalten, die sich bei der Öffnung verbreiten würde. „Wir gucken dann, wie viele Mitarbeiter unvorsichtig waren“, sagte Thümler.

Bei der BVG bleibt man ruhig

Bei der BVG gebe es mindestens einmal im Jahr bei der IT einen großen Penetrationstest, sagte Nelken, „da wird das ganze Haus untersucht“. Einige Systeme würden sogar täglich geprüft, weitere Tests nähmen externe Firmen mindestens einmal im Monat vor. Nelken betonte, Hackerangriffe auf die BVG seien regelmäßig gescheitert. Außerdem schalte sich in der U-Bahn schon bei der Manipulation einer Weiche „automatisch der Strom ab“.

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

Die Finanzverwaltung, die für die Landesbeteiligungen zuständig ist, versicherte dem Tagesspiegel, „dass die Sicherheit der IT-gestützten Systeme oberste Priorität bei den Organen der Berliner Wasserbetriebe hat“. Der Vorstand berichte dem Aufsichtsrat regelmäßig sowie anlassbezogen, das gelte auch für die Ergebnisse der Analyse von Alpha Strike Labs und die danach eingeleiteten Maßnahmen „inklusive der Einrichtung einer Task Force“. Die meisten Mängel seien bis morgen behoben. Gegenwärtig seien bei anderen öffentlichen Unternehmen strukturelle Mängel bei der IT-Sicherheit nicht erkennbar. Beim Flughafen BER beispielsweise solle die „weltweit modernste IT“ implementiert werden.

Ramona Pop soll sich "nicht wegducken"

Die zuständigen Fachausschüsse des Abgeordnetenhauses, die im August wieder tagen, werden sich mit dem Thema trotzdem näher befassen. „Mich überraschen die Ergebnisse der Analyse bei den Wasserbetrieben nicht“, sagte der SPD-Abgeordnete Sven Kohlmeier dem Tagesspiegel. „Wenn man andere Betriebe, die zur kritischen Infrastruktur gehören, genauso intensiv prüfen würde, kämen sicher ähnliche Probleme zutage.“

© promo

Kohlmeier hat eine Besprechung im Ausschuss für Kommunikationstechnologie und Datenschutz beantragt. Er forderte Wirtschaftssenatorin Ramona Pop (Grüne) auf, sich als Aufsichtsratschefin der Wasserbetriebe „nicht wegzuducken“. Ihr Job sei es, dafür Sorge zu tragen, dass die Mängel möglichst schnell abgestellt werden. Auch der Vorstand des Versorgungsunternehmens solle vom Ausschuss angehört werden. Voraussichtlich setzt auch der Wirtschaftsausschuss des Parlaments die IT-Sicherheit öffentlicher Versorger auf die Tagesordnung.

IT-Experte der Grünen moniert "fehlendes Verständnis für die Bedrohungslage"

Dessen Ko-Vorsitzender Jörg Stroedter sagte, die Wasserbetriebe seien ein „sehr gut geführtes Unternehmen“ und der Vorstand werde die erkannten Probleme zeitnah in den Griff bekommen. Die umfangreiche Prüfung sei vom Landesbetrieb selbst initiiert worden. Auch der Grünen-Politiker Benedikt Lux wies daraufhin, dass sich Vorstand und Aufsichtsrat „aktiv darum gekümmert haben, die IT-Sicherheit der Wasserbetriebe zu testen“. Er sehe kein Versäumnis der Wirtschaftssenatorin.

Stefan Ziller, IT-Experte der Grünen, appelliert an die Landesunternehmen und die öffentliche Verwaltung, dem Beispiel der Wasserbetriebe zu folgen „und ihre IT proaktiv nach Sicherheitslücken durchsuchen zu lassen“. Die öffentliche Skandalisierung eines solchen Vorgehens sei der falsche Weg. Aber auch Ziller beklagt ein „fehlendes Verständnis der Bedrohungslage“ in Politik und Öffentlichkeit.

In diesem Jahr war in Berlin übrigens ein Kooperationsprojekt „zur Cybersicherheit mit den Betreibern kritischer Infrastruktur“ in Berlin geplant. Die Workshops sollten bis März ausgeschrieben werden. Jetzt bat IT-Staatssekretärin Sabine Smentek das Parlament um Fristverlängerung bis Ende Oktober. Denn „im Rahmen des Corona-Krisenmanagements waren die personellen Ressourcen anderweitig gebunden“.