IT-Sicherheitsmängel : Steter Tropfen höhlt das System

Ein Gutachten weist bei den landeseigenen Wasserbetrieben mehr als 30 digitale Schwachstellen nach. Wie konnte es dazu kommen? Ein Kommentar.

Cyber Attack, Virusangriff auf einen Computer.
Cyber Attack, Virusangriff auf einen Computer.Foto: imago images/Westend61

Das Gutachten ist harter Stoff für Berlin. Die Experten der Beratungsfirma Alpha Strike bescheinigen den landeseigenen Wasserbetrieben gravierende Sicherheitsmängel, die bei einem Angriff zum Kollaps der Abwasserentsorgung führen könnten. Die Gefahr, dass feindliche Hacker in die Informationssysteme eindringen und Pumpwerke sabotieren, ist hoch. Und das vermutlich schon seit Jahren.

Die mehr als 30 Schwachstellen, die Alpha Strike bei der „Security Analyse“ gefunden hat, häufen sich nicht in wenigen Monaten an. Lücken bei den Firewalls, ein leicht zu penetrierendes E-Mail-System, schlecht bis gar nicht gesicherte Pumpwerke – die Wasserbetriebe, ein Teil der als lebensnotwendig geltenden „Kritischen Infrastruktur“ der Stadt, befinden sich in einem kritischen Zustand. Wie konnte es soweit kommen?

[Alle wichtigen Updates des Tages finden Sie im kostenlosen Tagesspiegel-Newsletter "Fragen des Tages". Dazu die wichtigsten Nachrichten, Leseempfehlungen und Debatten. Zur Anmeldung geht es hier.]

Auf die Frage gibt es vermutlich nur eine bittere Antwort. In Berlin, und gewiss nicht nur hier, mangelt es in Politik, Verwaltung und Kritischen Infrastrukturen offenbar immer noch an der Fähigkeit, alle, wirklich alle nur denkbaren Gefahren zu antizipieren. Obwohl seit dem monströsen Terrorangriff auf die USA am 11. September 2001 und der schweren Attacke russischer Geheimdiensthacker auf den Bundestag 2015 doch klar sein müsste, dass das Undenkbare gedacht werden muss.

Verdrängte Gefahren

Doch trotz enormer Fortschritte bei der Bekämpfung von Cyberkriminalität und Terror ist die Neigung, extreme Gefahren zu verdrängen und zu hoffen, es werde schon nicht so schlimm kommen, nicht aus den Köpfen herauszubekommen.

Den Vorwurf müssen sich im Fall der Wasserbetriebe vor allem der Vorstandsvorsitzende Jörg Simon und Wirtschaftssenatorin Ramona Pop machen lassen. Die Grünenpolitikerin ist für die Wasserbetriebe zuständig und führt auch deren Aufsichtsrat.

Dennoch ist ihr offenbar nie in den Sinn gekommen, sich trotz der bekannten Gefahren durch Hacker und Terroristen bei den Wasserbetrieben detailliert zu erkundigen, ob jedes denkbare Risiko einkalkuliert wird. Ob Pumpwerke und IT so sicher sind, dass ein Angriff mit der größtmöglichen Wahrscheinlichkeit scheitert.

Und Simon, seit 1999 Chef der Wasserbetriebe, wurde erst hellhörig, als im März 2020 ein Mitarbeiter sensible Daten über die Abwasserentsorgung an ein externes Unternehmen mailte. Immerhin hat Simon dann die Notwendigkeit erkannt, ein Beratungsunternehmen mit einer systematischen Suche nach Schwachstellen zu beauftragen. Womöglich zu spät.

Ein Umbau der Architektur ist unerlässlich

In den Wasserbetrieben ist zu hören, die gesamte Architektur der IT-Sicherheit müsste umgebaut werden. Das dürfte angesichts der vielen, auch strukturellen Mängel mindestens zwei Jahre dauern. Hoffentlich sind Hacker und Terroristen so gnädig, die Wasserbetriebe solange zu verschonen.

Berlin muss wachsamer werden, wahrscheinlich auch die ganze Republik. Es ist naiv zu glauben, nur in der Hauptstadt könnte eine Kritische Infrastruktur derart gefährdet sein. Das Berliner Desaster sollte ein Weckruf sein. Länder, Kommunen und Landkreise sollten sich genau anschauen, ob ihre Wasserbetriebe, ihre Stromversorger, ihre Krankenhäuser und die weiteren Infrastrukturen bestmöglich geschützt sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) könnte bei einer weitflächigen Prüfung eine koordinierende Rolle übernehmen oder zumindest beraten. Vermutlich müsste das BSI selbst auch aufgerüstet und personell verstärkt werden. Denn die Gefahren wachsen weiter. Terroristen und feindliche Geheimdienste, vor allem aus Russland, China, Iran und Nordkorea, führen längst einen Cyberkrieg gegen den Westen.

Um ein Land massiv zu beschädigen, ist heute statt Bombern und Panzern nur ein USB-Stick nötig. Und die Täter, bis hin zu Kleingruppen und einzelnen Hackern, werden zunehmend professioneller. Dagegen hilft nur: Augen auf. In Berlin, in Deutschland, im Westen.

Der neue Morgenlage-Newsletter: Jetzt gratis anmelden!