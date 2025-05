Chemikalienzufuhr kann verändert werden

Szenario 2: Die Chemikalienzufuhr wird verändert. In Deutschland sind solche Fälle zwar nicht bekannt. Doch dass das im Ausland schon vorgekommen ist, macht Bernd Geisler, dem Präsidenten des LSI, Sorgen. Auch Franz Herrler, Werkleiter des Wasserzweckverbands Laber-Naab, ist alarmiert: "Ich halte es für fatal, wenn jemand in der Wasseraufbereitung ein Parameter verstellt, bei den PH-Wert-Messungen. Oder im Löschfall Feuerlöschpumpen ausschaltet." Herrler versorgt in seinem Zweckverband 12.500 Haushalte.

IT-Sicherheit bei kleineren Wasserversorgern nicht verpflichtend

Er hat sogar schon Erfahrung mit einem Cyberangriff. Doch er hatte Glück. Es handelte sich um einen guten Hacker. Um einen "weißen Ritter", wie die Fachleute sagen. "Der hat probiert, ob er reinkommt. Und er hat gesagt: Ihr seid nicht safe", so Herrler. Schaden habe der Hacker keinen angerichtet, aber an den Zweckverband appelliert: "Kümmert Euch um Euer System." Das war für den Werkleiter ein Warnschuss. Seitdem hat er viele Sicherheitsvorkehrungen getroffen und an einem Modellprojekt der Ostbayerischen Technischen Hochschule und des Landesamts für Sicherheit in der Informationstechnik teilgenommen. Doch was er mittlerweile in puncto IT-Sicherheit macht, macht er freiwillig.

Gesetzliche Vorgaben nur für drei bayerische Wasserversorger

Denn gesetzliche Vorgaben gibt es in Bayern nur für die großen Wasserversorger wie die Stadtwerke München, N-ERGIE Nürnberg und den Zweckverband Wasserversorgung Fränkischer Wirtschaftsraum. Für die anderen rund 2.100 Wasserversorger nicht. Der Präsident des Bayerischen Landesamts für Sicherheit in der Informationstechnologie hält viele kleine Wasserversorger für unzureichend gesichert: "Die haben vor Ort wenig Mitarbeiter, haben aber trotzdem gut vernetzte Systeme. Vielleicht auch noch aus dem Internet erreichbar. Aber mit Sicherheit keine IT-Spezialisten vor Ort.“

Schwellenwert für IT-Sicherheit gilt erst ab 500.000 Menschen

Doch warum sind in Bayern nur drei Wasserversorger gesetzlich verpflichtet, für ihre IT-Sicherheit zu sorgen? Der Grund: Es gibt einen gesetzlichen Schwellenwert, ab wann Wasserversorger zur kritischen Infrastruktur zählen. Der gilt aber nur für Versorger, die für mehr als 500.000 Menschen zuständig sind. IT-Sicherheitsexperten wie Manuel Atug stellen diesen Wert infrage. Es könne nicht sein, dass die große Mehrheit der Wasserversorger somit nicht relevant für den Staat sei, was Cybersicherheit betrifft. Die Staatsregierung antwortet auf BR24-Anfrage, genau wegen der Kleinteiligkeit sei die Wasserversorgung in Bayern sicher. Aber mittlerweile sind auch kleine Anlagen stark digitalisiert. Cybersicherheits-Experten befürchten, dass Angreifer gezielt viele kleine Anlagen hacken und sie lahmlegen könnten.

EU-Kommission: Vertragsverletzungsverfahren gegen Deutschland

Das Bundesinnenministerium verteidigt auf BR24-Anfrage ebenfalls den Schwellenwert. So viele Menschen könne man im Notfall über andere Wege versorgen. Doch Experten zufolge ist das nicht so einfach. Das Technische Hilfswerk z. B. kann mit Wasseraufbereitungsmaßnahmen pro Tag 4 bis 4,5 Millionen Liter Trinkwasser aufbereiten. Bei Attacken auf zwei große deutsche Städte kommen die Helfer schnell an ihre Kapazitätsgrenzen. Die EU-Kommission bescheinigt Deutschland, zu wenig beim Thema IT-Sicherheit zu tun. Seit Herbst läuft ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik.