- Trinkwasser und Abwasser sind in Anhang I der NIS2-Richtlinie als separate Sektoren hoher Kritikalität gelistet. Betroffene Unternehmen gelten als wesentliche Einrichtungen.
- Die Wasserversorgung ist hochgradig von SCADA-Systemen und Fernwirktechnik abhängig, die verteilte Anlagen (Brunnen, Hochbehälter, Pumpwerke, Kläranlagen) zentral steuern und überwachen.
- Für größere Wasserversorger besteht eine Doppelregulierung: NIS2 und die bestehende KRITIS-Verordnung nach BSI-Gesetz laufen parallel. Beide Regelwerke müssen erfüllt werden.
- Ein Cyberangriff auf die Wasserversorgung kann die Trinkwasserqualität gefährden und damit eine unmittelbare Gesundheitsgefahr für die Bevölkerung darstellen.
- Ein Wasserversorger mit 65 Mitarbeitern und einem Versorgungsgebiet von 80.000 Einwohnern kann die NIS2-Umsetzung in 12 Monaten schaffen, muss aber die OT-Sicherheit von Anfang an in den Fokus stellen.
Warum Wasserversorger und Abwasserbetriebe unter NIS2 fallen
Trinkwasser ist das wichtigste Lebensmittel. Wenn die Wasserversorgung ausfällt oder die Trinkwasserqualität nicht mehr gewährleistet ist, hat das innerhalb weniger Stunden Auswirkungen auf die gesamte Bevölkerung. Krankenhäuser brauchen Wasser für den Betrieb, Lebensmittelhersteller können nicht produzieren, Feuerwehren verlieren ihre Löschwasserversorgung. Die Abwasserentsorgung ist das Gegenstück: Wenn Kläranlagen ausfallen, drohen Umweltverschmutzung und hygienische Gefahren.
Der europäische Gesetzgeber hat beide Bereiche in Anhang I der NIS2-Richtlinie als Sektoren hoher Kritikalität aufgenommen:
- Trinkwasser (Drinking Water): Lieferanten und Verteiler von Wasser, das für den menschlichen Gebrauch bestimmt ist
- Abwasser (Waste Water): Unternehmen, die Abwasser sammeln, entsorgen oder behandeln
Die Aufnahme der Abwasserentsorgung als eigener Sektor in Anhang I ist eine Neuerung gegenüber der Vorgängerrichtlinie NIS1, die nur die Trinkwasserversorgung erfasst hatte. NIS2 erkennt damit an, dass auch die Abwasserentsorgung eine kritische Infrastruktur ist, deren Ausfall erhebliche Umwelt- und Gesundheitsschäden verursachen kann.
Konkret betroffen sind:
- Kommunale Wasserversorger: Stadtwerke, Wasserzweckverbände, kommunale Eigenbetriebe
- Privatwirtschaftliche Wasserversorger: Unternehmen, die im Auftrag von Kommunen die Wasserversorgung betreiben
- Abwasserbetriebe: Betreiber von Kläranlagen, Kanalnetz und Regenwasserbehandlung
- Kombiversorger: Stadtwerke, die Wasser, Abwasser und Energie aus einer Hand anbieten
Die Schwellenwerte sind wie bei allen NIS2-Sektoren: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz. Allerdings gibt es, wie im Energiesektor, die Möglichkeit einer Einstufung durch das BSI auch unterhalb dieser Schwellenwerte, wenn der Ausfall erhebliche Auswirkungen auf die öffentliche Versorgung hätte.
In der Praxis trifft NIS2 eine sehr große Zahl von Wasserversorgern und Abwasserbetrieben. Die deutsche Wasserwirtschaft ist stark dezentral organisiert: Es gibt rund 5.800 Wasserversorgungsunternehmen und rund 6.800 Abwasserentsorgungsbetriebe. Viele davon sind kleine kommunale Betriebe mit weniger als 50 Mitarbeitern, die nicht unter NIS2 fallen. Aber die mittleren und großen Versorger, insbesondere Stadtwerke und Zweckverbände, die ganze Regionen versorgen, überschreiten die Schwellenwerte regelmäßig.
Wesentliche Einrichtung: Die höchste Regulierungsstufe
Da Trinkwasser und Abwasser in Anhang I gelistet sind, gelten betroffene Unternehmen als wesentliche Einrichtungen. Das bedeutet:
- Proaktive BSI-Aufsicht (das BSI kann jederzeit Nachweise anfordern)
- Bußgelder bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes
- Meldepflichten: 24 Stunden Erstmeldung, 72 Stunden Folgemeldung, 1 Monat Abschlussbericht
- Regelmäßige Sicherheitsüberprüfungen durch oder im Auftrag des BSI
- Persönliche Haftung der Geschäftsführung
Die besondere IT/OT-Landschaft der Wasserwirtschaft
Die Wasserwirtschaft hat eine IT-Landschaft, die sich fundamental von der eines typischen Bürobetriebs unterscheidet. Der Kern des Betriebs sind nicht ERP-Systeme oder E-Mail-Server, sondern Prozessleittechnik und Fernwirktechnik, die über ein weiträumig verteiltes Anlagennetz verteilt sind.
SCADA und Prozessleittechnik: Das Herzstück
SCADA-Systeme (Supervisory Control and Data Acquisition) sind das zentrale Steuerungs- und Überwachungssystem in der Wasserwirtschaft. Von einer Leitwarte aus werden alle Anlagen überwacht und gesteuert:
- Wasserwerke: Aufbereitung des Rohwassers zu Trinkwasser (Filtration, Desinfektion, pH-Einstellung)
- Brunnen und Quellen: Wassergewinnung, Pegelüberwachung, Pumpensteuerung
- Hochbehälter: Speicherung von Trinkwasser, Füllstandsüberwachung, Druckregulierung
- Pumpwerke: Druckerhöhung im Versorgungsnetz, bedarfsgesteuerte Pumpenregelung
- Kläranlage: Mechanische, biologische und chemische Abwasserbehandlung, Schlammbehandlung
- Kanalnetz: Überwachung von Pegelständen, Steuerung von Regenüberlaufbecken und Pumpwerken
Das SCADA-System sammelt Messwerte (Durchfluss, Druck, Pegelstand, pH-Wert, Trübung, Chlorgehalt, Temperatur) von Hunderten oder Tausenden von Messpunkten, visualisiert sie für die Bediener und ermöglicht Steuereingriffe (Pumpen ein/aus, Ventile öffnen/schließen, Dosierung anpassen).
Fernwirktechnik: Die Verbindung zu den Außenstationen
Die größte Herausforderung der Wasserwirtschaft ist die räumliche Verteilung der Anlagen. Ein mittelgroßer Wasserversorger betreibt typischerweise 10 bis 30 Außenstationen (Brunnen, Hochbehälter, Pumpwerke), die über das gesamte Versorgungsgebiet verteilt sind. Diese Anlagen werden über Fernwirktechnik an die zentrale Leitwarte angebunden.
Die Fernwirktechnik umfasst:
- Remote Terminal Units (RTUs): Dezentrale Steuerungseinheiten an jeder Außenstation, die lokale Messwerte erfassen, lokale Steuerungsaufgaben ausführen und Daten an das zentrale SCADA-System übermitteln
- Kommunikationsnetzwerk: Die Verbindung zwischen RTUs und Leitwarte erfolgt über verschiedene Medien: eigene Leitungen, angemietete Festverbindungen, DSL, Mobilfunk (4G/5G), Richtfunk oder Satellitenkommunikation
- Protokolle: Typische Fernwirkprotokolle sind IEC 60870-5-101 (seriell) und IEC 60870-5-104 (IP-basiert). Ältere Anlagen nutzen noch Modbus oder proprietäre Protokolle
Die Fernwirktechnik ist aus NIS2-Perspektive ein kritisches Element, weil sie die Angriffsfläche erheblich vergrößert. Jede Außenstation mit einer Netzwerkverbindung ist ein potenzielles Einfallstor. Die Kommunikationswege, insbesondere über öffentliche Netze (DSL, Mobilfunk), müssen verschlüsselt und authentifiziert werden.
Wasserqualitätsüberwachung: Wenn Manipulation lebensbedrohlich wird
Die Überwachung der Trinkwasserqualität ist gesetzlich vorgeschrieben (Trinkwasserverordnung, TrinkwV). Online-Analysegeräte messen kontinuierlich Parameter wie pH-Wert, Trübung, Leitfähigkeit und Desinfektionsmittelkonzentration (typischerweise Chlor oder Chlordioxid). Grenzwertüberschreitungen lösen automatisch Alarme aus und können Steuerungseingriffe auslösen (etwa die Erhöhung der Chlordosierung oder die Abschaltung eines Brunnens).
Ein Cyberangriff auf die Wasserqualitätsüberwachung hat potenziell lebensbedrohliche Konsequenzen:
- Manipulation der Messwerte: Wenn ein Angreifer die pH-Wert- oder Chlormessung manipuliert, kann kontaminiertes Wasser ins Netz gelangen, ohne dass das System Alarm schlägt
- Überdosierung von Chemikalien: Wenn ein Angreifer die Chlordosierung erhöht, kann das Trinkwasser gesundheitsschädliche Konzentrationen erreichen
- Abschaltung der Desinfektion: Wenn die Desinfektionsanlage deaktiviert wird, können Krankheitserreger ins Trinkwasser gelangen
Der Angriff auf die Wasseraufbereitungsanlage in Oldsmar, Florida (2021) hat gezeigt, dass diese Szenarien nicht theoretisch sind. Ein Angreifer erlangte Fernzugriff auf das SCADA-System und versuchte, den Natriumhydroxid-Gehalt um den Faktor 100 zu erhöhen. Ein aufmerksamer Operator bemerkte die Manipulation rechtzeitig.
KRITIS-Überschneidung: Zwei Regelwerke parallel
Größere Wasserversorger sind bereits seit Jahren als KRITIS-Betreiber reguliert. Die KRITIS-Verordnung definiert Schwellenwerte für die Wasserwirtschaft: Ein Wasserversorger gilt als KRITIS-Betreiber, wenn er mehr als 500.000 Menschen versorgt. Eine Kläranlage gilt als KRITIS, wenn sie eine bestimmte Ausbaugröße überschreitet.
NIS2 senkt diese Schwelle erheblich. Ein Wasserversorger mit 60 Mitarbeitern, der eine Kleinstadt mit 40.000 Einwohnern versorgt, war bisher kein KRITIS-Betreiber, fällt aber unter NIS2. Das erweitert den Kreis der regulierten Unternehmen in der Wasserwirtschaft deutlich.
Für Unternehmen, die sowohl KRITIS-Betreiber als auch NIS2-pflichtig sind, gelten beide Regelwerke parallel:
| Aspekt | KRITIS (BSIG) | NIS2 |
|---|---|---|
| Schwellenwert | Versorgungszahl (500.000 Personen) | Unternehmensgröße (50 MA / 10 Mio. €) |
| Maßnahmen | Stand der Technik, B3S anwendbar | 10 Mindestmaßnahmen nach Art. 21 |
| Nachweis | Alle 2 Jahre gegenüber BSI | Proaktive Aufsicht, BSI kann jederzeit prüfen |
| Meldepflicht | Erhebliche IT-Störungen | 24h/72h/1 Monat-Schema |
| Persönliche Haftung | Nicht explizit | Geschäftsführung haftet persönlich |
| Schulungspflicht | Nicht explizit | Leitungsebene muss Cybersicherheitsschulungen absolvieren |
Die gute Nachricht: Wer bereits die KRITIS-Anforderungen erfüllt und ein ISMS nach ISO 27001 oder dem branchenspezifischen Sicherheitsstandard (B3S) für die Wasserwirtschaft betreibt, hat eine solide Grundlage. Die NIS2-spezifischen Anforderungen (persönliche Haftung, Schulungspflicht, Supply-Chain-Sicherheit, dreistufiges Meldeschema) müssen ergänzt werden, aber der Aufbau eines ISMS von Grund auf ist nicht nötig.
Besondere NIS2-Anforderungen für die Wasserwirtschaft
Risikoanalyse: Trinkwasserqualität und Umweltschutz
Die Risikoanalyse eines Wasserversorgers muss neben den klassischen IT-Risiken zwei zusätzliche Dimensionen berücksichtigen – in ISMS Lite lassen sich Trinkwasserqualität und Umweltschutz als eigene Bewertungskriterien in die Risikomatrix integrieren:
- Trinkwasserqualität: Was passiert, wenn die Qualitätsüberwachung ausfällt oder manipuliert wird? Welche Konsequenzen hat das für die Gesundheit der Verbraucher?
- Umweltschutz: Was passiert, wenn die Kläranlage ausfällt oder nicht ordnungsgemäß arbeitet? Welche Einleitungen in Gewässer drohen?
Die Risikoanalyse muss folgende Fragen beantworten:
- Welche SCADA-Funktionen sind für die Trinkwasserqualität unverzichtbar? (Desinfektion, pH-Regulierung, Trübungsüberwachung)
- Was passiert bei einem Totalausfall des SCADA-Systems? Können die Außenstationen autonom weiterlaufen?
- Wie lange kann die Wasserversorgung bei einem IT-Ausfall aufrechterhalten werden? (Hochbehälter bieten typischerweise einen Puffer von 12 bis 48 Stunden)
- Welche Fernwirkanlagen sind über öffentliche Netze angebunden und damit besonders gefährdet?
Netzwerksegmentierung: IT, OT und Fernwirktechnik
Die Netzwerkarchitektur eines Wasserversorgers muss drei Bereiche konsequent trennen:
Büro-IT: ERP-System (typischerweise SAP oder branchenspezifische Lösung), E-Mail, Verwaltung, Kundenkommunikation, GIS (Geoinformationssystem für das Leitungsnetz).
Prozess-OT: SCADA-Server, Operator Workstations, Historian, Engineering Stations. Diese Systeme steuern und überwachen die Wasseraufbereitung und -verteilung.
Fernwirktechnik: RTUs an den Außenstationen, Kommunikationsinfrastruktur (Router, Modems, VPN-Gateways). Diese Ebene bildet die Brücke zwischen der zentralen OT und den dezentralen Anlagen.
Empfohlene Netzwerksegmentierung:
| Zone | Systeme | Schutzmaßnahmen |
|---|---|---|
| Enterprise (IT) | ERP, E-Mail, GIS, Internet | Standard-IT-Sicherheit, Firewall, Endpoint-Protection |
| DMZ | Historian (Datenbereitstellung für IT), Patch-Server, Remote-Access-Gateway | Application-Level-Firewall, keine direkten IT-OT-Verbindungen |
| Prozess-OT | SCADA-Server, Operator Workstations, Engineering | Strikte Zugriffskontrolle, kein Internetzugang, eigene Domäne |
| Fernwirktechnik | RTUs, Kommunikationsinfrastruktur | VPN-verschlüsselte Verbindungen, Authentifizierung, Monitoring |
| Safety | Sicherheitsgerichtete Steuerungen (Chlor-Dosierung, Notabschaltung) | Physisch getrennt, kein Fernzugriff |
Absicherung der Fernwirktechnik
Die Fernwirktechnik ist das verwundbarste Element der OT-Infrastruktur in der Wasserwirtschaft, weil die Kommunikation über öffentliche Netze laufen kann und die Außenstationen physisch schwer zu schützen sind.
Empfohlene Maßnahmen:
- VPN-Verschlüsselung: Alle Fernwirkverbindungen über öffentliche Netze (DSL, Mobilfunk) müssen durch VPN-Tunnel geschützt werden
- Authentifizierung: Jede RTU muss sich gegenüber dem SCADA-System authentifizieren (zertifikatsbasiert oder vergleichbar)
- Firewall an jeder Außenstation: Auch wenn die RTU in einem VPN-Tunnel kommuniziert, sollte eine lokale Firewall den Datenverkehr auf die notwendigen Protokolle und Ports beschränken
- Monitoring der Fernwirkverbindungen: Ungewöhnlicher Datenverkehr (unbekannte Protokolle, ungewöhnliche Datenmengen, Verbindungsversuche außerhalb der definierten Parameter) muss erkannt und alarmiert werden
- Physische Sicherheit der Außenstationen: Zutrittskontrolle (Schlösser, Alarmanlagen), Manipulationsschutz für Schaltschränke, Kameraüberwachung an kritischen Standorten
- Fallback-Fähigkeit: RTUs müssen so konfiguriert sein, dass sie bei Verlust der Verbindung zur Leitwarte autonom weiterarbeiten können (lokale Steuerungslogik, Alarmierung über alternative Wege)
Wasserqualitätsüberwachung schützen
Die Online-Analysegeräte für die Trinkwasserqualität sind besonders schützenswert, weil ihre Manipulation direkte Auswirkungen auf die Gesundheit der Verbraucher haben kann.
- Physische Trennung der Analysegeräte vom SCADA-Netz: Die Messwerte fließen über dedizierte Kanäle ins SCADA-System, aber die Analysegeräte sind nicht direkt vom SCADA-Netz aus konfigurierbar
- Plausibilitätsprüfungen: Automatische Prüfung, ob Messwerte innerhalb physikalisch plausibler Bereiche liegen. Ein pH-Wert, der innerhalb von Sekunden von 7 auf 12 springt, ist physikalisch nicht plausibel und sollte einen Alarm auslösen
- Manuelle Kontrollmessungen: Regelmäßige manuelle Probenahmen und Laboranalysen als Gegenprüfung zur Online-Überwachung
- Unabhängige Dosierüberwachung: Die Chemikaliendosierung (Chlor, Flockungsmittel) sollte über eine unabhängige Messung überwacht werden, die nicht vom selben SCADA-System gesteuert wird
Praxisbeispiel: Wasserversorger mit 65 Mitarbeitern
Ausgangslage:
Die Wasserwerk Flusstal GmbH (fiktives Beispiel) ist ein kommunaler Wasserversorger und Abwasserbetrieb mit Sitz in Rheinland-Pfalz. 65 Mitarbeiter, 14 Millionen Euro Jahresumsatz. Das Unternehmen versorgt eine Stadt mit 80.000 Einwohnern mit Trinkwasser und betreibt die Abwasserentsorgung einschließlich einer Kläranlage mit 120.000 Einwohnerwerten.
Die IT- und OT-Infrastruktur:
- SCADA-System: COPA-DATA zenon, zwei redundante Server in der Leitwarte, 4 Operator Workstations
- Außenstationen: 22 RTUs (Siemens SICAM A8000) an Brunnen, Hochbehältern und Pumpwerken. Kommunikation über DSL (14 Stationen) und Mobilfunk 4G (8 Stationen)
- Kläranlage: Eigenes Prozessleitsystem (Siemens PCS 7), 8 PLCs für die Steuerung der Reinigungsstufen
- Wasserqualitätsüberwachung: 6 Online-Analysestationen (pH, Trübung, Chlor, Leitfähigkeit) an Wasserwerk und Netzeinspeisung
- ERP-System: Branchenlösung (Schleupen, On-Premise), Abrechnung, Kundenverwaltung, Materialwirtschaft
- GIS: Geoinformationssystem für das Leitungsnetz (Smallworld)
- Server-Infrastruktur: 6 Server (SCADA, Kläranlage-PCS, ERP, Fileserver/AD, GIS, Backup)
- Arbeitsplätze: 25 PCs (Leitwarte, Verwaltung, Labor, Kläranlage)
- Laborgeräte: Für die Eigenüberwachung nach Trinkwasserverordnung und Abwasser-Eigenüberwachungsverordnung
Die IT wird von einem IT-Verantwortlichen und einem Automatisierungstechniker betreut. Ein externes Systemhaus übernimmt Server-Wartung und Netzwerkmanagement. Ein ISMS existiert nicht. Die Versorgungs-Schwelle für KRITIS (500.000 versorgte Personen) wird nicht erreicht, d.h. das Unternehmen war bisher nicht als KRITIS-Betreiber reguliert.
Phase 1: Bestandsaufnahme und regulatorische Einordnung (Monat 1-2)
Betroffenheitsanalyse: Wasserwerk Flusstal fällt mit 65 Mitarbeitern und 14 Millionen Euro Umsatz unter NIS2. Trinkwasser und Abwasser sind in Anhang I gelistet. Einstufung: wesentliche Einrichtung. Das bedeutet proaktive BSI-Aufsicht, obwohl das Unternehmen bisher nicht als KRITIS reguliert war.
Regulatorische Bestandsaufnahme: Neben NIS2 unterliegt Wasserwerk Flusstal folgenden Regelwerken: Trinkwasserverordnung (TrinkwV), Wasserhaushaltsgesetz (WHG), Abwasser-Eigenüberwachungsverordnung des Landes, Kommunalabgabengesetz (für die Gebührenerhebung), DSGVO (Kundendaten), Betriebssicherheitsverordnung.
ISB benennen: Der IT-Verantwortliche übernimmt die ISB-Rolle mit 50 Prozent Zeitanteil. Da das Unternehmen bisher kein ISMS hatte, wird ein externer Berater mit OT-Sicherheitsexpertise für die initiale Einführung engagiert.
Asset-Inventar erstellen:
| Kategorie | Anzahl | Kritischstes Asset |
|---|---|---|
| SCADA-Server | 2 (redundant) | SCADA-Hauptserver (zenon) |
| Außenstationen (RTUs) | 22 | RTUs an Hauptbrunnen und Wasserwerk |
| Kläranlage-PCS | 1 System, 8 PLCs | PCS 7 der Kläranlage |
| Wasserqualitäts-Analysatoren | 6 | Chlor-Dosierüberwachung am Wasserwerk |
| IT-Server | 4 | ERP (Schleupen), Active Directory |
| Kommunikationsinfrastruktur | 22 VPN-Router | DSL/Mobilfunk-Anbindung der Außenstationen |
| Arbeitsplätze | 25 | Operator Workstations Leitwarte |
Besondere Feststellung: Von den 22 Außenstationen sind 8 über Mobilfunk (4G) angebunden. Die VPN-Router an diesen Stationen stammen aus dem Jahr 2018 und nutzen ein veraltetes VPN-Protokoll. Drei Außenstationen haben noch keine VPN-Verschlüsselung, sondern kommunizieren über eine direkte Mobilfunkverbindung mit dem SCADA-System. Zwischen dem SCADA-Netz und dem Office-Netz besteht eine Firewall, aber die Regelwerke wurden seit der Erstinstallation 2019 nicht überprüft.
Phase 2: Risikoanalyse (Monat 3-4)
| Risiko | Auswirkung auf Versorgung | Auswirkung auf Gesundheit/Umwelt | Bewertung |
|---|---|---|---|
| Manipulation der Chlordosierung | Desinfektion unwirksam oder Überdosierung | Direkte Gesundheitsgefahr für 80.000 Verbraucher | Kritisch |
| Ransomware verschlüsselt SCADA | Keine zentrale Steuerung und Überwachung | Außenstationen laufen autonom, aber ohne Monitoring | Kritisch |
| Kompromittierung einer RTU über Mobilfunk | Unbefugte Steuerung der betroffenen Außenstation | Pumpenausfall, Druckverlust, lokale Versorgungsunterbrechung | Hoch |
| Ausfall der Kläranlage | Unbehandelt eingeleitetes Abwasser | Gewässerverschmutzung, Umweltschaden | Kritisch |
| Manipulation der Wasserqualitätsdaten | Grenzwertüberschreitungen werden nicht erkannt | Kontaminiertes Wasser im Netz | Kritisch |
| Ransomware auf ERP | Abrechnung und Kundenverwaltung nicht verfügbar | Kein direkter Versorgungseffekt | Mittel |
| Kompromittierung des Fernwartungszugangs | Unbefugter Zugriff auf SCADA und Kläranlage | Prozessmanipulation möglich | Kritisch |
Besonders kritisch identifiziert: Die drei Außenstationen ohne VPN-Verschlüsselung und die fehlende Segmentierung der Wasserqualitätsüberwachung. Diese Risiken werden mit höchster Priorität adressiert.
Phase 3: Technische Maßnahmen (Monat 5-8)
Fernwirktechnik absichern (Monat 5-6, höchste Priorität):
- Alle 22 Außenstationen erhalten aktuelle VPN-Router mit IPsec-Verschlüsselung. Die drei unverschlüsselten Verbindungen werden sofort auf VPN umgestellt.
- Die 8 Mobilfunk-Stationen erhalten SIM-Karten mit fester APN und privatem IP-Adressraum statt öffentlicher IP-Adressen
- Firewall-Regeln an jedem VPN-Router: Nur IEC 60870-5-104 auf den definierten Ports, alles andere wird blockiert
- Monitoring: Jede Fernwirkverbindung wird überwacht. Verbindungsabbrüche, ungewöhnliche Datenmengen und Verbindungsversuche von unbekannten Quellen werden alarmiert
Netzwerksegmentierung IT/OT (Monat 6-7):
- Die bestehende Firewall zwischen IT und OT wird mit aktualisierten Regelwerken konfiguriert: Nur definierte Datenflüsse (Historian-Replikation, Patch-Distribution) werden zugelassen
- Eine DMZ wird eingerichtet: Der Historian-Server wird in die DMZ verschoben und empfängt Daten aus dem OT-Netz, stellt sie aber dem IT-Netz nur lesend zur Verfügung
- Die Kläranlage erhält ein eigenes Netzwerksegment, getrennt vom Wasserversorgungs-SCADA
- Engineering Workstations für SCADA und Kläranlage werden in ein eigenes Segment gestellt, das nur bei Bedarf aktiviert wird
Wasserqualitätsüberwachung härten (Monat 7):
- Die Online-Analysatoren werden in ein eigenes Mikrosegment gestellt
- Plausibilitätsprüfungen werden im SCADA-System konfiguriert: Automatischer Alarm bei physikalisch unplausiblen Wertänderungen
- Die Chlordosierung erhält eine unabhängige Überdosierungsschutzfunktion, die hardwarebasiert (SIL-zertifiziert) arbeitet und nicht vom SCADA-System beeinflusst werden kann
- Manuelle Kontrollmessungen werden dokumentiert und mit den Online-Werten abgeglichen (automatisierter Vergleich im LIMS)
Fernwartung absichern (Monat 7-8):
- Zentraler Jump-Host in der DMZ für alle Fernwartungszugänge (SCADA-Hersteller, Kläranlage-Hersteller, Analysegeräte-Hersteller)
- Fernwartung nur bei Bedarf aktiviert, vier-Augen-Prinzip (Anforderung durch Hersteller, Freigabe durch IT oder Automatisierung)
- Session-Recording für alle Fernwartungssitzungen
- MFA für Fernwartungszugänge
Backup und Recovery (Monat 8):
- SCADA-Konfiguration: Wöchentliches Backup, Offline-Kopie
- RTU-Konfigurationen: Sicherung aller 22 RTU-Parametrierungen, Ablage im Offline-Backup
- Kläranlage-PCS: Wöchentliches Backup der SPS-Programme und Parametrierungen
- ERP: Tägliches Backup mit Offsite-Kopie
- RTO-Ziele: SCADA 4 Stunden (Redundanz-Failover sofort, Backup-Restore 4h), Kläranlage 8 Stunden, ERP 24 Stunden
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm:
- Alle Mitarbeiter: 30-Minuten-Modul zu Cyberhygiene, integriert in die jährliche Unterweisung
- Leitwartenteam: Vertiefung zum Erkennen ungewöhnlicher Prozesszustände, die auf Manipulation hindeuten. Klare Anweisung: Bei Verdacht auf Manipulation sofort die manuelle Probenahme auslösen und im Zweifel die betroffene Versorgungszone absperren
- Automatisierungstechniker und IT: OT-Sicherheit, Fernwirktechnik-Absicherung, IEC 62443
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, proaktive BSI-Aufsicht
- Bereitschaftsdienst: Integration der BSI-Meldepflichten in den bestehenden Bereitschaftsdienst (24/7-Erreichbarkeit)
Lieferantenbewertung:
| Lieferant | Besondere Anforderungen |
|---|---|
| COPA-DATA (SCADA zenon) | Patch-Zyklen, Fernwartungssicherheit, Lebenszyklusplanung |
| Siemens (RTUs, Kläranlage-PCS) | Firmware-Updates, Sicherheitsadvisories, Migration PCS 7 |
| Analysegeräte-Hersteller | Kalibrierung, Fernwartungssicherheit, Firmware-Updates |
| VPN-Router-Hersteller | Firmware-Updates, Sicherheitszertifizierung |
| Externes Systemhaus | NIS2-Klauseln, Reaktionszeiten, OT-Kompetenz |
| Mobilfunkanbieter | Verfügbarkeit, private APN, SIM-Management |
Business-Continuity-Plan:
| System | RTO | Notfallverfahren |
|---|---|---|
| SCADA | Sofort (Redundanz) / 4 Stunden (Backup) | RTUs laufen autonom, manuelle Überwachung per Bereitschaftsdienst |
| Fernwirkverbindungen | 2 Stunden (Router-Tausch) | Lokaler Betrieb der Außenstationen, manuelle Kontrolle |
| Kläranlage-PCS | 8 Stunden | Manuelle Steuerung der Reinigungsstufen durch Klärwärter |
| ERP | 24 Stunden | Keine Auswirkung auf Wasserversorgung, Abrechnung nachholen |
| Wasserqualitäts-Monitoring | Sofort (redundante Analysatoren) / 4 Stunden | Manuelle Probenahme alle 4 Stunden |
Tabletop-Übung: Szenario: Ein Angreifer hat über eine kompromittierte Mobilfunk-RTU Zugang zum SCADA-System erlangt und versucht, die Chlordosierung am Wasserwerk zu verändern. Der Automatisierungstechniker bemerkt ungewöhnliche Schreibbefehle im Fernwirk-Monitoring. Ergebnis: Der Automatisierungstechniker isoliert die betroffene RTU innerhalb von 10 Minuten. Die unabhängige Überdosierungsschutzfunktion hat die Chlordosierung im sicheren Bereich gehalten. Die Leitwarte löst eine manuelle Probenahme aus und bestätigt die Trinkwasserqualität. Die BSI-Meldung wird innerhalb von 6 Stunden abgegeben. Verbesserungspotenzial: Die automatische Erkennung ungewöhnlicher Schreibbefehle sollte einen sofortigen Alarm auslösen, nicht nur einen Log-Eintrag.
Phase 5: Audit und kontinuierliche Verbesserung (Monat 10-12)
Internes Audit:
Feststellungen:
- Zwei RTUs an Brunnen im Außenbereich haben keine physische Zutrittssicherung (nur ein einfaches Vorhängeschloss). Korrekturmaßnahme: Elektronische Zutrittskontrolle nachrüsten, Manipulationsschutz für Schaltschränke.
- Die Kläranlage nutzt noch drei SPS-Steuerungen auf einer Firmware-Version von 2019. Korrekturmaßnahme: Firmware-Update im nächsten geplanten Stillstand (Jahreswartung).
- Die Plausibilitätsprüfung im SCADA-System funktioniert, aber die Alarmierung geht nur an den Bildschirm in der Leitwarte, nicht an den Bereitschaftsdienst. Korrekturmaßnahme: SMS/App-Alarmierung für den Bereitschaftsdienst einrichten.
BSI-Registrierung: Wasserwerk Flusstal registriert sich beim BSI als wesentliche Einrichtung in den Sektoren Trinkwasser und Abwasser.
Management-Review: Die Geschäftsführung genehmigt den Restrisiko-Katalog und das Budget für das Folgejahr (Schwerpunkt: Nachrüstung der RTU-Zutrittssicherung, Ausbau des OT-Monitorings).
Budget-Übersicht
| Position | Einmalig (Jahr 1) | Jährlich (ab Jahr 2) |
|---|---|---|
| Externe Beratung (ISMS + OT-Security) | 35.000-50.000 € | 10.000-15.000 € |
| VPN-Router Austausch/Nachrüstung (22 Stk.) | 15.000-25.000 € | 2.000-3.000 € |
| Netzwerksegmentierung IT/OT | 12.000-18.000 € | 2.000-3.000 € |
| Fernwirk-Monitoring | 10.000-15.000 € | 4.000-6.000 € |
| Fernwartungs-Absicherung (Jump-Host) | 5.000-8.000 € | 2.000-3.000 € |
| Chlor-Überdosierungsschutz (Hardware) | 8.000-12.000 € | 1.000-2.000 € |
| Schulungen | 5.000-8.000 € | 3.000-5.000 € |
| ISB-Zeitanteil (intern, 50 %) | 28.000-32.000 € | 28.000-32.000 € |
| Gesamt | 118.000-168.000 € | 52.000-69.000 € |
Zum Vergleich: ISMS Lite kostet 500 Euro im Jahr und deckt Risikomanagement, Maßnahmentracking, Richtlinien und Audit-Dokumentation in einem Tool ab, ohne Seat-Lizenzen.
Was du jetzt tun solltest
Wenn du einen Wasserversorger oder Abwasserbetrieb leitest und NIS2 umsetzen musst, sind folgende erste Schritte entscheidend:
-
Fernwirkverbindungen sofort prüfen. Sind alle Verbindungen zu Außenstationen verschlüsselt? Gibt es noch ungeschützte Mobilfunk- oder DSL-Verbindungen? Die Absicherung der Fernwirktechnik ist die dringendste Einzelmaßnahme.
-
SCADA und Office-Netz trennen. Wenn dein SCADA-System direkt mit dem Office-Netz verbunden ist, muss eine Firewall mit restriktiven Regeln dazwischen. Eine Ransomware, die über eine Phishing-Mail ins Office-Netz gelangt, darf nicht bis zum SCADA-System vordringen.
-
Wasserqualitätsüberwachung schützen. Die Online-Analysatoren und die Dosiersteuerung sind die schützenswertesten Assets, weil ihre Manipulation die Gesundheit der Bevölkerung gefährdet. Plausibilitätsprüfungen und unabhängige Sicherheitsfunktionen sind unverzichtbar.
-
Proaktive BSI-Aufsicht ernst nehmen. Als wesentliche Einrichtung kann das BSI jederzeit Nachweise anfordern. Das ist neu für Wasserversorger, die bisher nicht KRITIS-reguliert waren. Ein ISMS, das nur auf dem Papier existiert, wird einer BSI-Prüfung nicht standhalten.
Die Wasserwirtschaft trägt eine Verantwortung, die über die reine Compliance hinausgeht. Trinkwasser ist das Lebensmittel Nummer eins, und die Abwasserentsorgung schützt die Umwelt und die öffentliche Gesundheit. Ein ISMS, das diese Verantwortung ernst nimmt, schützt nicht nur vor Bußgeldern, sondern vor den Konsequenzen, die ein erfolgreicher Cyberangriff auf die Wasserinfrastruktur hätte.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- NIS2 für Energieversorger und Stadtwerke
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Netzwerksegmentierung im Mittelstand: Praxisleitfaden für KMU
- Business Impact Analyse (BIA): So bewertest du die Kritikalität deiner Geschäftsprozesse