Angriffswarnung: Massive IT-Sicherheitslücken in Berliner Wasserbetrieben

Sicherheitstester halten einen erfolgreichen schweren Cyberangriff gegen den landeseigenen Betrieb mit Zusammenbruch der Abwasserentsorgung für wahrscheinlich.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 71 Beiträge

Schematische Darstellung eines Mischsystems, in dem Schmutz- und Niederschlagswasser gemeinsam durch einen Kanal abgeleitet werden.

(Bild: bwb.de)

Von
  • Stefan Krempl

Die Berliner Wasserbetriebe (BWB) sind unzureichend vor Angriffen auf ihre IT-Systeme sowie auf andere kritische technische Anlagen geschützt. Das sagt die Cybersicherheitsfirma Alpha Strike Labs in einer Security-Analyse, heißt es in einem Zeitungsbericht. Die Experten stellten demnach in den Bereichen IT und Abwasser über 30 Schwachstellen fest.

Acht Mängel stuften die von dem landeseigenen Betrieb beauftragten Tester laut Tagesspiegel als "kritisch" ein, neun als "hoch". Der IT-Sicherheitszustand der BWB sei insgesamt mangelhaft und die aktuelle Gefährdungslage hoch.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Böswillige Hacker könnten erfolgreich und schwerwiegend die IT sowie das Leit- und Informationssystem Abwasser (Lisa) angreifen, heißt es. Berlins Abwasserentsorgung könne für mehrere Wochen zusammenbrechen. Besonders gefährdet seien die Firewalls. Deren Konfiguration sei "fehlerhaft, lückenhaft und nicht nachvollziehbar", meint Alpha Strike.

Auch würden die technischen Zugriffssicherungen nicht regelmäßig überprüft. Eine besonders sensible Schnittstelle zwischen Netzwerken sei nur unzureichend geschützt. Durch Schwachstellen im E-Mail-System könnten Angreifer auch BWB-Rechner mit Computerviren und Trojanern infizieren.

Der physische Schutz von Pumpwerken reiche nicht aus. Das sind teilweise auch Kästen an Straßen. In einem Fall hätte ein Übeltäter einen solchen mit der Hand aufbrechen und in größere Schaltsysteme eindringen können.

Die Untersuchung haben die Wasserbetriebe im April 2019 angefordert, nachdem sensible Daten zu Lisa an ein externes Unternehmen gelangt seien. Die Ergebnisse zeigten laut BWB-Chef Jörg Simon, "in welchem ständigen Wettlauf wir heute mit der Schwerstkriminalität bis hin zu organisiertem Cyberterrorismus stehen".

Die BWB teile nicht alle Schlussfolgerungen und halte manches für übertrieben. Pumpwerke etwa könnten von der Automatisierungstechnik getrennt und von Hand gesteuert werden. Trotzdem blieben viele Hausaufgaben zu erledigen. Alle begehbaren Pumpwerke erhielten zusätzlich zu Türkontakten Bewegungsmelder. Eine Übersicht zu den Standorten findet sich nicht mehr auf der BWB-Webseite.

In einem "umfangreichen Sofortmaßnahmenprojekt" soll ein Teil der schwerwiegenden Mängel bis Ende Juli behoben sein. Für den Rest gebe es ein fertiges Konzept, das schrittweise umgesetzt werde. Laut Insidern muss die IT-Sicherheitsarchitektur komplett umgebaut werden, das dürfte mindestens zwei Jahre dauern.

Die für die BWB zuständige Wirtschaftssenatorin und Aufsichtsratsvorsitzende Ramona Pop von den Grünen betonte gegenüber der Zeitung, die Sicherheit der IT-gestützten Systeme habe "oberste Priorität bei den Organen der Gesellschaft". Der Aufsichtsrat überwache die erforderlichen Schritte und stehe dem Vorstand "gleichfalls beratend zur Seite".

Betreiber kritischer Infrastrukturen müssen laut dem IT-Sicherheitsgesetz des Bundes Mindeststandards einhalten. Die Schwelle liegt bei Wasserwerken momentan bei einer Versorgung von mindestens 500.000 Menschen. Kritiker drängen das zuständige Bundesinnenministerium dazu, den Wert abzusenken.

(anw)