„Ergebnis habe ich in der Form nicht erwartet“: Chef der Berliner Wasserbetriebe spricht über Gutachten zu Sicherheitslücken
Ein Gutachten bescheinigt dem landeseigenen Unternehmen gravierende Schutzlücken bei IT und Pumpwerken. Vorstandschef Jörg Simon will Reformen. Ein Interview.
Herr Simon, wie nah war Berlin am Zusammenbruch der Entsorgung des Abwassers?
Die Abwasserentsorgung, deren potenzielle Angreifbarkeit wir selbst aus eigenem Antrieb haben überprüfen lassen, war zu keiner Zeit gefährdet.
Das Beraterunternehmen Alpha Strike hat aber im Mai im Gutachten nach dem zweiwöchigen Stresstest im Bereich Abwasser geschrieben, „wir bewerten den IT-Sicherheitszustand der Berliner Wasserbetriebe als mangelhaft“. Die Gefahr sei hoch, dass innerhalb der nächsten fünf Jahre ein Hackerangriff auf die IT und das Leit- und Informationssystem Abwasser zum mehrwöchigen Zusammenbruch der Abwasserentsorgung Berlins führen. Dazu benennt Alpha Strike mehr als 30 Sicherheitsmängel. Hat die Firma maßlos übertrieben?
Mit dem Leit- und Informationssystem Abwasser - kurz LISA - werden die Abwasserpumpwerke zentral gesteuert und deren Funktionsweise optimiert. Die meisten, insbesondere die großen Pumpwerke können auch vor Ort und ohne Verbindung zur Leitwarte gesteuert werden. Das Thema ist durchaus ernst, aber die Abwasserentsorgung Berlins würde bei einem Angriff nicht zusammenbrechen.
Alpha Strike hat jedoch dargestellt, dass Hacker die Lücken beim Schutz von Pumpwerken und in der IT-Sicherheit hätten nutzen können. War das für Sie kein Risiko?
Das ist ein Risiko, ohne Frage. Aber die Schlussfolgerung teilen wir nicht, da Pumpwerke im schlimmsten Fall auch von Hand gesteuert werden können.
Wie konnten sich über 30 Sicherheitsmängel anhäufen, von denen Alpha Strike acht als kritisch einstufte und neun als hoch?
Den Test haben wir selbst angestoßen. Das Ergebnis habe ich in der Form aber nicht erwartet. Wir haben bis dato alle Branchenstandards der IT-Sicherheit eingehalten - nach dem BSI-Gesetz und auch dem KRITIS-Testat, um nur zwei Beispiele zu nennen.
„Auf unsere Systeme wurden Angriffe versucht“
Warum mangelte es in der Vergangenheit bei den Wasserbetrieben an Wachsamkeit?
Wir waren immer wachsam. Deshalb ist auch nie etwas passiert, trotz versuchter Angriffe auf unsere Systeme. Aber das von uns in Auftrag gegebene Gutachten hat uns deutlich vor Augen geführt, dass wir unsere interne Organisation und Prozesse noch stärker auf Sicherheit ausrichten müssen.
Sie sind seit 1999 Vorstandsvorsitzender und kennen die Wasserbetriebe so gut wie sonst kaum jemand. Ab wann hatten Sie Hinweise auf wachsende Probleme bei der IT-Sicherheit und dem Leit- und Informationssystem Abwasser?
Wir haben uns im Jahr 2018 umfassend mit der Standardisierung der IT und Automatisierungstechnik unter anderem im Hinblick auf das Thema Sicherheit beschäftigt. Dabei sind wir auf Schwachstellen gestoßen, die abgearbeitet werden. Das Gutachten von Alpha Strike hat uns neue Erkenntnisse gebracht.
Welche sind das?
Das Gutachten von Alpha Strike hat uns zum Beispiel gezeigt, dass wir unsere Systeme stärker voneinander trennen und dass wir noch konsequenter sicherheitsrelevante Anlagen prüfen und austauschen müssen.
Was haben Sie unternommen, um die Sicherheit von IT und Abwasser vor dem Stress-Test von Alpha Strike zu verbessern?
Wir haben in den letzten Jahren bereits intensiv an der Sicherheit unserer Systeme gearbeitet. Das Thema Cybersicherheit hat in den vergangenen Jahren aber eine neue Qualität erreicht. Darauf haben wir zum Beispiel mit regelmäßigen Penetrationstests reagiert - wie dem von Alpha Strike. Parallel dazu haben wir uns mit den internen Prozessen und Schnittstellen im Zusammenhang mit dem Thema Cybersicherheit beschäftigt und hier einiges neu aufgesetzt. Gleichzeitig haben wir uns nach dem Sicherheitsstandard B3S der Wasserbranche zertifizieren lassen.
Wer ist aus Ihrer Sicht bei den Wasserbetrieben verantwortlich für die von Alpha Strike festgestellten Mängel und Risiken?
Das kann man nicht einer Person oder einem Bereich zuordnen. Wir werden die Aufgaben und Verantwortung stärker konzentrieren. Zu diesem Zweck haben wir zum Beispiel Beschäftigte der IT und der Cybersicherheit jetzt in einem Team zusammengefasst. Das Thema wird dadurch zentraler und unabhängiger von operativen Belangen des normalen Betriebes gesteuert.
Inwiefern?
In jedem Unternehmen sind Ressourcen begrenzt, deshalb müssen Aufgaben priorisiert werden. Das Thema Cybersicherheit muss sich aber aufgrund seiner herausragenden Bedeutung außerhalb dieser Logik bewegen - das ist eine wichtige Erkenntnis.
„Das hätte schneller gehen können“
Warum hat der Vorstand der Wasserbetriebe erst am 5. Juni, elf Tage nach dem Eingang der Analyse von Alpha Strike, Wirtschaftssenatorin Ramona Pop über die Ergebnisse informiert?
Das hätte schneller gehen können, aber Sie müssen die Abläufe verstehen. Alpha Strike kommt auf unsere Initiative von außen, untersucht zwei Wochen das Unternehmen und präsentiert am 25. Mai die Ergebnisse. Unsere Fachleute hatten zum Teil ein unterschiedliches Verständnis der Ergebnisse. Deshalb mussten wir den Experten zunächst die Möglichkeit geben, die Analyse intensiv mit Alpha Strike zu diskutieren, bevor wir als Vorstand uns ein abschließendes Bild gemacht haben. Im Nachgang wurde die Aufsichtsratsvorsitzende, Senatorin Ramona Pop, informiert.
Was unternehmen Sie, vor allem bei Personal und Struktur der Wasserbetriebe, um die Sicherheitsmängel zu beseitigen?
Die Beschäftigten der Wasserbetriebe haben das Thema Sicherheit immer mit großem Engagement betrieben. Und das Gute in der aktuellen Situation ist doch, dass wir das alles von uns aus tun und steuern. Derzeit arbeitet die von uns nach dem Gutachten eingesetzte Task Force mit hoher Intensität Maßnahme für Maßnahme ab. Parallel konzipieren wir die Verbesserungen, die mittelfristig in der IT-Architektur verändert werden und gehen diese Aufgaben ebenso konsequent an. Wir werden die Verantwortung für Sicherheitsthemen noch stärker bündeln und den Durchgriff der Sicherheitsverantwortlichen klarer definieren. Darüber hinaus wollen wir in puncto Sicherheitsarchitektur von anderen Branchen lernen, etwa dem Telekommunikations- oder Bankensektor. Die sind in diesem Punkt weiter. Diese Expertise werden wir uns zeitweise ins Haus holen.
„Wir werden unsere Systeme noch regelmäßiger stressen“
Wie beugen Sie nun Sicherheitsrisiken vor?
Neben den genannten Aspekten werden wir unsere Systeme noch regelmäßiger stressen, um sie widerstandsfähiger zu machen. Für dieses Jahr sind weitere Penetrationstests und die Rezertifizierung nach dem Branchenstandard geplant.
Aus Ihrem Unternehmen ist zu hören, die IT-Sicherheit der Wasserbetriebe müsse komplett umgebaut werden, um effektiv zu werden. Das dürfte zwei Jahre dauern...
Die einzelnen IT- und Automatisierungssysteme sind in den vergangenen Jahren stetig gewachsen und immer komplexer geworden. Unsere Kernaufgabe besteht nun darin, die komplexen IT-Strukturen so zu vereinheitlichen, dass Sicherheit darin systematisch und übergreifend verankert ist. Dieser Prozess kann durchaus ein bis zwei Jahre dauern.
War die IT- Sicherheit bei den Wasserbetrieben nicht systematisch organisiert?
Die IT der Berliner Wasserbetriebe ist nach der ISO 27001, einer relevanten Norm für Informationssicherheit, zertifiziert. Die IT-Sicherheit war und ist bei uns entsprechend systematisch organisiert. Heutzutage reicht es aber nicht, kritische Systeme nur umfassend technisch zu schützen. Sicherheit muss Teil der „DNA“ aller IT-Anwendungen sein und in jedem Schritt konsequent mitgedacht werden. Das ist ein Prozess für unser Unternehmen, der nicht von heute auf morgen gemacht ist. Diese Schritte gehen wir jetzt konsequent.
Der Geschäftsführer von Alpha Strike bescheinigt den Wasserbetrieben inzwischen Fortschritte und sagt, der Sicherheitszustand des Leit- und Informationssystems Abwasser sei wieder „befriedigend“. Das ist besser als mangelhaft, aber nicht gut. Wie lange wird es dauern, bis IT und Abwasser besser als nur befriedigend vor Angriffen von Hackern geschützt sind?
Wir konnten in den letzten zwei Monaten den Großteil der aufgezeigten Schwachstellen beseitigen. Wie gesagt, alles auf eigene Initiative. Jetzt gehen wir die Maßnahmen an, die zum Beispiel in der Fläche als Standard umgesetzt werden müssen. Das kostet Zeit und wird uns in sechs bis zwölf Monaten sichtbare Ergebnisse und weitere Verbesserungen bringen.
Weitere Betriebsteile sollen nun auch von einer externen Firma untersucht werden, darunter die Sicherheit der Trinkwasserversorgung. Was erwarten Sie?
Die Trinkwasserversorgung hat schon heute ein höheres Schutzniveau. Alpha Strike gibt an einigen Stellen in seinem Bericht auch Hinweise auf den Bereich der Trinkwasserversorgung. Diese Punkte haben wir uns bereits angesehen und entsprechend abgearbeitet.
Cyberkriminelle, darunter Hackergruppen russischer und weiterer ausländischer Geheimdienste, agieren immer professioneller. Welche Chance hat eine Kritische Infrastruktur wie die Wasserbetriebe, da mitzuhalten?
Die Technik und die Systeme entwickeln sich rasant weiter und damit auch die Bedrohungslage. Wir werden den Bereich der Cybersicherheit weiter ausbauen und noch häufiger als bisher externes Know-how hinzuziehen.
[Behalten Sie den Überblick: Jeden Morgen ab 6 Uhr berichten Chefredakteur Lorenz Maroldt und sein Team im Tagesspiegel-Newsletter Checkpoint über Berlins wichtigste Nachrichten und größte Aufreger. Kostenlos und kompakt: checkpoint.tagesspiegel.de]
Sie wollen Ihren im Juli 2021 auslaufenden Vertrag mit den Wasserbetrieben nicht verlängern. Warum hören Sie nach mehr als 20 Jahren an der Spitze der BWB auf?
Die Wasserbetriebe sind ein spannendes Unternehmen mit engagierten Beschäftigten. Aber nach 20 Jahren möchte ich gern noch einmal etwas Anderes machen.
Wann haben Sie sich zum Abschied von den Wasserbetrieben entschieden?
Ich habe mich schon vor etwa einem Jahr zu diesem Schritt entschieden und dies Anfang des Jahres unserer Aufsichtsratsvorsitzenden und einigen Aufsichtsratsmitgliedern mitgeteilt.
Wollte Senatorin Pop, dass Sie gehen - oder dass Sie bleiben?
Frau Pop hat mir signalisiert, dass sie gern mit mir weitergearbeitet hätte.
Jörg Simon ist seit 1999 Vorstandsvorsitzender der Berliner Wasserbetriebe. Seinen Führungsposten will er nach Ende seines Vertrages im Juli 2021 abgeben und das landeseigene Unternehmen verlassen.