foto magnific

Wenn man an Cyberkrieg denkt, kommen einem Wasserversorgungsunternehmen nur selten als Ziel in den Sinn. In den letzten Jahren jedoch, und insbesondere im Zusammenhang mit den Kriegen in der Ukraine und im Iran, gehörten sie zu den am stärksten in den Fokus geratenen Sektoren der kritischen Infrastruktur.

Management Summary

Wasserversorger geraten zunehmend ins Fadenkreuz staatlicher und krimineller Akteure: Fälle aus Dänemark, Norwegen, Polen und den USA zeigen, dass Angriffe längst reale physische Schäden verursachen – von Rohrbrüchen bis zu geöffneten Schleusen.
Fragmentierte Strukturen und fehlende Sicherheitsmaßnahmen erhöhen das Risiko: Über 70.000 Wasserversorger in Europa – viele davon klein, unterfinanziert und ohne ausreichende Cyberabwehr. Default‑Passwörter, offene Schnittstellen und mangelnde Netztrennung sind weit verbreitet.
NIS2 und KRITIS‑Dachgesetz verschärfen die Anforderungen: Betreiber müssen Risikobewertungen, Lieferkettenkontrollen und schnelle Meldeprozesse etablieren. Dennoch haben erst rund die Hälfte der EU‑Staaten NIS2 vollständig umgesetzt.
Resilienz beginnt mit Transparenz und technischer Basisarbeit: Inventarisierung aller OT‑Assets, strikte Trennung von IT/OT, MFA, Austausch von Default‑Credentials und überwachte Fernzugänge sind zentrale Maßnahmen zur Risikoreduktion.
Kontinuierliche Überwachung und Notfallfähigkeit sind entscheidend: ML‑gestützte OT‑IDS, dokumentierte Wiederherstellungsprozesse und physische Sicherheit der Anlagen bilden ein mehrschichtiges Schutzsystem gegen Cyber‑ und physische Angriffe.

Das Problem von Cyberangriffen ist besonders in Dänemark akut, wo im vergangenen Winter Hacker die Kontrolle über ein regionales Wasserwerk erlangten, den Pumpendruck erhöhten und Rohrbrüche verursachten. Dadurch waren Dutzende Haushalte stundenlang ohne Wasser. Nur wenige Monate zuvor hatten Angreifer in Norwegen die Schleusen eines Wasserkraftwerks für vier Stunden geöffnet. Im August 2025 kam es laut der Regierung in Polen zu einer ähnlichen Situation, als die Wasserversorgung einer großen Stadt durch einen Cyberangriff fast unterbrochen worden wäre.

In Deutschland gab es bisher noch keine bekannt gewordenen, erfolgreich ausgeführten Hackerangriffe auf Wasserwerke. Die Bedrohungslage ist allerdings hoch, laut datensicherheit.de verzeichnete die Energie- und Versorgungsbranche 2025 durchschnittlich 1872 wöchentliche Angriffsversuche pro Unternehmen.

Die Gefahr, dass so etwas auch in Deutschland passiert, ist entsprechend allgegenwärtig. Die Angreifer finden eine stark fragmentierte Branche vor, Sicherheitslücken sind weit verbreitet und vielfach fehlen Cyberabwehrmaßnahmen. Sobald sie diese ausnutzen, können sie enorme Schäden anrichten oder Lösegeld erpressen.

Eine Vielzahl an Motiven

Gründe für Angriffe auf Wasserversorger gibt es viele: Dazu zählen Erpressung und das Schüren von Unsicherheit und Chaos.

Kriminelle Cybergangs greifen Versorgungsunternehmen mit Ransomware an, um wichtige Daten zu stehlen. Ihre Angriffe auf Wasserversorger richteten sich vor allem gegen die IT-Systeme der Unternehmen und zielten nicht auf physische Schäden ab: Dies war beispielsweise beim Angriff auf American Water im Oktober 2024 der Fall, einem der größten US-Wasserversorger.

Staatlich geförderte und ideologisch motivierte Akteure greifen Wasserversorgungsnetze dagegen an, um eine psychologische Wirkung zu erzielen. Zu den Zielen können physische Schäden wie Überschwemmungen oder Druckverluste gehören: Dies war beispielsweise bei einem Angriff auf einen irischen Energieversorger im Jahr 2023 durch die mit dem Iran verbundene Gruppe »Cyber Av3ngers« der Fall. Ähnlich gelagert war der russische Angriff auf eine Anlage in Texas im Jahr 2024, bei dem ein Tank mit Zehntausenden Litern Wasser überlief.

Auch Vergiftungsangriffe sind denkbar und schon probiert worden: Im Jahr 2020 versuchten angeblich mit dem Iran in Verbindung stehende Hacker, den Chlorgehalt in israelischen Wasseraufbereitungsanlagen zu erhöhen, doch ihr Vorhaben wurde vereitelt. Im Jahr 2023 tauchten in Oldsmar, Florida, Berichte auf, wonach ein Eindringling den Natriumhydroxidgehalt in einer Kläranlage aus der Ferne um mehr als das Hundertfache erhöht habe und nur gestoppt werden konnte, weil ein Mitarbeiter die Veränderung in Echtzeit bemerkte ‒ die tatsächlichen Umstände des Vorfalls sind jedoch umstritten.

Im Gegensatz zu kriminellen Banden zielen staatliche Akteure eher auf Schnittstellen ab, die über entsprechende Kommandos unmittelbar physische Auswirkungen zeigen: Dies gilt beispielsweise für speicherprogrammierbare Steuerungen (SPS), die Pumpendrehzahlen und Ventilzustände regeln. Diese Angriffe sind möglich, weil Standard-Sicherheitsmaßnahmen fehlen, die etwa Default-Passwörter überschreiben und Steuerungsschnittstellen konsequent vom Internet abschotten.

Strengere gesetzliche Regelungen

Um diesen potenziellen Bedrohungen zu begegnen, verlangen Gesetzgeber von KRITIS-Unternehmen deutlich mehr Anstrengungen. Die europäische NIS2-Richtlinie, die in Deutschland Ende 2025 in Kraft getreten ist, stuft die Wasserversorgung als kritisch ein, was eine Reihe von Verpflichtungen mit sich bringt: Betreiber müssen dokumentierte Risikobewertungen durchführen, Kontrollen der Lieferkette einrichten und schwerwiegende Vorfälle innerhalb von 24 Stunden nach ihrer Feststellung melden, gefolgt von einem vollständigen Bericht innerhalb von 72 Stunden. Komplett umgesetzt haben die NIS2-Richtlinie erst knapp die Hälfte aller EU-Staaten, darunter Deutschland, Belgien und Italien.

NIS 2 ist weitgehend ergebnisorientiert und weniger vorschreibend; die Richtlinie ermutigt Versorgungsunternehmen, auf etablierte Rahmenwerke wie ISO 27001 oder die industrielle Sicherheitsnorm IEC 62443 zurückzugreifen, ohne jedoch konkrete Kontrollmaßnahmen vorzuschreiben. NIS 2 konzentriert sich dabei primär auf die Cybersicherheit kritischer Infrastrukturen. Mit dem KRITIS-Dachgesetz hat Deutschland im März 2026 noch ein zweites Paket beschlossen, das vor allem die physische Resilienz von Versorgern verbessern soll. Diese Gesetze gelten aber erst für Versorger mit einer gewissen Mindestgröße.

Trotz bestehender regulatorischer Vorgaben bleiben die strukturellen Herausforderungen bei der Verbesserung der Cybersicherheit in der gesamten Branche erheblich. Zum einen ist der Wassersektor außerordentlich fragmentiert: In Europa gibt es mehr als 70.000 Wasserversorger (in den USA sind es sogar rund 150.000). Ein Viertel der kleineren Betreiber gibt an, über kaum oder keine Kapazitäten zur Umsetzung von Cybersicherheitsmaßnahmen zu verfügen.

Wie Wasserversorger sich resilienter aufstellen können

Ein wirksamer Schutz der Wasserinfrastruktur beginnt damit, sich einen umfassenden Überblick darüber zu verschaffen, was tatsächlich im Netzwerk läuft. Vielen Versorgungsunternehmen fehlt ein vollständiges Bild ihrer operativen Anlagen (SPS, Mensch-Maschine-Schnittstellen, Sensoren). Das macht es unmöglich, Sicherheitsrisiken einzuschätzen oder Patches zu priorisieren. Die Erfassung der Anlagen bildet deshalb die Grundlage für alle weiteren Maßnahmen. Darauf aufbauend werden die operativen Netzwerke konsequent von den IT-Systemen des Unternehmens getrennt – durch strenge Firewalls und klar definierte, überwachte Datenkanäle.

Ebenso wichtig wie die Netzwerkarchitektur ist die Zugriffskontrolle. Durch die Kombination aus Multi-Faktor-Authentifizierung und kontrollierten Gateways für den Fernwartungszugriff sowie den Austausch aller Default-Anmeldedaten von allen exponierten Geräten lässt sich ein erheblicher Teil der Angriffsfläche beseitigen.

Der dritte Schritt ist die kontinuierliche Überwachung: Industrielle Intrusion-Detection-Systeme, die auf das Normalverhalten von Pumpen, Druckverläufen und Chemikalienzugabemengen trainiert sind, können Anomalien aufdecken, die kein menschlicher Bediener in Echtzeit erkennen würde. Moderne OT-Sicherheitsplattformen nutzen maschinelles Lernen, um Netzwerk-Telemetriedaten mit Anlagendaten zu verknüpfen, und bieten so gleichzeitig Transparenz sowohl auf der IT- als auch auf der operativen Ebene.

Oft fehlt es Versorgern auch an den Fähigkeiten, auf Angriffe schnell und adäquat zu reagieren. Sie haben zwar oft in Erkennungs- und Monitoring-Maßnahmen investiert, es fehlen dann aber Pläne, wenn ein Angriff doch gelingt. Und dann müssen sie häufig unter enormem Druck improvisieren. Die Sicherung kritischer Prozesslogik und die Pflege dokumentierter Verfahren zur manuellen Steuerung sind daher unerlässlich, um sicherzustellen, dass ein erfolgreicher Angriff nicht auch die Fähigkeit zur Wiederherstellung beeinträchtigt.

Und zu guter Letzt: Oft ist die physische Sicherheit der Anlagen die letzte Verteidigungslinie, der oft zu wenig Beachtung geschenkt wird. Die besten Cyber-Abwehrmaßnahmen nützen nichts, wenn ein Angreifer leichten Zugang etwa zu einer Maschinensteuerung (SPS) bekommt. Erst durch die Kombination einer leistungsstarken OT-Überwachung, integrierter Bedrohungsinformationen und physischer Sensoren entsteht das Sicherheitsnetz, das Wasserversorgungsunternehmen benötigen, um sowohl Cyber- als auch physische Sicherheitsverletzungen zu verhindern.

Edgardo Moreno, Executive Industry Consultant bei Octave

foto (c) octave

Edgardo Moreno ist Executive Industry Consultant bei Octave. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Operational Technology (OT) und Cybersicherheit. Edgardo Moreno ist seit 2007 bei Octave tätig und hat in verschiedenen internationalen Rollen gearbeitet. Er besitzt einen Masterabschluss in Informatik von der Texas State University.

5421 Artikel zu „Sicherheit KRITIS“

News | Favoriten der Redaktion | IT-Security | Strategien | Tipps

Cybersicherheit: Vier kritische Bedrohungen erfordern dringenden Handlungsbedarf

3. Juni 2026

Mehrschichtige Sicherheitsstrategien können helfen, Bedrohungen durch Prompt-Injection-Angriffe, Deepfakes und Kompromittierung von KI-Anwendungen und Software-Lieferketten abzuwehren. Gartner, ein Unternehmen für Wirtschafts- und Technologieanalysen, hat vier kritische und schwer vorhersehbare Bedrohungen identifiziert, bei denen Angreifer derzeit einen deutlichen Vorteil haben und Schwachstellen in Unternehmen besonders erfolgreich ausnutzen können. Dazu zählen Deepfakes, die Kompromittierung von KI-Anwendungen, Prompt-Injection-Angriffe…