Angriffe auf Wasserversorger, Stromerzeuger oder Krankenhäuser finden laufend statt. Bernd Geisler, Präsident des Landesamts für Sicherheit in der Informationstechnik, spricht im BR24-Interview von einem Dauerrauschen. Die Cyber-Angriffe erfolgten gießkannenartig. "Man versucht an vielen Stellen reinzukommen und hat vielleicht an einer Stelle Glück", befürchtet er. Welche Folgen hätte ein solcher Angriff? Einige Szenarien und Hintergründe.
Was droht bei einem Angriff auf die Wasserversorgung?
Szenario 1: Pumpen werden abgeschaltet. Das würde dazu führen, dass der Druck in den Leitungen nicht aufrechterhalten werden kann. Die Folge: Nicht aus jedem Wasserhahn kommt mehr Wasser. Das würde meist die Menschen in größeren Städten treffen, vor allem die, die in höheren Stockwerken wohnen. Aber auch auf dem Land kann es zum Problem werden, wenn man auf einem Berg oder Hügel wohnt. Denn auch hier braucht man Druck von Pumpen, um das Wasser nach oben zu leiten.
Im Video: Angriff auf unser Trinkwasser
Chemikalienzufuhr kann verändert werden
Szenario 2: Die Chemikalienzufuhr wird verändert. In Deutschland sind solche Fälle zwar nicht bekannt. Doch dass das im Ausland schon vorgekommen ist, macht Bernd Geisler, dem Präsidenten des LSI, Sorgen. Auch Franz Herrler, Werkleiter des Wasserzweckverbands Laber-Naab, ist alarmiert: "Ich halte es für fatal, wenn jemand in der Wasseraufbereitung ein Parameter verstellt, bei den PH-Wert-Messungen. Oder im Löschfall Feuerlöschpumpen ausschaltet." Herrler versorgt in seinem Zweckverband 12.500 Haushalte.
IT-Sicherheit bei kleineren Wasserversorgern nicht verpflichtend
Er hat sogar schon Erfahrung mit einem Cyberangriff. Doch er hatte Glück. Es handelte sich um einen guten Hacker. Um einen "weißen Ritter", wie die Fachleute sagen. "Der hat probiert, ob er reinkommt. Und er hat gesagt: Ihr seid nicht safe", so Herrler. Schaden habe der Hacker keinen angerichtet, aber an den Zweckverband appelliert: "Kümmert Euch um Euer System." Das war für den Werkleiter ein Warnschuss. Seitdem hat er viele Sicherheitsvorkehrungen getroffen und an einem Modellprojekt der Ostbayerischen Technischen Hochschule und des Landesamts für Sicherheit in der Informationstechnik teilgenommen. Doch was er mittlerweile in puncto IT-Sicherheit macht, macht er freiwillig.
Gesetzliche Vorgaben nur für drei bayerische Wasserversorger
Denn gesetzliche Vorgaben gibt es in Bayern nur für die großen Wasserversorger wie die Stadtwerke München, N-ERGIE Nürnberg und den Zweckverband Wasserversorgung Fränkischer Wirtschaftsraum. Für die anderen rund 2.100 Wasserversorger nicht. Der Präsident des Bayerischen Landesamts für Sicherheit in der Informationstechnologie hält viele kleine Wasserversorger für unzureichend gesichert: "Die haben vor Ort wenig Mitarbeiter, haben aber trotzdem gut vernetzte Systeme. Vielleicht auch noch aus dem Internet erreichbar. Aber mit Sicherheit keine IT-Spezialisten vor Ort.“
Schwellenwert für IT-Sicherheit gilt erst ab 500.000 Menschen
Doch warum sind in Bayern nur drei Wasserversorger gesetzlich verpflichtet, für ihre IT-Sicherheit zu sorgen? Der Grund: Es gibt einen gesetzlichen Schwellenwert, ab wann Wasserversorger zur kritischen Infrastruktur zählen. Der gilt aber nur für Versorger, die für mehr als 500.000 Menschen zuständig sind. IT-Sicherheitsexperten wie Manuel Atug stellen diesen Wert infrage. Es könne nicht sein, dass die große Mehrheit der Wasserversorger somit nicht relevant für den Staat sei, was Cybersicherheit betrifft. Die Staatsregierung antwortet auf BR24-Anfrage, genau wegen der Kleinteiligkeit sei die Wasserversorgung in Bayern sicher. Aber mittlerweile sind auch kleine Anlagen stark digitalisiert. Cybersicherheits-Experten befürchten, dass Angreifer gezielt viele kleine Anlagen hacken und sie lahmlegen könnten.
EU-Kommission: Vertragsverletzungsverfahren gegen Deutschland
Das Bundesinnenministerium verteidigt auf BR24-Anfrage ebenfalls den Schwellenwert. So viele Menschen könne man im Notfall über andere Wege versorgen. Doch Experten zufolge ist das nicht so einfach. Das Technische Hilfswerk z. B. kann mit Wasseraufbereitungsmaßnahmen pro Tag 4 bis 4,5 Millionen Liter Trinkwasser aufbereiten. Bei Attacken auf zwei große deutsche Städte kommen die Helfer schnell an ihre Kapazitätsgrenzen. Die EU-Kommission bescheinigt Deutschland, zu wenig beim Thema IT-Sicherheit zu tun. Seit Herbst läuft ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik.
Dieser Artikel ist erstmals am 29. Mai 2025 auf BR24 erschienen. Das Thema ist weiterhin aktuell. Daher haben wir diesen Artikel erneut publiziert.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht's zur Anmeldung!