Sicherheit der Wasserversorgung in Deutschland
der Abgeordneten Dr. Lukas Köhler, Frank Sitta, Grigorios Aggelidis, Renata Alt, Nicole Bauer, Jens Beeck, Mario Brandenburg (Südpfalz), Dr. Jens Brandenburg (Rhein-Neckar), Sandra Bubendorfer-Licht, Dr. Marco Buschmann, Christian Dürr, Hartmut Ebbing, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Peter Heidt, Torsten Herbst, Katja Hessel, Dr. Christoph Hoffmann, Ulla Ihnen, Dr. Christian Jung, Dr. Marcel Klinge, Daniela Kluckert, Pascal Kober, Carina Konrad, Konstantin Kuhle, Ulrich Lechte, Oliver Luksic, Dr. Jürgen Martens, Roman Müller-Böhm, Bernd Reuther, Dr. Wieland Schinnenburg, Matthias Seestern-Pauly, Judith Skudelny, Dr. Hermann Otto Solms, Dr. Marie-Agnes Strack-Zimmermann, Katja Suding, Michael Theurer, Dr. Florian Toncar, Gerald Ullrich, Sandra Weeser und der Fraktion der FDP
Vorbemerkung
Eine funktionierende und sichere Wasserversorgung, die Versorgung der Allgemeinheit mit Trinkwasser (Trinkwasserversorgung) sowie die Beseitigung von Abwasser der Allgemeinheit (Abwasserbeseitigung) leisten nicht nur einen wichtigen Beitrag zur gesicherten Lebensgrundlage in Deutschland, sondern sind auch Grundvoraussetzung für die Wirtschaft und Hygiene der Bevölkerung. Betreiber solcher Kritischen Infrastrukturen (sog. KRITIS-Betreiber) unterliegen als Dienstleister der Wasserver- und Wasserentsorgung daher strikten Auflagen und Regelungen.
Laut EU-Richtlinie 2008/114/EG über die Ermittlung und Ausweisung europäischer Kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32008L0114 ist eine Kritische Infrastruktur definiert als: „eine Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung ist und deren Störung oder Zerstörung erhebliche Auswirkungen hätte, da ihre Funktionen nicht aufrechterhalten werden könnten.“
In Deutschland regelt seit 2009 das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (§ 2 Absatz 10 BSIG und § 10 Absatz 1 BSIG) sowie die zugehörige BSI-Kritisverordnung (BSI-KritisV) näher die betroffenen Branchen und Anlagen in den Sektoren Wasser, Energie, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr: „Die Betreiber dieser Kritischen Infrastrukturen, unabhängig davon, ob privatwirtschaftlich oder öffentlich-rechtlich organisiert, erbringen die kritischen, für die Versorgung der Bevölkerung zwingend notwendigen Dienstleistungen in hoher Qualität und Stabilität. Die ausgeprägte Widerstandsfähigkeit dieser kritischen Dienstleistungen gegen vielfältige Bedrohungen ist der Beweis für das Verantwortungsbewusstsein der KRITIS-Betreiber und bildet eine wesentliche Grundlage für das Funktionieren der Gesellschaft.“ (https://www.kritis.bund.de/SubSites/Kritis/DE/Einfuehrung/einfuehrung_node.html#:~:text=Die%20Betreiber%20dieser%20Kritischen%20Infrastrukturen,in%20hoher%20Qualit%C3%A4t%20und%20Stabilit%C3%A4t). Darüber hinaus existieren in Deutschland noch die Sektoren Staat und Verwaltung sowie Medien und Kultur. Die Wassersicherstellungsgesetz (1965) über die Sicherstellung von Leistungen auf dem Gebiet der Wasserwirtschaft für Zwecke der Verteidigung regelt die Versorgung der Zivilbevölkerung und der Streitkräfte mit Trinkwasser im Verteidigungsfall.
Seit 2015 regelt das Gesetz zur IT-Sicherheit (IT-SiG) die Sicherheit informationstechnischer Systeme sowie den Schutz Kritischer Infrastrukturen (KRITIS) und verpflichtet ihre Betreiber zur Einhaltung eines definierten Mindestmaßes an IT-Sicherheit, angemessene technische und organisatorische Maßnahmen zu treffen und diese nachzuweisen. Einer Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und gegenüber Kunden muss nachgekommen werden.
Rechtsverordnungen aus den Jahren 2016 und 2017 geben die Einstufung von Anlagen als Kritische Infrastruktur vor und grenzen durch Regelschwellenwerte genauer ab, welche Betreiber unter die KRITIS-Regelungen fallen, um die Instandsetzung und den Schutz Kritischer Infrastrukturen und deren Dienstleister zu gewährleisten. Einen branchenspezifischen IT-Sicherheitsstandard Wasser/Abwasser (B3S) haben die beiden Verbände DVGW (Deutscher Verein des Gas- und Wasserfaches) und DWA (Deutsche Vereinigung für Wasserwirtschaft, Abwasser Abfall) gemeinsam entwickelt, „der sowohl den von der BSI-KritisV betroffenen Unternehmen wie auch kleinen und mittleren Wasserver- und Abwasserentsorgungsunternehmen ein Instrument an die Hand gibt, um ein Schutzniveau zu implementieren, dass dem Stand der Technik entspricht.“ (http://www.protekt.de/de/Aktuelles/itsicherheit-nachweispflicht-fuer-vier-kritissektoren-tritt-heute-in-kraft/794277). Das BSI hat die Eignung des IT-Sicherheitsstandards für den Sektor Wasser gemäß § 8a Absatz 2 des BSI-Gesetzes festgestellt. Nach zwei Jahren Gültigkeit ist der Standard 2019 abgelaufen. Ein neuer Standard wurde am 27. März 2020 auf dem Webportal der Lizenzträger der Verbände veröffentlicht (https://b3s-wa.de/). Die Eignungsfeststellung des BSI wurde laut Aussagen der Verbände im Januar 2020 festgestellt.
Die in Anhang 2, Teil 3 der BSI-KritisV aufgeführten Regelschwellenwerte geben an, dass die Verordnung für Kritische Infrastrukturen nur für Anlagen verpflichtend gilt, die den Schwellenwert von 500 000 Personen erreichen oder überschreiten (bzw. Millionen m³, als Summe des Durchschnittswerts pro Einwohner). Laut Zahlen des Statistischen Bundesamtes zur öffentlichen Wasserversorgung und öffentlichen Abwasserentsorgung 2016, https://www.destatis.de/DE/Themen/Gesellschaft-Umwelt/Umwelt/Wasserwirtschaft/Publikationen/Downloads-Wasserwirtschaft/wasser-oeffentlich-2190211169004.pdf?__blob=publicationFile, ist zu entnehmen, dass weniger als 1 Prozent (17 von 5 845) der Wasserversorgungsunternehmen in Deutschland aus dieser Ableitung verpflichtend unter Auflagen der Verordnung fallen (https://de.statista.com/statistik/daten/studie/289703/umfrage/anzahl-der-wasserversorgungsunternehmen-in-deutschland-nach-anzahl-der-versorgten-einwohner/). Die Regelschwellenwerte wurden zuletzt Juni 2016 und Juni 2017 überprüft und angepasst. § 9 der BSI-Kritisverordnung sieht eine Anpassung der Regelschwellenwerte mindestens alle zwei Jahre vor.
Der Referentenentwurf des seit 2018 angekündigten „Kritische Infrastrukturen im IT-Sicherheitsgesetz 2.0“ (IT-SiG 2.0) sah zudem eine Anzahl an Neuerungen vor. Beispielsweise wurde die Aufnahme des Bereichs „Entsorgung“ in die Liste der Betreiber vorgesehen. Für die Kategorien „Infrastrukturen von besonderem öffentlichem Interesse“, wie Rüstung, Kultur und Medien, sowie Infrastrukturen mit kritischer Bedeutung für die Geschäftstätigkeit von Unternehmen des Prime Standard an der Frankfurter Wertpapierbörse sollten ebenfalls besondere Auflagen gelten. Die Rechtsverordnung dazu als auch das IT-SiG 2.0 stehen jedoch immer noch aus.
Im Zuge der Corona-Pandemie hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe in seinen Handlungsempfehlungen für Unternehmen, insbesondere für Betreiber Kritischer Infrastrukturen, Folgendes bestätigt: „Cyberkriminelle machen sich oft das erhöhte Informationsbedürfnis in aktuellen Lagen zunutze, schädliche Links und manipulierte Anhänge mit Schadsoftware zu verbreiten. Dies wird bezogen auf COVID-19 bereits weltweit beobachtet, auch Deutschland-spezifische Mails sind bereits im Umlauf.“ Über die Anlagen der Betreiber werden keine speziellen Aussagen getroffen.
Laut Wassersicherstellungsgesetz besteht eine Notversicherung von Trinkwasser durch ein Netzwerk an verstreuten Trinkwassernotbrunnen. In Deutschland gibt es laut Aussage des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) rund 5 000 solcher Anlagen. Das Gesetz bezieht sich dabei auf Verteidigungsfälle und in geringem Maße auf Naturkatastrophen.
Wir fragen die Bundesregierung:
Fragen23
Wie definiert die Bundesregierung einen Cyberangriff auf Kritische Infrastrukturen?
Welche Informationen liegen der Bundesregierung zu den jeweiligen Branchen der KRITIS-Betreiber vor, die laut BSI-Lagebericht 2019 (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=7) Angriffe auf ihre Anlagen vermeldeten?
Wie schätzt die Bundesregierung das Risiko von Cyberangriffen auf Kritische Infrastrukturen, insbesondere Wasserversorger, in der aktuellen Notlage durch COVID-19 ein, und inwiefern sieht sie diese durch die aktuell geltenden Regelungen gewappnet?
Welche Herausforderungen sieht die Bundesregierung aktuell für die Sicherheit der einen flächendeckenden großen Anteil der Wasserversorgung stellenden kommunalen kleinen und mittleren Unternehmen?
Welcher Anteil der Bevölkerung ist nach Einschätzungen der Bundesregierung von den Auflagen der KRITIS-Verordnung abgedeckt?
Wie systemrelevant schätzt die Bundesregierung die Anzahl der KRITIS-Betreiber und deren Anlagen in Bezug auf die Gesamtbevölkerung ein?
Welche Risiken sieht sie hier durch mögliche Cyberangriffe auf die Wasserversorgung in Deutschland?
Welchen Zeitplan verfolgt die Bundesregierung für das bereits angekündigte IT-Sicherheitsgesetz 2.0?
Welche konkreten Änderungen sind betreffend Kritische Infrastrukturen vorgesehen?
Welche Akteure aus dem Bereich der Kritischen Infrastrukturen plant die Bundesregierung, in die Verbändebeteiligung zu dem Gesetz mit einzubeziehen?
Werden Anstrengungen unternommen, um einen ausreichenden Einbezug von sowohl unabhängigen Experten und Wissenschaftlern als auch den betroffenen Wirtschaftsverbänden zu gewährleisten?
Sieht die Bundesregierung dahin gehend Nachbesserungsbedarf für Betriebe, die aufgrund der Regelschwellenwerte nicht unter die IT-Sicherheitsauflagen der BSI-KritisV fallen?
Wenn ja, welche Evaluationsbegründung legt die Bundesregierung der Entscheidung zugrunde, diese nicht anzupassen?
Wenn nein, wie erklärt die Bundesregierung, dass die Verordnung nicht gemäß § 9 BSI-KritisV evaluiert und ggf. angepasst wurde?
Sieht die Bundesregierung Bedarf, die Regelschwellenwerte abzusenken?
a) Wenn nein, warum nicht?
b) Wenn ja, nach welchem Zeitplan sollte dies geschehen?
Welche Maßnahmen sieht die Bundesregierung für Betreiber vor, die aufgrund der Schwellenwerte nicht unter die BSI-KritisV fallen?
Teilt die Bundesregierung die Ansicht der Fragesteller, dass auch kleine und mittlere Wasserversorger ein Mindestmaß an Schutz vor digitalen Angriffen gewährleisten sollten?
Wenn ja, welche Schritte hält die Bundesregierung für notwendig, um diesen Mindestmaßstab festzulegen und zu überprüfen?
Welche Möglichkeiten stehen Bund und Ländern in der aktuellen Notlage der COVID-19-Pandemie zur Verfügung, um Sicherheitsstandards zu überprüfen und gewährleisten zu können?
Sieht die Bundesregierung Bedarf, die Gesetzesregelung zur Notversicherung verstärkt an zivile Katastrophen, Extremwetterereignisse und Cybersecurity-Angriffe anzupassen?
Welche Informationen liegen der Bundesregierung zum aktuellen Zustand aller Trinkwassernotbrunnen in Deutschland vor?
Wie viele der Trinkwassernotbrunnen sind aktuell in Funktion, und wo befinden sich diese?
Sind die Informationen zu Trinkwassernotbrunnen öffentlich zugänglich? Wenn ja, wo sind diese hinterlegt?
Mit welchen Mitteln unterstützt die Bundesregierung Kommunen, um die Instandsetzung der Brunnen zu gewährleisten?