Das Problem von Cyberangriffen ist besonders in Dänemark akut, wo im vergangenen Winter Hacker die Kontrolle über ein regionales Wasserwerk erlangten, den Pumpendruck erhöhten und Rohrbrüche verursachten. Dadurch waren Dutzende Haushalte stundenlang ohne Wasser. Nur wenige Monate zuvor hatten Angreifer in Norwegen die Schleusen eines Wasserkraftwerks für vier Stunden geöffnet. Im August 2025 kam es laut der Regierung in Polen zu einer ähnlichen Situation, als die Wasserversorgung einer großen Stadt durch einen Cyberangriff fast unterbrochen worden wäre.
In Deutschland gab es bisher noch keine bekannt gewordenen, erfolgreich ausgeführten Cyberangriffe auf Wasserwerke. Die Bedrohungslage ist allerdings hoch, laut datensicherheit.de verzeichnete die Energie- und Versorgungsbranche 2025 durchschnittlich 1872 wöchentliche Angriffsversuche pro Unternehmen.
Die Gefahr, dass so etwas auch in Deutschland passiert, ist entsprechend allgegenwärtig. Die Angreifer finden eine stark fragmentierte Branche vor, Sicherheitslücken sind weit verbreitet und vielfach fehlen Cyberabwehrmaßnahmen. Sobald sie diese ausnutzen, können sie enorme Schäden anrichten oder Lösegeld erpressen.
Cyberangriffe: Eine Vielzahl an Motiven
Gründe für Angriffe auf Wasserversorger gibt es viele: Dazu zählen Erpressung und das Schüren von Unsicherheit und Chaos.
Kriminelle Cybergangs greifen Versorgungsunternehmen mit Ransomware an, um wichtige Daten zu stehlen. Ihre Angriffe auf Wasserversorger richteten sich vor allem gegen die IT-Systeme der Unternehmen und zielten nicht auf physische Schäden ab: Dies war beispielsweise beim Angriff auf American Water im Oktober 2024 der Fall, einem der größten US-Wasserversorger.
Staatlich geförderte und ideologisch motivierte Akteure greifen Wasserversorgungsnetze dagegen an, um eine psychologische Wirkung zu erzielen. Zu den Zielen können physische Schäden wie Überschwemmungen oder Druckverluste gehören: Dies war beispielsweise bei einem Angriff auf einen irischen Energieversorger im Jahr 2023 durch die mit dem Iran verbundene Gruppe „Cyber Av3ngers“ der Fall. Ähnlich gelagert war der russische Cyberangriff auf eine Anlage in Texas im Jahr 2024, bei dem ein Tank mit Zehntausenden Litern Wasser überlief.
Auch Vergiftungsangriffe sind denkbar und schon probiert worden: Im Jahr 2020 versuchten angeblich mit dem Iran in Verbindung stehende Hacker, den Chlorgehalt in israelischen Wasseraufbereitungsanlagen zu erhöhen, doch ihr Vorhaben wurde vereitelt. Im Jahr 2023 tauchten in Oldsmar, Florida, Berichte auf, wonach ein Eindringling den Natriumhydroxidgehalt in einer Kläranlage aus der Ferne um mehr als das Hundertfache erhöht habe und nur gestoppt werden konnte, weil ein Mitarbeiter die Veränderung in Echtzeit bemerkte ‒ die tatsächlichen Umstände des Vorfalls sind jedoch umstritten.
Im Gegensatz zu kriminellen Banden zielen staatliche Akteure eher auf Schnittstellen ab, die über entsprechende Kommandos unmittelbar physische Auswirkungen zeigen: Dies gilt beispielsweise für speicherprogrammierbare Steuerungen (SPS), die Pumpendrehzahlen und Ventilzustände regeln. Diese Angriffe sind möglich, weil Standard-Sicherheitsmaßnahmen fehlen, die etwa Default-Passwörter überschreiben und Steuerungsschnittstellen konsequent vom Internet abschotten.
Cyberangriffe: Strengere gesetzliche Regelungen
Um diesen potenziellen Bedrohungen zu begegnen, verlangen Gesetzgeber von KRITIS-Unternehmen deutlich mehr Anstrengungen. Die europäische NIS2-Richtlinie, die in Deutschland Ende 2025 in Kraft getreten ist, stuft die Wasserversorgung als kritisch ein, was eine Reihe von Verpflichtungen mit sich bringt: Betreiber müssen dokumentierte Risikobewertungen durchführen, Kontrollen der Lieferkette einrichten und schwerwiegende Vorfälle innerhalb von 24 Stunden nach ihrer Feststellung melden, gefolgt von einem vollständigen Bericht innerhalb von 72 Stunden. Komplett umgesetzt haben die NIS2-Richtlinie erst knapp die Hälfte aller EU-Staaten, darunter Deutschland, Belgien und Italien.
NIS 2 ist weitgehend ergebnisorientiert und weniger vorschreibend; die Richtlinie ermutigt Versorgungsunternehmen, auf etablierte Rahmenwerke wie ISO 27001 oder die industrielle Sicherheitsnorm IEC 62443 zurückzugreifen, ohne jedoch konkrete Kontrollmaßnahmen vorzuschreiben. NIS 2 konzentriert sich dabei primär auf die Cybersicherheit kritischer Infrastrukturen. Mit dem KRITIS-Dachgesetz hat Deutschland im März 2026 noch ein zweites Paket beschlossen, das vor allem die physische Resilienz von Versorgern verbessern soll. Diese Gesetze gelten aber erst für Versorger mit einer gewissen Mindestgröße.
Trotz bestehender regulatorischer Vorgaben bleiben die strukturellen Herausforderungen bei der Verbesserung der Cybersicherheit in der gesamten Branche erheblich. Zum einen ist der Wassersektor außerordentlich fragmentiert: In Europa gibt es mehr als 70.000 Wasserversorger (in den USA sind es sogar rund 150.000). Ein Viertel der kleineren Betreiber gibt an, über kaum oder keine Kapazitäten zur Umsetzung von Maßnahmen gegenüber Cyberangriffen zu verfügen.
Wie Wasserversorger sich resilienter aufstellen können
Ein wirksamer Schutz der Wasserinfrastruktur beginnt damit, sich einen umfassenden Überblick darüber zu verschaffen, was tatsächlich im Netzwerk läuft. Vielen Versorgungsunternehmen fehlt ein vollständiges Bild ihrer operativen Anlagen (SPS, Mensch-Maschine-Schnittstellen, Sensoren). Das macht es unmöglich, Sicherheitsrisiken einzuschätzen oder Patches zu priorisieren. Die Erfassung der Anlagen bildet deshalb die Grundlage für alle weiteren Maßnahmen. Darauf aufbauend werden die operativen Netzwerke konsequent von den IT-Systemen des Unternehmens getrennt – durch strenge Firewalls und klar definierte, überwachte Datenkanäle.
Ebenso wichtig wie die Netzwerkarchitektur ist die Zugriffskontrolle. Durch die Kombination aus Multi-Faktor-Authentifizierung und kontrollierten Gateways für den Fernwartungszugriff sowie den Austausch aller Default-Anmeldedaten von allen exponierten Geräten lässt sich ein erheblicher Teil der Angriffsfläche beseitigen.
Der dritte Schritt ist die kontinuierliche Überwachung: Industrielle Intrusion-Detection-Systeme, die auf das Normalverhalten von Pumpen, Druckverläufen und Chemikalienzugabemengen trainiert sind, können Anomalien aufdecken, die kein menschlicher Bediener in Echtzeit erkennen würde. Moderne OT-Sicherheitsplattformen nutzen maschinelles Lernen, um Netzwerk-Telemetriedaten mit Anlagendaten zu verknüpfen, und bieten so gleichzeitig Transparenz sowohl auf der IT- als auch auf der operativen Ebene.
Oft fehlt es Versorgern auch an den Fähigkeiten, auf Angriffe schnell und adäquat zu reagieren. Sie haben zwar oft in Erkennungs- und Monitoring-Maßnahmen investiert, es fehlen dann aber Pläne, wenn ein Angriff doch gelingt. Und dann müssen sie häufig unter enormem Druck improvisieren. Die Sicherung kritischer Prozesslogik und die Pflege dokumentierter Verfahren zur manuellen Steuerung sind daher unerlässlich, um sicherzustellen, dass ein erfolgreicher Angriff nicht auch die Fähigkeit zur Wiederherstellung beeinträchtigt.
Und zu guter Letzt: Oft ist die physische Sicherheit der Anlagen die letzte Verteidigungslinie, der oft zu wenig Beachtung geschenkt wird. Die besten Abwehrmaßnahmen gegenüber Cyberangriffen nützen nichts, wenn ein Angreifer leichten Zugang etwa zu einer Maschinensteuerung (SPS) bekommt. Erst durch die Kombination einer leistungsstarken OT-Überwachung, integrierter Bedrohungsinformationen und physischer Sensoren entsteht das Sicherheitsnetz, das Wasserversorgungsunternehmen benötigen, um sowohl Cyber- als auch physische Sicherheitsverletzungen zu verhindern.
Quelle: Schwartz Public Relations GmbH
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
