Kläranlage und KRITIS: ein unterschätzter Sektor

Die kommunale Kläranlage ist die am schlechtesten geschützte kritische Infrastruktur in Deutschland und zugleich diejenige, deren Ausfall am schnellsten in eine Versorgungskrise umschlägt.

Diese These ist unbequem, weil sie die übliche Hierarchie der Aufmerksamkeit umkehrt. Wer an KRITIS denkt, denkt an Energie, an Rechenzentren, an Telekommunikation. Abwasser steht selten am Anfang der Liste, häufig am Ende, manchmal überhaupt nicht. Die Stille um den Sektor ist nicht Ausdruck seiner Robustheit, sondern seiner Unauffälligkeit. Eine Kläranlage zieht Aufmerksamkeit erst auf sich, wenn sie versagt, und dann zieht sie sie schlagartig. Bis zu diesem Moment ist sie ein technischer Betrieb am Rand der Stadt, geführt von einem Eigenbetrieb oder einer Zweckverbandsstruktur, betrieben mit knappem Personal, ausgestattet mit einer Sicherheitstechnik, deren Substanz aus den späten neunziger Jahren stammt.

Boswau + Knauer hat in den vergangenen Jahren mehrere Anlagen in diesem Sektor begleitet und dabei eine Beobachtung wiederholt bestätigt gesehen. Der Abstand zwischen der formalen rechtlichen Verantwortung kommunaler Träger und der tatsächlichen technischen Reife der vor Ort vorhandenen Sicherheitsarchitektur ist in keiner anderen KRITIS-Sparte so groß. Wer in diesem Spannungsfeld Verantwortung trägt, ohne es zu wissen, wird in dem Moment davon erfahren, in dem es nicht mehr zu korrigieren ist.

Warum Abwasser kritisch ist, ohne kritisch zu wirken

Die öffentliche Wahrnehmung der Wasserwirtschaft folgt einem einseitigen Bild. Trinkwasser gilt als sensibel, weil seine Qualität direkt mit Gesundheit verbunden wird. Abwasser gilt als nachgelagert, als technische Endstation, als etwas, das ohnehin weg muss. Diese Wahrnehmung ist falsch und gefährlich zugleich. Eine Kläranlage steht nicht am Ende einer Versorgungskette, sondern an einem Knotenpunkt, an dem mehrere kritische Funktionen zusammenlaufen. Sie verhindert die Kontamination von Oberflächengewässern, sie schützt das Grundwasser, das andernorts wieder zu Trinkwasser wird, und sie sichert die hydraulische Entlastung des Kanalnetzes. Fällt sie aus, fällt mit ihr ein Schutzsystem aus, dessen Wirkung erst dann sichtbar wird, wenn sie fehlt.

Die Größenordnung ist nicht trivial. In Deutschland werden über kommunale Anlagen jährlich mehrere Milliarden Kubikmeter Abwasser behandelt. Der Bestand reicht von kleinen Anlagen mit wenigen tausend Einwohnerwerten bis zu Großklärwerken mit mehreren Millionen Einwohnerwerten. Die Verteilung der Verantwortung ist heterogen. Eigenbetriebe, Zweckverbände, kommunale Gesellschaften, in einigen Fällen privatisierte Strukturen. Diese Heterogenität ist ein Sicherheitsproblem für sich, weil sie eine einheitliche Standardsetzung erschwert.

Der KRITIS-Rahmen erfasst diesen Sektor nur teilweise. Die formalen Schwellenwerte des BSI und der KRITIS-Verordnung führen dazu, dass nur größere Anlagen unter die strengeren Pflichten fallen. Kleinere und mittlere Anlagen, die in der Summe einen erheblichen Teil der Versorgungswirkung tragen, bleiben außerhalb der Pflicht zur Meldung erheblicher IT-Störungen und außerhalb der dokumentierten Mindeststandards. Sie sind damit nicht weniger kritisch, aber weniger reguliert. Aus der Sicht eines Angreifers, eines Saboteurs oder eines fahrlässig handelnden Dritten ist diese Asymmetrie eine Einladung. Die Lücke ist nicht in der Pflichtanlage, sondern in der pflichtfreien Anlage, die im Verbund derselben Region dieselbe Funktion erfüllt.

Hinzu kommt ein technisches Argument. Kläranlagen sind heute weitgehend automatisiert, mit Leitsystemen, Fernwirktechnik und vernetzter Sensorik. Was vor dreißig Jahren ein mechanisch-elektrisches System war, ist heute ein vernetzter Industriebetrieb mit allen Angriffsflächen, die diese Vernetzung mit sich bringt. Die Schutzarchitektur ist in vielen Anlagen jedoch nicht parallel zu dieser Modernisierung gewachsen. Sie ist auf der Stufe stehengeblieben, auf der das Tor und der Bauzaun die wesentlichen Antworten waren.

Der rechtliche Rahmen und seine stille Eindringtiefe

Das Wasserhaushaltsgesetz, die Abwasserverordnung und die landesrechtlichen Ausführungsbestimmungen bilden den formalen Rahmen, in dem eine kommunale Kläranlage betrieben wird. Diese Rahmenwerke sind älter als die heutige Bedrohungslage und sind in ihrer Sicherheitslogik primär auf wasserrechtliche Anforderungen ausgerichtet. Was eingeleitet werden darf, in welcher Konzentration, mit welcher Dokumentation. Diese Logik ist konsistent, aber sie deckt nicht das ab, was außerhalb der Reinigungsleistung passieren kann.

In den vergangenen Jahren ist eine zweite Schicht hinzugekommen. Die Umsetzung der NIS2-Richtlinie und die novellierten KRITIS-Anforderungen erweitern die Pflichten für Betreiber kritischer Anlagen. Risikomanagement, Vorfallsmeldung, Nachweisführung gegenüber dem BSI. Diese Schicht ist real und wird in den kommenden Jahren weiter an Bindungskraft gewinnen. Sie trifft jedoch auf Strukturen, die personell und finanziell nicht darauf eingestellt sind, sie aufzunehmen. Eine mittlere Kläranlage in kommunaler Trägerschaft hat in der Regel keine eigene Funktion für Informationssicherheit, sie hat in der Regel keinen dedizierten Werkschutzverantwortlichen und sie hat in der Regel keine dokumentierte Schutzbedarfsanalyse, die über die Anforderungen der Wasserbehörde hinausginge.

Die Haftungsfrage ist die unterschätzte Folge dieser Konstellation. Wer ist verantwortlich, wenn eine Anlage ausfällt, weil eine Sicherheitsschwachstelle ausgenutzt wurde, die seit Jahren bekannt war. Die formale Antwort verweist auf den Betreiber, im kommunalen Kontext also auf den Eigenbetrieb, den Zweckverband oder die Gesellschaft. Die persönliche Antwort verweist im Ernstfall auf den Bürgermeister, den Werkleiter, den Geschäftsführer. Die Rechtsprechung zur Organhaftung in kommunalen Strukturen ist nicht weniger streng als in der Privatwirtschaft. Wer eine Pflichtenstellung innehat und sie unzureichend ausfüllt, wird im Schadensfall persönlich gemessen. Die Schutzbehauptung, man habe von der Pflicht nichts gewusst, ist seit langem nicht mehr tragfähig.

Der GDV hat in seinen Schadensstatistiken zur kommunalen Cyberlage wiederholt darauf hingewiesen, dass die Schadenshöhen in der öffentlichen Hand schneller wachsen als in vielen privatwirtschaftlichen Branchen. Die VdS-Richtlinien zum Brand- und Einbruchschutz sind in der Wasserwirtschaft formal anwendbar, werden in der Praxis aber häufig nicht in der Tiefe umgesetzt, in der sie für andere Industriebetriebe selbstverständlich sind. Diese Lücke ist nicht eine Frage des fehlenden Wissens, sondern eine Frage fehlender Prioritäten in einer Haushaltssystematik, die Investitionen in Sicherheit gegen Investitionen in Reinigungsleistung antreten lässt.

Die typische Schwachstellenlage einer kommunalen Anlage

Wer eine durchschnittliche kommunale Kläranlage betritt, sieht in der Regel ein Gelände, das vor Jahrzehnten geplant und seitdem in Teilen erweitert wurde. Die Außenhaut ist ein Zaun, häufig in einer Höhe, die der ursprünglichen Bauordnung entsprach und der heutigen Bedrohungslage nicht mehr genügt. Die Zugänge sind in einigen Fällen mit Schließsystemen ausgestattet, deren Schlüsselverwaltung im Lauf der Jahre an Trennschärfe verloren hat. Die Videotechnik, sofern vorhanden, dokumentiert in vielen Anlagen, ohne in Echtzeit auszuwerten. Die Bilder werden gespeichert, sie werden im Vorfall ausgewertet, sie werden nicht in einer Logik geführt, die einen laufenden Vorgang noch unterbrechen könnte.

Diese Lage ist nicht überall identisch, aber sie ist typisch genug, um sie als Ausgangspunkt zu beschreiben. Sie hat drei Schwachstellen, die in der Reihenfolge ihrer Wirkung benannt werden müssen. Erstens die physische Perimetersicherung, die auf ein Bedrohungsbild aus einer Zeit zurückgeht, in der Vandalismus die wesentliche Sorge war. Zweitens die Zugangskontrolle für externe Dienstleister, die in der Wartung und in Servicearbeiten regelmäßig auf dem Gelände sind und in vielen Anlagen ohne durchgehende Identitätsprüfung arbeiten. Drittens die Nahtstelle zwischen der Operational Technology, also der Anlagensteuerung, und der Informationstechnik im Verwaltungsbereich, die historisch getrennt waren und in modernen Anlagen immer enger verbunden sind. Diese dritte Schwachstelle ist im Kontext der NIS2-Anforderungen die am stärksten regulierte und in der Praxis die am wenigsten verstandene.

Hinzu kommt die Personalfrage. Eine Anlage, die in der Nachtschicht von zwei Mitarbeitern besetzt ist, kann nicht gleichzeitig den Reinigungsbetrieb führen und das Gelände sichern. Sie kann es auch tagsüber nicht in einer Tiefe, die einer realen Bedrohung standhielte. Die Aufgabentrennung zwischen Anlagenbetrieb und Werkschutz ist in der Industrie selbstverständlich. In der kommunalen Wasserwirtschaft ist sie die Ausnahme. Der Klärmeister ist häufig zugleich der erste Ansprechpartner für Sicherheitsfragen, und seine Ausbildung deckt diese Doppelrolle nicht ab. Das ist keine Kritik an den Personen, die diese Aufgabe ausfüllen. Es ist eine Kritik an einer Struktur, die sie in eine Verantwortung stellt, für die sie nicht ausgestattet ist.

Die BG BAU hat für Bauarbeiten an Kläranlagen seit Jahren auf die besonderen Anforderungen an die Arbeitssicherheit hingewiesen. Diese Hinweise gelten auch für den Schutz der Anlagen selbst, denn Bauphasen sind die Phasen erhöhter Verletzlichkeit. Wer eine Sanierungsphase ohne erhöhten Sicherheitsstandard plant, plant einen Zeitraum, in dem die ohnehin schwache Schutzarchitektur weiter geschwächt ist.

Die Bedrohungslage hat sich verändert, die Schutzlogik nicht

Über Jahrzehnte war die wesentliche Bedrohung kommunaler Anlagen der Vandalismus. Jugendliche, die Zäune überwinden, Sachbeschädigungen, gelegentlicher Diebstahl von Metallkomponenten in Phasen hoher Metallpreise. Diese Bedrohung existiert weiter, aber sie ist nicht mehr die einzige und in vielen Fällen nicht mehr die wichtigste. Hinzugekommen sind drei Bedrohungsklassen, die in der Schutzarchitektur vieler Anlagen nicht abgebildet sind.

Die erste Klasse ist der gezielte Angriff auf die Anlagensteuerung. Diese Angriffe folgen den Mustern, die das BSI in den vergangenen Jahren wiederholt beschrieben hat. Sie zielen nicht auf den unmittelbaren materiellen Schaden, sondern auf die Funktionsfähigkeit. Eine Anlage, deren Leitsystem manipuliert wird, kann Reinigungsparameter überschreiten, ohne dass das Personal es sofort bemerkt. Sie kann Schlamm in Mengen fördern, die das System überlasten. Sie kann in einer Weise gefahren werden, die die Genehmigungsgrenzen verletzt und damit den Betreiber rechtlich exponiert.

Die zweite Klasse ist der Insider. Eine Anlage mit langjähriger Belegschaft, mit externen Dienstleistern, mit Wartungsfirmen und mit Behördenmitarbeitern hat eine Vielzahl von Personen mit Zugang. Die meisten dieser Personen sind integer. Die Anwesenheit eines einzigen Akteurs mit anderen Absichten ist ausreichend, um einen Schaden anzulegen, der erst Monate später sichtbar wird. Schutz vor Insider-Risiken ist nicht eine Frage des Misstrauens, sondern eine Frage struktureller Vorkehrungen, die das System unabhängig von der Integrität einzelner Personen tragen.

Die dritte Klasse ist die hybride Bedrohung. Eine Kombination aus physischem und digitalem Zugriff, die in der geopolitischen Lage der vergangenen Jahre nicht mehr abstrakt ist. Wer eine kritische Infrastruktur in einem Land schwächen will, sucht die Punkte, an denen Schutz und Aufmerksamkeit am niedrigsten sind. Der Sektor Abwasser erfüllt diese Bedingung in einer Weise, die in keinem öffentlichen Lagebild der vergangenen Jahre ernsthaft bestritten wurde.

Die Schutzlogik vieler Anlagen ist auf die erste Bedrohungsklasse zugeschnitten. Sie wirkt gegen Vandalismus, sie wirkt eingeschränkt gegen Gelegenheitsdiebstahl, sie wirkt nicht gegen gezielte Angriffe und nicht gegen Insider und nicht gegen hybride Bedrohungen. Wer diese Diskrepanz nicht aktiv adressiert, akzeptiert ein Risiko, das er im Fall des Eintritts nicht rechtfertigen kann.

Was eine moderne Schutzarchitektur leistet

Eine moderne Schutzarchitektur für eine kommunale Kläranlage beruht auf vier Schichten, die ineinandergreifen und einzeln nicht ausreichen. Die erste Schicht ist die physische Außensicherung. Sie umfasst Perimeter, Zugänge und die kontrollierte Identitätsprüfung beim Betreten. Die zweite Schicht ist die mobile Überwachung des Geländes durch Kombinationen aus stationärer und mobiler Videotechnik, ergänzt um Sensorik, die nicht auf Bildauswertung beschränkt ist. Die dritte Schicht ist die kontrollierte Autonomie der Reaktion. Vorgänge werden in einer Logik dokumentiert, die zwischen Routine und Auffälligkeit unterscheidet und die Auffälligkeit an einen Operator gibt, der innerhalb von Minuten reagieren kann. Die vierte Schicht ist die Verbindung zur Anlagensteuerung in einer Weise, die die OT-Sicherheit nicht schwächt, sondern verstärkt.

Boswau + Knauer hat diese Architektur in mehreren Anwendungsfällen aufgebaut und betreibt sie als Plattform, die in unterschiedlichen Skalierungen einsetzbar ist. Die mobile Videotechnik, die in der Bauwirtschaft erprobt wurde, ist in der Wasserwirtschaft besonders geeignet, weil sie ohne längere Installationsphasen einsatzfähig ist und weil sie Bereiche abdeckt, die eine stationäre Anordnung nicht erreicht. Die KI-gestützte Videoanalyse, die im Buch "BOSWAU + KNAUER , Vom Bau zur Sicherheitstechnologie" als Kernkompetenz des Unternehmens beschrieben wird, unterscheidet zuverlässig zwischen den Routinevorgängen einer Anlage und den Vorgängen, die einer menschlichen Prüfung bedürfen. Diese Unterscheidung ist die Grundlage einer Schutzlogik, die nicht in Fehlalarmen erstickt und nicht in Aufmerksamkeitsverlust endet.

Eine zentrale Eigenschaft dieser Architektur ist ihre Revisionsfähigkeit. Jeder Vorgang ist dokumentiert, jede Entscheidung ist nachvollziehbar, jede Reaktion ist zugeordnet. In einer KRITIS-Sparte, in der die Beweislast im Schadensfall beim Betreiber liegt, ist diese Eigenschaft nicht ein technischer Komfort, sondern eine rechtliche Notwendigkeit. Wer im Streit mit einer Aufsichtsbehörde oder mit einem Versicherer nicht belegen kann, was zu welcher Zeit auf seinem Gelände geschah, hat den Streit verloren, bevor er begonnen hat.

Eine zweite Eigenschaft ist die Skalierbarkeit über Standorte hinweg. Zweckverbände, die mehrere Anlagen betreiben, profitieren überproportional von einer einheitlichen Plattform, weil sie Personal und Auswertungskapazität zentral bündeln können, ohne die Hoheit über den einzelnen Standort aufzugeben. Diese Bündelung ist die wirtschaftliche Grundlage einer Schutzlogik, die in der Einzelanlage nicht finanzierbar wäre und im Verbund tragfähig wird.

Was bleibt

Der Sektor Abwasser ist die KRITIS-Sparte mit der größten Asymmetrie zwischen rechtlicher Verantwortung und tatsächlicher Schutzreife. Diese Asymmetrie ist nicht das Ergebnis individueller Fahrlässigkeit, sondern das Ergebnis historischer Strukturen, die mit der heutigen Bedrohungslage nicht Schritt halten. Sie ist behebbar, aber sie wird nicht von selbst behoben. Wer in kommunaler Verantwortung steht, hat zwei Möglichkeiten. Er kann warten, bis ein Vorfall die Frage stellt, und sich danach rechtfertigen. Oder er kann jetzt die Standortbestimmung machen, die ihm den Spielraum gibt, vor dem Vorfall zu handeln.

Boswau + Knauer bietet für diese Standortbestimmung ein Audit über drei bis fünf Tage an, das die vier Schichten der Schutzarchitektur prüft und in einem Bericht zusammenführt, der ohne weitere Beratung verwertbar ist. Der Bericht enthält eine Schwachstellenkartierung, eine Wirtschaftlichkeitsrechnung in drei Szenarien und einen Umsetzungsplan, den der Träger intern oder extern weiterführen kann. Für Träger, die zunächst eine vertrauliche Einschätzung suchen, steht ein einstündiges Gespräch mit der Geschäftsleitung zur Verfügung, in dem die spezifische Lage skizziert wird, ohne dass eine Folgeverpflichtung entsteht.

Die nächsten Jahre werden die Anforderungen in diesem Sektor verschärfen, durch die fortlaufende Umsetzung von NIS2, durch die Praxis der Aufsichtsbehörden und durch die Schadenserfahrungen, die ihren Weg in die Versicherungslandschaft finden. Wer den Standort seiner Anlage heute kennt, kann die kommenden Anforderungen in eine geordnete Investitionslinie überführen. Wer den Standort nicht kennt, wird die Anforderungen in einer Reihenfolge erleben, die ihm aufgezwungen wird.

Häufige Fragen

Welche Kläranlagen sind betroffen?

Formal unterliegen Anlagen oberhalb der KRITIS-Schwellenwerte den Pflichten der KRITIS-Verordnung und der NIS2-Umsetzung. Praktisch ist die Schutzbedürftigkeit jedoch nicht an die Schwelle gebunden. Auch kleinere und mittlere Anlagen tragen in ihrer Region eine Versorgungswirkung, deren Ausfall erhebliche Folgen hätte. Die Frage, ob eine Anlage betroffen ist, sollte nicht entlang der Pflichtgrenze beantwortet werden, sondern entlang der Funktion. Wer mehrere Anlagen in einem Zweckverband betreibt, ist in der Summe auch dann verpflichtet, wenn die Einzelanlage unterhalb der Schwelle bleibt.

Wer haftet bei Vorfällen?

Die formale Haftung trifft den Betreiber, also den Eigenbetrieb, den Zweckverband oder die kommunale Gesellschaft. Im Schadensfall wird diese Haftung in die persönliche Verantwortung der Organe weitergeleitet, also auf den Werkleiter, den Geschäftsführer und in der politischen Verantwortungskette auf den Bürgermeister oder Landrat. Die Rechtsprechung zur Organhaftung in kommunalen Strukturen ist streng. Die Schutzbehauptung des Nichtwissens ist seit Jahren nicht mehr tragfähig, insbesondere wenn dokumentierte Hinweise des BSI, der VdS oder der Versicherer vorliegen.

Welche Maßnahmen sind Pflicht?

Pflicht sind die Anforderungen aus WHG, Abwasserverordnung und den landesrechtlichen Bestimmungen, ergänzt um die KRITIS-Pflichten für meldepflichtige Betreiber und die schrittweise Umsetzung der NIS2-Anforderungen. Hinzu kommen die allgemeinen Verkehrssicherungspflichten und die Anforderungen der Arbeitssicherheit, in denen die BG BAU für Bauphasen verbindliche Standards gesetzt hat. Die Pflicht zur Risikobewertung und zur Vorfallsmeldung wird in den kommenden Jahren weiter konkretisiert. Wer heute eine dokumentierte Schutzbedarfsanalyse vorlegen kann, ist auf die Verschärfung vorbereitet.

Welche Förderprogramme gibt es?

Bund und Länder haben in den vergangenen Jahren Programme zur Förderung der kommunalen Cybersicherheit aufgelegt, ergänzt um Programme zur Modernisierung kritischer Infrastrukturen. Die Förderlandschaft ist heterogen und ändert sich. Eine pauschale Empfehlung ist nicht möglich. Tragfähig ist ein anderes Vorgehen. Wer zuerst die Schutzbedarfsanalyse macht und daraus eine investitionsfähige Maßnahmenliste ableitet, kann anschließend gezielt prüfen, welche Bestandteile förderfähig sind. Diese Reihenfolge schützt vor Förderlogik, die die Maßnahme treibt, statt von ihr getrieben zu werden.