Wasserwerk-Sicherheit unter KRITIS: was Trinkwasserverordnung und Dachgesetz verlangen

Ein Wasserwerk ist kein Industrieobjekt mit besonderem Schutzbedarf, sondern eine Kritische Infrastruktur mit gesetzlich definiertem Versorgungsauftrag, und diese Unterscheidung verändert jede einzelne Sicherheitsentscheidung, die ein Betreiber trifft.

Der Unterschied ist nicht semantisch. Er entscheidet darüber, ob ein Sicherheitskonzept ausreichend ist, wenn der Prüfer kommt, ob die Versicherbarkeit erhalten bleibt, wenn ein Vorfall eingetreten ist, und ob die Geschäftsleitung im Schadensfall persönlich haftet, weil Mindestmaßnahmen nicht umgesetzt wurden. Wer ein Wasserwerk betreibt und KRITIS-Pflichten als formale Compliance behandelt, hat den Charakter der Aufgabe nicht verstanden. Wer sie als Bestandteil der Betriebsführung versteht, baut anders.

Boswau + Knauer arbeitet seit Jahren mit Betreibern von Wasseraufbereitungs- und Verteilanlagen zusammen. Aus dieser Arbeit ist eine Lesart entstanden, die wir im Folgenden ordnen. Sie ersetzt keine juristische Prüfung. Sie liefert die strukturelle Grundlage, auf der eine solche Prüfung sinnvoll wird.

Was KRITIS für ein Wasserwerk bedeutet

Der Begriff Kritische Infrastruktur ist im deutschen Recht doppelt verankert. Die BSI-Kritisverordnung legt fest, ab welchen Schwellenwerten ein Wasserwerk als KRITIS-Anlage gilt. Maßgeblich ist die versorgte Bevölkerung, gemessen über die jährlich abgegebene Trinkwassermenge. Wer den Schwellenwert überschreitet, fällt in die Regulierung. Wer ihn knapp unterschreitet, ist nicht aus der Verantwortung entlassen, weil die Trinkwasserverordnung und das Wasserhaushaltsgesetz unabhängig davon gelten und weil das KRITIS-Dachgesetz, das auf europäischer Ebene durch die CER-Richtlinie und die NIS-2-Richtlinie unterlegt ist, den Kreis der erfassten Betreiber verschiebt.

Die zweite Verankerung liegt im Sektorrecht. Trinkwasser ist eine Versorgungsleistung, deren Unterbrechung in den meisten Versorgungsgebieten innerhalb von Stunden eine humanitäre Lage erzeugt. Aus dieser Bedeutung ergeben sich Pflichten, die über die klassische Betriebssicherheit hinausreichen. Es geht nicht nur darum, dass Anlagen technisch funktionieren. Es geht darum, dass sie gegen vorsätzliche Eingriffe, gegen Sabotage, gegen Cyberangriffe und gegen physische Zutritte durch Unbefugte geschützt sind, und zwar in einer Form, die nachweisbar und revisionsfähig ist.

Diese doppelte Verankerung erzeugt eine Pflichtenlage, die ein durchschnittliches kommunales Wasserwerk in der Regel nicht aus eigener Kraft strukturieren kann. Die meisten Werke wurden in einer Zeit gebaut, in der Sabotage als theoretische Möglichkeit galt und Cyberangriffe als Fremdwort. Ihre Sicherheitsarchitektur folgt einer Logik, die heute überholt ist. Ein Zaun, ein Schloss, eine Schlüsselordnung. Das war über Jahrzehnte ausreichend, weil das Bedrohungsmuster ein anderes war. Heute reicht es nicht mehr. Das ist keine Meinung. Es ist die Lesart, die das BSI in seinen Lageberichten regelmäßig dokumentiert, und es ist die Erfahrung der Versicherer, deren Prämien für KRITIS-Risiken in den letzten Jahren spürbar gestiegen sind.

Ein Wasserwerk, das die Anforderungen ernst nimmt, beginnt deshalb nicht bei der Frage, welche Kamera es kauft. Es beginnt bei der Frage, wie sein Schutzkonzept aufgebaut ist, welche Pflichten konkret gelten, welche Lieferobjekte ein Prüfer erwartet und welche Mindestmaßnahmen technisch wie organisatorisch nachweisbar umzusetzen sind. Erst danach kommt die Hardware.

Was die Trinkwasserverordnung verlangt

Die Trinkwasserverordnung ist das zentrale Sektorrecht für Wasserversorger. Sie regelt die Qualität des Trinkwassers, die Pflichten der Betreiber, die Anzeige- und Untersuchungspflichten gegenüber dem Gesundheitsamt und die Maßnahmen zur Sicherung der Wasserqualität an jedem Punkt zwischen Gewinnung und Hausanschluss. Sie ist seit Jahrzehnten in Kraft und wird in Abständen novelliert. Die jüngsten Novellierungen haben den Schutz vor vorsätzlichen Eingriffen und die Anforderungen an die Anlagensicherheit deutlich geschärft.

Für die Sicherheitsarchitektur eines Wasserwerks sind mehrere Bestimmungen besonders wichtig. Erstens die Pflicht zur Risikobewertung. Der Betreiber muss eine systematische Analyse vorhalten, die potenzielle Gefährdungen identifiziert, ihre Eintrittswahrscheinlichkeit bewertet und ihre Auswirkungen auf die Versorgung einschätzt. Diese Bewertung ist nicht statisch. Sie wird in Abständen aktualisiert, und sie ist Grundlage für jede Maßnahme, die anschließend umgesetzt wird. Wer ohne diese Bewertung baut, baut auf Annahmen, die im Streitfall nicht haltbar sind.

Zweitens die Pflicht zur Sicherung der Anlagen. Brunnen, Hochbehälter, Aufbereitungsanlagen und Steuerungseinrichtungen sind so zu schützen, dass unbefugter Zutritt verhindert, erkannt und dokumentiert wird. Die Verordnung formuliert diese Anforderung in einer Form, die Spielräume lässt. Was sie nicht lässt, ist die Möglichkeit, die Anforderung zu ignorieren. Wer einen Hochbehälter betreibt, dessen Zugang nicht überwacht ist, hat eine Lücke, die im Audit auffallen wird.

Drittens die Pflicht zur Anzeige von Vorfällen. Wer einen Vorfall hat, muss ihn melden, dokumentieren und nach festgelegten Verfahren bearbeiten. Diese Pflicht macht die Sicherheitsarchitektur zu einer Frage der Datenführung. Wer keine sauberen Protokolle hat, kann nicht melden, und wer nicht melden kann, verletzt die Pflicht unabhängig davon, ob er den Vorfall verhindert hat.

Viertens die Verbindung zur Trinkwasser-Sicherheitsplanung nach den Vorgaben der Weltgesundheitsorganisation, die in Deutschland über die DVGW-Arbeitsblätter und die einschlägigen technischen Regeln umgesetzt wird. Der DVGW veröffentlicht seit Jahren Arbeitsblätter, die den Stand der Technik für die Sicherung von Wasserversorgungsanlagen beschreiben. Wer diese Arbeitsblätter ignoriert, kann sich im Streitfall nicht auf Unkenntnis berufen. Sie sind im Sektor anerkannt, sie werden von den Gesundheitsämtern referenziert, und sie sind Maßstab für die Frage, ob ein Betreiber den Stand der Technik eingehalten hat.

Die praktische Folge dieser vier Bestimmungen ist, dass ein Wasserwerk eine Dokumentationslage vorhalten muss, die ein Prüfer in wenigen Stunden lesen kann. Risikoanalyse, Schutzkonzept, Anlagensicherung, Vorfallprotokolle, technische Regelwerke. Wer diese fünf Bausteine nicht in einer Form bereitstellt, die geprüft werden kann, hat die Anforderungen nicht erfüllt, auch wenn er sie inhaltlich erfüllt hätte.

Was der BSI-Branchenstandard Wasser verlangt

Neben der Trinkwasserverordnung wirkt der Branchenstandard für die Wasserversorgung, den das BSI gemeinsam mit den Spitzenverbänden der Branche herausgegeben hat. Er konkretisiert die Anforderungen des BSI-Gesetzes und gibt für KRITIS-pflichtige Betreiber einen verbindlichen Rahmen vor, in dem die Umsetzung des Standes der Technik nachgewiesen wird. Der Standard ist kein Lehrbuch. Er ist ein Prüfraster, an dem im Zwei-Jahres-Rhythmus die Einhaltung nachzuweisen ist.

Inhaltlich gliedert sich der Standard in mehrere Bereiche. Der erste betrifft das Informationssicherheits-Managementsystem, das ein Betreiber einzurichten hat. Dieses System ist die organisatorische Klammer um alle technischen Maßnahmen. Es regelt Rollen, Verantwortlichkeiten, Prozesse und Dokumentationspflichten. Wer kein funktionierendes ISMS hat, kann die anderen Anforderungen nicht ernsthaft erfüllen, weil ihm der Rahmen fehlt, in dem sie einzuordnen wären.

Der zweite Bereich betrifft die physische Sicherheit. Hier verlangt der Standard ein gestuftes Schutzkonzept, das zwischen äußerer Sicherung, Zutrittssteuerung und Innenraumüberwachung unterscheidet. Die äußere Sicherung umfasst Umzäunung, Zugangswege und Erkennungstechnik. Die Zutrittssteuerung umfasst Vereinzelungsanlagen, Schlüssel- und Ausweismanagement, Protokollierung der Zutritte. Die Innenraumüberwachung umfasst Bereiche, in denen kritische Steuerungs- und Aufbereitungstechnik steht. Jede Stufe hat eigene Anforderungen, und jede Stufe wird einzeln geprüft.

Der dritte Bereich betrifft die IT-Sicherheit. Er verlangt eine saubere Trennung zwischen Office-IT und Steuerungs-IT, eine dokumentierte Netzarchitektur, ein Patchmanagement, das den Stand der Technik abbildet, und ein Backup- und Wiederherstellungskonzept, das nach einem Vorfall die Wiederaufnahme des Betriebs in definierten Zeitfenstern erlaubt. Die Anforderungen sind streng, weil die Bedrohungslage es ist. Cyberangriffe auf Versorger sind in den vergangenen Jahren in einer Frequenz und Qualität aufgetreten, die jede Diskussion über Verhältnismäßigkeit beendet hat.

Der vierte Bereich betrifft die Detektion und Reaktion. Der Standard verlangt nicht nur Schutz, sondern auch die Fähigkeit, Vorfälle zu erkennen und auf sie zu reagieren. Das schließt Alarmierungsketten ein, Eingriffsteams, Übungen, Lageberichte und die Anbindung an externe Stellen wie das BSI, die Aufsichtsbehörden und im Krisenfall an die Polizei. Wer einen Vorfall hat und nicht weiß, wen er anruft, hat die Reaktion nicht vorbereitet.

Der fünfte Bereich betrifft die Lieferantenkette. Wer Dienstleister einsetzt, ist für deren Verhalten mitverantwortlich. Wartungsfirmen, Steuerungstechnik-Lieferanten, Sicherheitsdienstleister müssen vertraglich und technisch so eingebunden sein, dass sie nicht zur Schwachstelle werden. Diese Anforderung ist in der Praxis oft unterschätzt. Sie wird in den nächsten Audit-Zyklen verstärkt geprüft werden, weil die Lageberichte des BSI eine wachsende Zahl von Vorfällen über die Lieferkette dokumentieren.

Technische Mindestmaßnahmen für die Anlagensicherung

Aus der Trinkwasserverordnung, dem Branchenstandard und den DVGW-Arbeitsblättern lassen sich technische Mindestmaßnahmen ableiten, die ein Wasserwerk unabhängig von seiner Größe vorhalten muss. Diese Maßnahmen sind nicht das Ziel der Sicherheitsarchitektur. Sie sind ihre Grundlage. Wer sie hat, ist nicht sicher. Wer sie nicht hat, ist nicht regelkonform.

Die äußere Sicherung verlangt eine Umzäunung, deren Höhe, Material und Übersteigschutz dem Schutzbedarf angemessen sind. Sie verlangt eine erkennende Technik, die unbefugten Zutritt frühzeitig meldet, bevor die Anlage selbst betreten wird. In den vergangenen Jahren hat sich gezeigt, dass eine Kombination aus Video, Wärmebild und Mehrkanalsensorik im Vergleich zu klassischen Zaunsensoren deutlich weniger Fehlalarme erzeugt und deutlich früher meldet. Diese Verschiebung ist kein Modethema. Sie ist die Folge sinkender Komponentenpreise und steigender Modellgenauigkeit in der Bilderkennung.

Die Zutrittssteuerung verlangt eine Vereinzelung an allen kritischen Übergängen, eine elektronische Protokollierung der Zutritte und ein revisionssicheres Berechtigungsmanagement. Ein Wasserwerk, in dem noch mit klassischen Schließanlagen gearbeitet wird, deren Schlüssel sich nicht vollständig zurückverfolgen lassen, hat in diesem Punkt eine Lücke, die nicht durch organisatorische Anweisungen geschlossen werden kann. Sie muss technisch geschlossen werden.

Die Innenraumüberwachung verlangt Sensorik in Räumen, in denen kritische Aufbereitungstechnik, Steuerungstechnik und Chemikalien lagern. Diese Sensorik ist nicht in erster Linie als Diebstahlschutz gedacht, sondern als Schutz gegen vorsätzliche Eingriffe in die Wasserqualität. Sie muss so eingestellt sein, dass sie Bewegung in unautorisierten Zeitfenstern erkennt und meldet, und sie muss in eine Alarmierungskette eingebunden sein, die zu einer Reaktion führt, nicht zu einem Protokolleintrag.

Die Hochbehälter sind ein eigener Komplex. Sie liegen oft abgesetzt, in Wäldern oder auf Anhöhen, schwer einzusehen und schwer zu sichern. Hier hat sich der Einsatz mobiler Lösungen bewährt, die ohne aufwendige Infrastruktur betrieben werden können. Mobile Videotürme mit autarker Energieversorgung, Sensorik und KI-gestützter Bildanalyse sind in der Lage, einen Hochbehälter über Monate zu überwachen, ohne dass eine Verkabelung notwendig wäre. Diese Lösungen sind in unserem Buch BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie als eigene Produktlinie beschrieben, und sie haben sich in der Anwendung an einer Reihe von Standorten bewährt.

Die Verbindung zur Steuerungs-IT verlangt eine separate Betrachtung. Sie ist in den meisten Wasserwerken die Stelle, an der die größte Verwundbarkeit liegt, weil die Steuerungssysteme oft älter sind als die Bedrohungslage, gegen die sie geschützt werden müssen. Eine saubere Trennung zwischen Sicherheitstechnik und Prozessleittechnik, eine dokumentierte Netzarchitektur und ein Patch- und Wartungskonzept, das nicht zur Quelle der Verwundbarkeit wird, sind hier die Mindestbausteine.

Wer prüft, und was im Prüfbericht stehen muss

Die Umsetzung der Anforderungen wird in regelmäßigen Abständen geprüft. Bei KRITIS-pflichtigen Betreibern erfolgt der Nachweis gegenüber dem BSI über eine Prüfung nach dem Branchenstandard, die in der Regel von einer dafür qualifizierten prüfenden Stelle durchgeführt wird. Auf Seiten der baulichen und technischen Sicherheit kommen Stellen wie der TÜV, der VdS, anerkannte Sachverständige nach DVGW und im Bereich der Arbeitssicherheit die Berufsgenossenschaften ins Spiel. Versicherer prüfen über eigene Risikoaudits oder über Anforderungen, die sie an Polizeiabschluss und Schadensregulierung knüpfen. Der GDV gibt für die Versicherungswirtschaft die Linie vor, an der sich diese Anforderungen ausrichten.

Ein Prüfbericht muss in einer Form vorliegen, die unabhängig nachvollziehbar ist. Er enthält eine Beschreibung der geprüften Anlagen, eine Darstellung der gefundenen Schutzmaßnahmen, eine Bewertung ihrer Wirksamkeit, eine Liste der festgestellten Abweichungen und einen Maßnahmenplan zur Behebung. Wer einen solchen Bericht in der Hand hält, weiß, wo er steht. Wer keinen hat, weiß es nicht. Diese Aussage klingt simpel. Sie ist in vielen Häusern der unbequemste Teil des Gesprächs.

Auf der personellen Seite kommt der BDSW ins Spiel, dessen Mitglieder im Bereich der bewachten Anlagen tätig sind. Der Verband setzt Standards für die Qualifikation und die Einsatzbedingungen von Sicherheitsmitarbeitern, die in KRITIS-Bereichen tätig werden. Wer mit Sicherheitsdienstleistern arbeitet, deren Personal diese Standards nicht erfüllt, hat in der Lieferkette eine Lücke, die in der nächsten Prüfung auffallen wird.

Was bleibt

Ein Wasserwerk unter KRITIS ist eine Anlage, deren Sicherheit nicht aus Hardwarekatalogen ableitbar ist. Sie ergibt sich aus dem Zusammenspiel von Rechtsrahmen, Branchenstandard, technischer Umsetzung und prüfbarer Dokumentation. Wer diese vier Ebenen einzeln behandelt, baut Inseln. Wer sie verbindet, baut eine Architektur, die im Audit hält und im Vorfall trägt.

Die Mindestmaßnahmen sind beschreibbar, und sie sind umsetzbar. Sie verlangen eine Investition, deren Höhe sich nach der Größe der Anlage richtet, und sie verlangen eine Disziplin in der Betriebsführung, die in vielen Häusern erst aufzubauen ist. Wer den Aufbau verschiebt, verschiebt nicht das Risiko. Er verschiebt nur den Moment, in dem das Risiko sichtbar wird, und dieser Moment liegt in der Regel nicht im eigenen Kalender.

Wer prüfen will, wo sein Werk im Verhältnis zu den Anforderungen steht, beginnt mit einem Audit. Drei bis fünf Tage vor Ort, definierter Festpreis, definierter Lieferumfang. Am Ende liegt ein Bericht vor, der unabhängig verwertbar ist, mit oder ohne uns. Wer einen Schritt davor stehen möchte, beginnt mit einem Gespräch von sechzig Minuten, vertraulich, ohne Folgeverpflichtung. Beide Wege sind beschrieben, und beide sind unabhängig vom jeweils anderen begehbar.

Häufige Fragen

Welche Wasserwerke fallen unter KRITIS?

Maßgeblich ist die BSI-Kritisverordnung, die einen Schwellenwert für die jährlich abgegebene Trinkwassermenge definiert. Wer diesen Wert überschreitet, ist KRITIS-pflichtig und unterliegt dem Branchenstandard sowie den Nachweispflichten gegenüber dem BSI. Werke, die den Schwellenwert knapp unterschreiten, sind nicht aus der Verantwortung entlassen, weil die Trinkwasserverordnung, das Wasserhaushaltsgesetz und die DVGW-Regelwerke unabhängig davon gelten. Mit der Umsetzung des KRITIS-Dachgesetzes auf Basis der CER-Richtlinie verschiebt sich der Kreis der erfassten Betreiber. Eine individuelle Prüfung ist in jedem Fall geboten.

Was schreibt TrinkwV vor?

Die Trinkwasserverordnung verpflichtet Betreiber zu einer systematischen Risikobewertung, zur Sicherung der Anlagen gegen unbefugten Zutritt, zur Anzeige und Dokumentation von Vorfällen und zur Einhaltung des Standes der Technik, der über DVGW-Arbeitsblätter konkretisiert wird. Sie regelt außerdem die Wasserqualität, die Untersuchungspflichten und die Pflichten gegenüber dem Gesundheitsamt. Für die Sicherheitsarchitektur bedeutet das, dass Risikoanalyse, Schutzkonzept, Anlagensicherung und Vorfallprotokolle in einer prüfbaren Form vorliegen müssen. Wer diese Dokumentationslage nicht hat, hat die Anforderungen nicht erfüllt, selbst wenn er sie inhaltlich umgesetzt hätte.

Welche BSI-Standards gelten?

Maßgeblich ist der Branchenstandard für die Wasserversorgung, den das BSI gemeinsam mit den Spitzenverbänden der Branche herausgegeben hat. Er gliedert sich in Anforderungen an das Informationssicherheits-Managementsystem, die physische Sicherheit, die IT-Sicherheit, die Detektion und Reaktion sowie die Lieferantenkette. Hinzu kommen die allgemeinen BSI-Grundschutzbausteine und die NIS-2-Anforderungen, die über das KRITIS-Dachgesetz in nationales Recht überführt werden. Der Standard ist im Zwei-Jahres-Rhythmus nachzuweisen. Die Prüfung erfolgt durch qualifizierte prüfende Stellen, die ihre Ergebnisse in einem revisionsfähigen Bericht dokumentieren.

Wer prüft die Umsetzung?

Auf der KRITIS-Ebene prüfen vom BSI anerkannte prüfende Stellen, deren Ergebnisse dem BSI vorgelegt werden. Auf der technischen Ebene kommen TÜV, VdS und anerkannte Sachverständige nach DVGW ins Spiel. Im Bereich der Arbeitssicherheit prüfen die zuständigen Berufsgenossenschaften, im Bau- und Anlagenkontext die BG BAU. Versicherer führen eigene Risikoaudits durch, die sich an den Vorgaben des GDV orientieren. Auf der personellen Seite setzt der BDSW Standards für die im Sicherheitsdienst eingesetzten Kräfte. Ein vollständiges Prüfbild entsteht erst, wenn diese Ebenen koordiniert betrachtet werden, nicht isoliert.