Die sichere Trinkwasserversorgung ist ein zentrales Element der öffentlichen Daseinsvorsorge und zählt in Deutschland zur kritischen Infrastruktur (KRITIS). Wasserversorger stehen daher in besonderer Verantwortung, ihre Anlagen, Systeme und Prozesse vor Störungen, Ausfällen und gezielten Angriffen zu schützen. Dabei gewinnen sowohl die Informationssicherheit (InfoSec) als auch die physische Sicherheit zunehmend an Bedeutung – und sind gleichwertig zu betrachten.
Moderne Wasserversorgung ist ohne IT- und OT-Systeme nicht mehr denkbar. Prozessleitsysteme, Fernwirktechnik und digitale Steuerungen sind essenziell für einen stabilen Betrieb, stellen aber zugleich potenzielle Angriffsflächen dar. Gleichzeitig bleiben klassische Risiken wie unbefugter Zutritt, Sabotage oder Vandalismus an Anlagen, Wasserwerken und kritischen Betriebsmitteln hoch relevant. Informationssicherheit und physische Sicherheit greifen dabei unmittelbar ineinander und müssen gemeinsam adressiert werden, um die Versorgung dauerhaft abzusichern.
Gesetzliche Regelungen wie das KRITIS-Dachgesetz und die NIS2-Richtlinie unterstreichen diesen ganzheitlichen Ansatz. Sie verpflichten Wasserversorger zu einem strukturierten Risiko- und Sicherheitsmanagement, das technische, organisatorische und physische Schutzmaßnahmen umfasst. Ergänzt werden diese Vorgaben durch branchenspezifische Standards wie den B3S Wasser/Abwasser sowie die DVGW-Arbeitsblätter W 1050 (physische Sicherheit) und W 1060 (Informationssicherheit), die die gesetzlichen Anforderungen praxisnah konkretisieren.
Insgesamt wird deutlich: Die Resilienz der Wasserversorgung lässt sich nur durch ein integriertes Sicherheitsverständnis erreichen. Informationssicherheit und physische Sicherheit bilden dabei zwei gleichwertige Säulen, die gemeinsam die Grundlage für eine zuverlässige, sichere und zukunftsfähige Wasserversorgung schaffen.
Gesetzlicher Rahmen und aktuelle Anforderungen
Die Sicherheitsanforderungen an Wasserversorger haben sich in den letzten Jahren deutlich verschärft. Grund dafür sind steigende Bedrohungen – sowohl physisch als auch digital – sowie eine neue gesetzliche und regulatorische Landschaft, die die Versorgungssicherheit stärker in den Fokus rückt.
KRITIS-Dachgesetz (Kritis-DachG):
Das neue KRITIS-Dachgesetz bildet einen übergeordneten Rechtsrahmen für Betreiber kritischer Infrastrukturen in Deutschland. Für Wasserversorger bedeutet dies eine systematische Verpflichtung zu präventiven Sicherheitsmaßnahmen, einer belastbaren Risikoanalyse sowie dem Nachweis eines organisierten Sicherheitsmanagements. Das Gesetz verbindet physische, organisatorische und digitale Sicherheitsanforderungen und sorgt für einheitliche Mindeststandards.
IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen dazu, angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT- und OT-Systeme umzusetzen. Es setzt damit den rechtlichen Rahmen für die Informationssicherheit in der Wasserversorgung, bleibt jedoch bewusst allgemein in der Ausgestaltung. Die konkrete, branchengerechte Umsetzung dieser Anforderungen erfolgt über anerkannte Standards wie den B3S Wasser/Abwasser, der die gesetzlichen Vorgaben praxisnah konkretisiert und als Nachweis gegenüber dem BSI dient.
NIS2-Richtlinie:
Die europäische NIS2-Richtlinie erweitert die Anforderungen an die Cybersicherheit erheblich. Wasserversorger, die als „wichtige“ oder „besondere“ Einrichtungen eingestuft werden, müssen künftig Cybersicherheitsmaßnahmen, klare Verantwortlichkeiten, eine Meldepflicht für Sicherheitsvorfälle und ein strukturiertes Risikomanagement nachweisen. Besonders relevant ist die Schnittstelle zur physischen Sicherheit, da Angriffe zunehmend hybrid erfolgen und physische Schwachstellen häufig digitale Risiken verstärken.
B3S – Branchenspezifischer Sicherheitsstandard Wasser/Abwasser
Der Branchenspezifische Sicherheitsstandard (B3S) Wasser/Abwasser ist ein vom BSI anerkannter Umsetzungsstandard für Betreiber kritischer Infrastrukturen. Er unterstützt Wasserversorger dabei, die gesetzlichen Anforderungen an die Informationssicherheit – insbesondere aus dem IT-Sicherheitsgesetz und der NIS2-Richtlinie – praxisnah und branchengerecht umzusetzen.
Der B3S übersetzt abstrakte gesetzliche Vorgaben in konkrete organisatorische und technische Maßnahmen und orientiert sich dabei an realen Betriebsstrukturen der Wasserwirtschaft. Er integriert zentrale Aspekte der Informationssicherheit, des Risikomanagements sowie der Notfallvorsorge und bildet damit eine zentrale Brücke zwischen regulatorischen Anforderungen und operativer Umsetzung. Für Wasserversorger dient der B3S zugleich als anerkannter Nachweis gegenüber Aufsichts- und Prüfstellen.
DVGW W 1050 – Physische Sicherheit:
Das DVGW-Arbeitsblatt W 1050 stellt den maßgeblichen Branchenstandard für die physische Absicherung von Wasserwerken dar. Es definiert konkrete Anforderungen an Zutrittskontrollen, Perimeterschutz, Videoüberwachung, Alarmierung und organisatorische Vorgaben. Zudem verfolgt W 1050 einen ganzheitlichen Ansatz, der technische Maßnahmen, Personalprozesse und Notfallorganisation miteinander verbindet.
DVGW W 1060 – Informationssicherheit in der Wasserversorgung
Das DVGW-Arbeitsblatt W 1060 konkretisiert die Anforderungen an die Informationssicherheit (InfoSec) in der Wasserversorgung. Es adressiert den Schutz von IT- und OT-Systemen, die für den sicheren Betrieb von Wasserwerken und Netzen unerlässlich sind.
Im Fokus stehen die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen, mit besonderem Augenmerk auf die Verfügbarkeit der Versorgung. DVGW W 1060 fordert einen risikobasierten Ansatz, die klare Trennung von IT- und OT-Netzen sowie technische und organisatorische Maßnahmen zur Absicherung von Prozessleitsystemen, Steuerungen und Fernwirktechnik.
Damit übersetzt DVGW W 1060 gesetzliche Vorgaben wie NIS2 oder B3S in praxisnahe und umsetzbare Sicherheitsanforderungen für Wasserversorger.
Weitere relevante Vorgaben:
Ergänzende Regelwerke wie die Trinkwasserverordnung, BSI-Standards sowie Vorgaben der Landesbehörden konkretisieren die Anforderungen weiter. Für viele Wasserversorger bedeutet dies, unterschiedliche Regelwerke miteinander in Einklang zu bringen – eine Herausforderung, die ein strukturiertes und integriertes Sicherheitskonzept notwendig macht.
Insgesamt zeigt sich: Der regulatorische Rahmen fordert Wasserversorger stärker als je zuvor. Die Einhaltung der Vorgaben schützt nicht nur vor Sanktionen, sondern stärkt vor allem die Resilienz der gesamten Wasserversorgung.
Pflichten für Wasserversorger im Bereich physische Sicherheit und Informationssicherheit
Wasserversorger sind verpflichtet, ihre Infrastruktur ganzheitlich abzusichern. Die Anforderungen aus dem KRITIS-Dachgesetz, dem IT-Sicherheitsgesetz, der NIS2-Richtlinie sowie branchenspezifischen Standards wie dem B3S und den DVGW-Arbeitsblättern W 1050 und W 1060 führen dazu, dass physische Sicherheit und Informationssicherheit gleichwertig und integriert betrachtet werden müssen.
Risikobasierter Ansatz als Grundlage:
Zentraler Ausgangspunkt aller Maßnahmen ist eine strukturierte Risikoanalyse. Wasserversorger müssen sowohl physische Risiken (z. B. Sabotage, unbefugter Zutritt, Vandalismus) als auch Informations- und Cyberrisiken (z. B. Ausfälle von IT- und OT-Systemen, Manipulation von Prozessdaten) identifizieren, bewerten und priorisieren. Dieser risikobasierte Ansatz ist sowohl im IT-Sicherheitsgesetz und in NIS2 als auch im B3S und in der DVGW W 1060 verankert.
Pflichten im Bereich Informationssicherheit:
Informationssicherheit umfasst den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und Systemen. Für Wasserversorger liegt der Schwerpunkt insbesondere auf der Verfügbarkeit der Versorgung. Zu den Pflichten zählen die Absicherung von IT- und OT-Systemen, die klare Trennung von IT- und Prozessnetzen, sichere Schnittstellen, Zugriffskontrollen sowie Notfall- und Wiederanlaufkonzepte. Der B3S und die DVGW W 1060 konkretisieren diese Anforderungen praxisnah und dienen als anerkannte Umsetzungs- und Nachweisgrundlage.
Pflichten im Bereich physische Sicherheit:
Parallel dazu müssen kritische Anlagen, Gebäude und Betriebsmittel physisch geschützt werden. Dazu gehören Maßnahmen wie Zutrittskontrollen, Perimeterschutz, Überwachungssysteme und organisatorische Regelungen. Die DVGW W 1050 definiert hierfür branchenspezifische Mindestanforderungen. Physische Sicherheit bildet zugleich eine wesentliche Voraussetzung für wirksame Informationssicherheit, etwa beim Schutz von Leitwarten, Serverräumen oder OT-Komponenten.
Organisation, Prozesse und Nachweisführung:
Neben technischen Maßnahmen sind klare organisatorische Strukturen erforderlich. Wasserversorger müssen Verantwortlichkeiten festlegen, Personal schulen, Sicherheitsvorfälle behandeln und ihre Maßnahmen dokumentieren. Regelmäßige Überprüfungen, Tests und Audits sind notwendig, um die Wirksamkeit der Sicherheitsmaßnahmen nachzuweisen – insbesondere gegenüber Aufsichtsbehörden und dem BSI.
Zusammenfassend sind Wasserversorger verpflichtet, Informationssicherheit und physische Sicherheit als integriertes Schutzkonzept umzusetzen und ihre Infrastruktur ganzheitlich – technisch, organisatorisch und personell – abzusichern. Die Erfüllung der regulatorischen Anforderungen erfordert dabei kein einmaliges Projekt, sondern einen fortlaufenden Prozess, der die Resilienz stärkt und eine zuverlässige sowie kontinuierliche Wasserversorgung langfristig sicherstellt.
Herausforderungen in der Praxis
Die Umsetzung der umfassenden Sicherheitsanforderungen stellt Wasserversorger in der Praxis vor erhebliche Herausforderungen. Neben klassischen Fragestellungen der physischen Sicherheit gewinnen insbesondere Aspekte der Informationssicherheit an Bedeutung. Beide Bereiche müssen parallel berücksichtigt und miteinander verzahnt werden – häufig unter begrenzten personellen und finanziellen Ressourcen.
Komplexität und Überschneidung von Regelwerken:
Wasserversorger sehen sich mit einer Vielzahl an gesetzlichen und normativen Vorgaben konfrontiert, darunter das KRITIS-Dachgesetz, das IT-Sicherheitsgesetz, die NIS2-Richtlinie, der B3S sowie die DVGW-Arbeitsblätter W 1050 und W 1060. Diese Regelwerke verfolgen unterschiedliche Schwerpunkte, greifen jedoch inhaltlich ineinander. Die Herausforderung besteht darin, physische Sicherheitsanforderungen und Informationssicherheitsvorgaben in einem konsistenten, widerspruchsfreien Sicherheitskonzept zusammenzuführen.
Technische Heterogenität von IT- und OT-Strukturen:
In vielen Wasserversorgungsunternehmen sind historisch gewachsene IT- und OT-Landschaften im Einsatz. Unterschiedliche Systemgenerationen, proprietäre Steuerungstechnik und teilweise fehlende Dokumentation erschweren die Umsetzung moderner Informationssicherheitsmaßnahmen wie Netzsegmentierung, sichere Fernzugriffe oder durchgängiges Patchmanagement. Gleichzeitig müssen diese Maßnahmen mit bestehenden physischen Schutzkonzepten kompatibel sein.
Organisatorische Anforderungen und Fachkräftemangel:
Informationssicherheit erfordert klare Rollen, definierte Prozesse und geschultes Personal. In der Praxis fehlen jedoch häufig spezialisierte Fachkräfte für IT-, OT- und Informationssicherheit. Die gleichzeitige Berücksichtigung physischer Sicherheit, Informationssicherheit und regulatorischer Anforderungen erhöht die organisatorische Komplexität zusätzlich und stellt insbesondere kleinere und mittlere Wasserversorger vor große Herausforderungen.
Balance zwischen Sicherheit, Betrieb und Wirtschaftlichkeit:
Sicherheitsmaßnahmen – sowohl physischer als auch informationstechnischer Art – erfordern Investitionen und können betriebliche Abläufe beeinflussen. Wasserversorger müssen daher risikobasiert priorisieren und Lösungen finden, die ein angemessenes Sicherheitsniveau gewährleisten, ohne die Wirtschaftlichkeit oder die Betriebssicherheit zu beeinträchtigen. Insbesondere bei der Absicherung von OT-Systemen sind Ausfallzeiten nur sehr eingeschränkt tolerierbar.
Dynamische Bedrohungs- und Risikolage:
Die Bedrohungslage entwickelt sich kontinuierlich weiter. Neben physischen Gefahren wie Sabotage oder Vandalismus nehmen Cyberangriffe und hybride Angriffsszenarien zu, bei denen physische und digitale Schwachstellen gezielt kombiniert werden. Sicherheitskonzepte müssen daher regelmäßig überprüft, angepasst und weiterentwickelt werden, um dauerhaft wirksam zu bleiben.
Insgesamt zeigt sich, dass die Umsetzung ganzheitlicher Sicherheitsanforderungen für Wasserversorger ein komplexer und kontinuierlicher Prozess ist. Nur durch die enge Verzahnung von Informationssicherheit und physischer Sicherheit lassen sich regulatorische Vorgaben erfüllen und die Resilienz der Wasserversorgung nachhaltig stärken.
Sicherheit als interdisziplinäre Aufgabe
Die Sicherheit der Wasserversorgung ist heute eine gemeinsame Aufgabe vieler Disziplinen. Sie reicht von der physischen Absicherung von Anlagen über organisatorische Prozesse bis hin zur Informationssicherheit in IT- und OT-Systemen. Gesetzliche Vorgaben wie das KRITIS-Dachgesetz, die NIS2-Richtlinie sowie branchenspezifische Standards (B3S) wie die DVGW-Arbeitsblätter W 1050 und W 1060 machen deutlich, dass nachhaltige Sicherheit nur im Zusammenspiel unterschiedlicher Kompetenzen erreicht werden kann.
Physische Sicherheit und Informationssicherheit stehen dabei auf einer Ebene und greifen ineinander. Moderne Bedrohungen entstehen häufig an Schnittstellen – zwischen Technik und Organisation, zwischen digitalen Systemen und realen Anlagen. Entsprechend erfordert wirksame Sicherheit sowohl hands-on technisches Know-how als auch strukturierte Steuerung, klare Verantwortlichkeiten und Management-Entscheidungen. Keine dieser Perspektiven ist für sich allein ausreichend.
Sicherheit bedeutet daher nicht, einzelne Themen zu isolieren oder gegeneinander abzugrenzen, sondern sie sinnvoll zu verbinden. Von Betriebspersonal, Technikern und IT-/OT-Spezialisten über Sicherheits- und Risikoverantwortliche bis hin zum Management leisten alle Beteiligten einen notwendigen Beitrag. Erst durch diese Zusammenarbeit lassen sich Risiken realistisch bewerten, Maßnahmen praktikabel umsetzen und regulatorische Anforderungen wirksam erfüllen.
Gleichzeitig ist Sicherheit kein statischer Zustand. Technologische Entwicklungen, neue Bedrohungslagen und sich ändernde gesetzliche Rahmenbedingungen erfordern eine kontinuierliche Weiterentwicklung von Sicherheitskonzepten. Für Wasserversorger bedeutet dies, Sicherheit als dauerhaften, lernenden Prozess zu verstehen und Expertise gezielt zu bündeln.
Am Ende steht ein gemeinsames Ziel: die zuverlässige, sichere und resiliente Versorgung der Bevölkerung mit sauberem Trinkwasser – heute und in Zukunft.
