Unter der Führung von Ronald Derler wurde das KDW von einer reinen Austauschplattform zu einem spezialisierten Dienstleister weiterentwickelt, der heute Schulungen, 24/7-Sicherheitsüberwachung und Incident Response speziell für die Wasserwirtschaft anbietet. Im Gespräch erklärt er, wie das KDW arbeitet, warum Datensouveränität für ihn oberste Priorität hat – und weshalb Cybersicherheit für die gesamte Branche längst zur Überlebensfrage geworden ist.

Herr Derler, Sie leiten seit 2023 das Kompetenzzentrum Digitale Wasserwirtschaft (KDW). Was war Ihr Auftrag, als Sie angetreten sind?
Die Ausgangslage war, dass das KDW ursprünglich eher als Plattform für Informationsaustausch gedacht war – ein Ort, an dem sich die Akteure der Wasserwirtschaft über Digitalisierungstrends austauschen konnten. Doch irgendwann war klar: reiner Austausch reicht nicht mehr. Die Branche steht vor handfesten Bedrohungen, insbesondere im Bereich Cybersicherheit. Deshalb hat man jemanden gesucht, der das KDW von einer Art Think Tank zu einem echten Dienstleistungszentrum umbaut. Genau das war mein Auftrag.

Also ein klarer Strategiewechsel?
Ganz genau. Wir sind weg vom reinen Austausch und hin zu handfesten Services, die die Wasserversorger im Alltag wirklich brauchen. Seit 2024 bieten wir konkrete Produkte an, allen voran im Bereich Cybersicherheit. Das war nicht nur Wunsch unserer Gesellschafter, sondern auch eine Notwendigkeit: Wir wollten kein Defizitbetrieb bleiben, der dauerhaft vom Land bezuschusst wird. Vielmehr soll das, was wir leisten, so hochwertig und spezifisch sein, dass es einen echten Marktwert hat. Nur so können wir langfristig bestehen.

Wie hat sich die Bedrohungslage für die Wasserwirtschaft in den letzten Jahren entwickelt?
Wir beobachten, dass Angriffe in Wellen auftreten. Es gibt Pha­sen mit relativ ruhigen Verläufen, und dann wieder plötzliche Häufungen von Vorfällen. Was sich eindeutig verändert hat, ist die Geschwindigkeit: Die Zahl entdeckter Schwachstellen nimmt stark zu, und die Zeitspanne zwischen Bekanntwerden und Ausnutzung durch Angreifer wird immer kürzer. Früher hatten Betreiber Wochen oder Monate Zeit, ein Sicherheitsup­date einzuspielen. Heute sind es oft nur noch wenige Tage.

Liegt das an neuen Technologien wie künstlicher Intelligenz?
Zum Teil ja. Wir sehen eine deutliche Zunahme an automatisier­ten Angriffen, die sehr gezielt vorgehen. Die Muster deuten klar darauf hin, dass KI eingesetzt wird – nicht nur, um Schwachstel­len schneller zu finden, sondern auch für personalisierte Angriffe, etwa perfekt formulierte Phishing-Mails oder täuschend echte Sprachsimulationen. Vor fünf Jahren konnte man eine betrügeri­sche Mail noch leicht an der holprigen Sprache erkennen. Diese Zeiten sind vorbei. Heute rufen „Stimmen“ an, die wie echte Kol­legen klingen. Das ist eine neue Qualität.

Welche Rolle spielt dabei der Cyber Resilience Act?
Eine zentrale Forderung des Cyber Resilience Acts ist die Software Bill of Materials (SBOM). Diese ist vergleich­bar mit Zutatenlisten bei Lebensmit­teln. Hersteller müssen künftig defi­nieren, welche Komponenten in ih­rer Software enthalten sind. Das ist längst überfällig. Denn heute weiß oft nicht einmal der Hersteller, was in seinem Produkt steckt – ein Sammelsurium aus Bibliotheken und Code-Bausteinen. Der Act wird das verbessern, aber absolute Sicherheit gibt es auch damit nicht. Rückrufaktionen wie bei Lebensmitteln wird es auch in der Softwarewelt weiterhin geben. Entscheidend ist, dass die Reaktions­zeit kürzer wird und Hersteller ihre Verantwortung ernst nehmen.

Sie haben erwähnt, dass es bereits konkrete Angriffe auf Wasserversorger gegeben hat.
Ja, leider. In Deutschland gab es mehrere Fälle, bei denen Versor­ger durch Ransomware lahmgelegt wurden. Ein Vorfall betraf einen kleineren Betrieb: Freitagabend wurde das letzte reguläre Backup gemacht, in der Nacht zum Samstag drangen Hacker ein und verschlüsselten sämtliche Systeme. Am Montagmorgen ging nichts mehr – kein Server, kein Telefon, kein kaufmänni­sches System. Nur die Anlagen liefen glücklicherweise weiter. Der Schaden war sechsstellig, die Wiederherstellung dauerte zwei Monate. Solche Fälle zeigen, wie verletzlich gerade kleinere Versorger sind.

Wie gehen Sie mit solchen Erfahrungen um?
Wir versuchen immer, aus jedem Vorfall zu lernen. Selbst wenn es nicht unsere Mandanten betrifft, analysieren wir die Angriffswege und informieren sofort andere Betriebe, wenn….

Lesen Sie das komplette Interview in der kommenden gwf Wasser/Abwasser 11/2025, die am 20. November erscheint!