Die neuen Cybersicherheitsanforderungen in New York adressieren ein wachsendes Sicherheitsrisiko: Während Energieversorger und Finanzinstitute über ausreichende Budgets für Cyber-Abwehr verfügen, sind Wasserversorgungen seit Jahren unterfinanziert. Die meisten Systeme werden von lokalen Behörden betrieben und können sich teure Sicherheitslösungen schlicht nicht leisten. Gleichzeitig werden diese Infrastrukturen zunehmend zum Ziel staatlicher Hacker.
Die chinesische Hackergruppe Volt Typhoon steht dabei im Fokus. Bundesermittler haben dokumentiert, dass chinesische Hacker gezielt in amerikanische Wasserversorgungen eindringen und sich dort “verschanzen” – offenbar um im Konfliktfall Druck ausüben zu können. Dies ist eine neue Art von hybrider Kriegsführung: Statt sofort Schaden anzurichten, positionieren sich Angreifer und warten auf den Einsatzbefehl.
Die neuen New Yorker Regeln sehen vor, dass Wasserversorgungen mit mehr als 3.300 Kunden verbindliche Maßnahmen treffen müssen. Dazu gehören zertifizierte Operatoren mit Cybersicherheitsschulung, dokumentierte Notfallpläne und regelmäßige Tests. Größere Systeme (über 50.000 Kunden) müssen zusätzlich einen Cyber-Lead ernennen – eine spezialisierte Führungskraft für Sicherheitsfragen.
Um die Hürden zu senken, schafft New York einen Fördertopf: Bis zu 50.000 Dollar für Sicherheitsaudits, bis zu 100.000 Dollar für Verbesserungen. Michaela Lee, New Yorks Cyber-Chefin, begründet die Eile damit, dass man nicht auf stalled federal mandates warten könne, während Bedrohungen eskalieren.
Dieses Vorgehen ist auch für Deutschland relevant. Die Energiewende und Digitalisierung von Infrastrukturen schaffen ähnliche Anfällbarkeiten. Während die NIS2-Richtlinie europaweit Standards setzt, zeigt New York, dass zusätzliche finanzielle Unterstützung nötig ist – sonst besteht das Risiko, dass Kommunen zwar Regeln befolgen, aber ohne echte Abwehrkraft bleiben. Ein Modell, das auch hierzulande Beachtung verdient.