Nur zwei Tage nach Beginn des US-Cybersecurity Awareness Month, am 3. Oktober 2024, ist das größte amerikanische Wasserunternehmen, die börsennotierte American Water Works Inc. (AWK), Ziel einer Hackerattacke geworden. Heute Mittag, am 7. Oktober, erhielt die Öffentlichkeit von dem an der US Nasdaq-Börse notierten Unternehmen eine Adhoc-Meldung. Schon kurze Zeit später reagierte der Börsenkurs des Unternehmens und beendete seinen Kursanstieg der letzten Wochen mit einem Kursrückgang von vier Prozent an einem Tag. Das Unternehmen leitete umgehend alle erforderlichen Maßnahmen ein und erklärte in seinem Statement, dass der Eingriff keine relevanten Folgen für das Unternehmen und seine Finanzlage habe. Besonders pikant könnte sein, dass American Water Wasserdienstleistungen auf 18 US-Militärbasen erbringt und die dazugehörigen Anlagen baut und betreibt. Es ist nicht der erste Angriff auf US-Wasserversorger in diesem Jahr.
Die Aktionäre von American Water vermuteten wohl einen gezielten Angriff, der mehr als nur symbolische Wirkung und auch die Systeme des Unternehmens der kritischen Infrastruktur betroffen haben könnte. Das Unternehmen erklärte aber in der sogenannten 8-K-Adhoc-Meldung, es habe umgehend seine Vorfallreaktionsprotokolle aktiviert und externe Cybersicherheitsexperten beauftragt, um bei Eindämmungs- und Schadensminderungsmaßnahmen zu helfen und Art und Umfang des Vorfalls zu untersuchen. American Water benachrichtigte außerdem umgehend die Strafverfolgungsbehörden und stimmt sich umfassend mit ihnen ab, wie es erklärte. Zudem wurden Maßnahmen zum Schutz der Systeme und Daten ergriffen, darunter die Trennung oder Deaktivierung bestimmter Systeme. Derzeit geht American Water davon aus, dass keine seiner Wasser- oder Abwasseranlagen oder -betriebe durch diesen Vorfall negativ beeinträchtigt wurden. Obwohl das Unternehmen nach eigenem Bekunden derzeit nicht in der Lage ist, die vollen Auswirkungen dieses Vorfalls vorherzusagen, geht es nicht davon aus, dass der Vorfall wesentliche Auswirkungen auf das Unternehmen oder seine Finanzlage oder Betriebsergebnisse haben wird. Das ist der Stand des heutigen Tages. Was könnten die Gründe sein?
American Water ist Spezialist für Wasserdienstleistungen der US-Militärbasen
American Water ist das größte regulierte Wasser- und Abwasserunternehmen in den Vereinigten Staaten. In den Jahren 2003 bis 2009 gehörte American Water zur RWE-Gruppe. Das börsennotierte Unternehmen erbringt Trinkwasser- und Abwasserdienstleistungen für mehr als 14 Millionen Menschen mit regulierten Operationen in 14 Staaten und in 18 militärischen Einrichtungen der US-Streitkräfte. Es ist nicht ausgeschlossen, dass American Water auch wegen der seiner Aktivitäten auf den Militärbasen der USA ein bevorzugtes Ziel der Cyberattacke war. Es könnte Zufall sein, aber die Websites von https://amwater.com/militaryservices zeigten am 7. Oktober bei meinen Versuchen sie aufzurufen nur „403 Forbidden“. Zumindest hat man auf mögliche Zugriffe reagiert oder wollte weitere Risiken ausschließen für den Fall, dass etwaige Manipulationen erfolgreich waren. Keine Einschränkungen gab es dagegen auf allen anderen Websites von American Water.
Oktober ist in den USA der Monat der Cyber Awareness
Seit 2004 soll der Monat Oktober das „Bewusstsein für die Cybersicherheit“ schärfen. Dies folgt einem Impuls Präsident der Vereinigten Staaten und der Kongress den Oktober zum Monat des Bewusstseins für die Cybersicherheit erklärt. Die Kampagne zielt nicht nur auf die Schärfung des Bewusstseins für die Cyberrisiken, sondern auch auf die Zusammenarbeit der öffentlichen und der privaten Sektoren ab, um sich gemeinsam gegen Cyberattacken zu rüsten.
Es wäre schon ein ungewöhnlicher Zufall, wenn hinter dem noch diffusen Cyberangriff auf American Water nicht Akteure stecken, die mit dem Angriff auf das „Flagschiff der US-Wasserinfrastruktur“ den USA und der Welt beweisen wollen, wie anfällig ihre kritischen Infrastrukturen in Wirklichkeit sind. Dagegen scheinen auch die Cybersecurity Awareness Kampagne keine geeignete Gegenwehr zu bieten.
Sind Wasserinfrastrukturen kollaterale Angriffsziele?
Erst im Frühjahr 2024 berichtete das US-Magazin WIRED von russischen Cyberattacken auf US-Wasserwerke. Welchen Hintergrund dieser Angriff auf American Water hatte, wird womöglich bald geklärt sein. Jedenfalls wurde bei den Angriffen auf digitale Steuerungssysteme von Wasserwerken in den USA im Frühjahr bekannt, dass es sich bei den Angreifern um eine neue russische Hackergruppe gehandelt hatte. Es kann spekuliert werden, welche Akteure es bei American Water waren. So viel aber darf aber als sicher angenommen werden, die Unternehmen der kritischen Infrastrukturen müssen sich weltweit darauf einrichten, mögliche kollaterale Angriffsziele infolge von Auseinandersetzungen zu sein, auf die sie keinen Einfluss haben. Aber sie können, nein, sie müssen sich genau darauf vorbereiten.
Quellen / Weiterführendes
- SEC Filings Form 8-K, American Water Works Inc., 7.10.2024 („Eilmeldung“)
- Cybersecurity Awareness Month, Kampagnen-Website
- American Water Military Services, LLC,
- Hackers Linked to Russia’s Military Claim Credit for Sabotaging US Water Utilities, WIRED, 17.4.2024
Beitragsfoto Alexandra_Koch auf pixabay AI-generated
Hinterlasse jetzt einen Kommentar