Kleine Wasserversorger seien zu unbedeutend, als dass sie Ziel von Hackern sein könnten. Erneut wurde diese zwar vielfach zu vernehmende, dennoch trügerische Hoffnung am Freitag, den 5.2.2021, von einem gefährlichen Zugriff auf das Wasserwerk der US-Stadt Oldsmar in Florida zunichte gemacht. Bei einem Zugriff auf das Dosiersystem für Aufbereitungschemikalien wurde die Konzentration von Natriumhydroxid um mehr als den Faktor 100 erhöht. Der Zugriff wurde rechtzeitig bemerkt und umgehend korrigiert. Jetzt ermittelt das FBI. Der Bürgermeister der Stadt appellierte an andere Wasserversorger – gleich welcher Größe – , sich auf derartige Attacken vorzubereiten.
Zugriff wurde zufällig entdeckt
Eine Cyberattacke bisher noch nicht ermittelter Herkunft hatte einen für Fernwartungszugriffe eingerichteten Internetzugang des städtischen Wasserwerks genutzt, um auf die betriebliche Steuerung der Wasseraufbereitung zuzugreifen. Damit habe er die Menge an Natriumhydroxid, auch unter den Bezeichnung Ätznatron bekannt, kurzzeitig von 100 ppm (Teile je Million) auf 11.100 ppm erhöht, erklärte der örtliche Sheriff auf einer Pressekonferenz am heutigen Montag. Die Chemikalie dient der Einstellung des pH-Wertes, des Salzgehaltes, der Säurekapazität und des Calciumgehaltes. Es handelt sich also um einen gewöhnlichen Einsatzstoff in der Trinkwasseraufbereitung.
Die städtische Wasserversorgung sei zu keinem Zeitpunkt bedroht gewesen
Auch wenn die Absicherung nach aussen unzureichend war und dies den gefährlichen Zugriff erst ermöglichte, das Überwachungssystem des Wasserversorgers hat nach Darstellung der Verantwortlichen der Stadt und des Sheriffs zufolge funktioniert. Ein Wasserwerksmitarbeiter, der demnach ebenfalls mit Fernzugriff arbeitete, soll demzufolge registriert haben, wie sich die Konzentrationswerte auf seinem Computerbildschirm änderten, und konnte sie umgehend korrigieren, erklärte der Bürgermeister der 14.000-Einwohnerstadt Eric Seidel in einer Pressekonferenz. Darin betonte er, dass andernfalls mehrere zusätzliche Sicherheitsvorkehrungen gegriffen hätten, um zu verhindern, dass kontaminiertes Wasser in die Wasserversorgung gelangt. Mittlerweile sei bei dem Angriff verwendete Fernzugriffssystem deaktiviert. Die Wasserversorgung der Stadt sei zu keinem Zeitpunkt betroffen gewesen.
KRITIS-Absicherung müsse konsequenter erfolgen, warnen deutsche IT-Sicherheitsexperten
Ich fragte bei deutschen IT-Sicherheitsexperten nach. Manuel Atug, Sprecher der AG KRITIS, einer Gruppe, die Unternehmen der Kritischen Infrastrukturen wie Wasser „IT-sicherer“ machen wollen, hält derartige Attacken „weltweit überall möglich und realistisch“. Offensichtlich seien die Sicherungssysteme für den Remotezugriff unzureichend. Noch sei nicht sicher, welche Systeme verwendet worden seien, aber aller Voraussicht nach handelt es sich um weit verbreitete. Was sich mittlerweile bestätigte. Einem Tweet von Chris Bing, einem IT-Sicherheitsexperten der Nachrichtenagentur Reuters, vom 8.2.2021 zufolge, erfolgte der Zugang über die weit verbreiteten „Remote-Connectivity-Plattform für die digitale Vernetzung von Menschen und Maschinen“, teamviewer.
Damit kann Atug für deutsche Anlagen keine Entwarnung geben und verweist bei den als Industrial Control System (ICS) bezeichneten Fernwartungslösungen auf eine Liste der 10 größten Bedrohungen für diesen IT-Bereich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinen Veröffentlichungen zur Cyber-Sicherheit diese Risiken bei Fernwartungen explizit mit aufgeführt und empfiehlt darin den Unternehmen Absicherungsmaßnahmen. Darin heißt es „In ICS-Installationen sind externe Zugänge für Wartungszwecke weit verbreitet. Häufig existieren dabei z. B. Default-Zugänge mit Standardpasswörtern oder sogar fest kodierten Passwörtern. Externe Zugänge mittels Virtual Private Networks (VPN) sind mitunter nicht beschränkt bzgl. der erreichbaren Systeme, d. h. über einen Wartungszugang für ein bestimmtes System sind weitere Systeme zu erreichen. Zu den zentralen Ursachen zählen mangelnde Authentisieren und Autorisierung sowie schwache Netzwerkhierarchien.“ Lessons learned aus Sicht des AG KRITIS-Sprechers einfach auf den Punkt gebracht: „KRITIS heißt nicht zum Spaß so. Angemessen schützen bitte!“
Das Ereignis dürfte auch deutsche Wasserversorger in den kommenden Wochen beschäftigen. In dem Beitrag unter dem Titel „Digitale Sorglosigkeit?! Handlungsbedarf bei IT-Sicherheit in der Wasserversorgung“ hatte ich auf LebensraumWasser über die ernüchternden Ergebnisse einer IT-Sicherheitsbefragung in der deutschen Wasserwirtschaft und einen Penetrationstest im Aqua-IT-Lab der Uni Potsdam berichtet, bei dem sich Zeuge war, wie einfach es ist, die offensichtlichen Schwachstellen bei deutschen Wasserversorgern zu nutzen und sich Zugang auf deren Systeme zu verschaffen. Allenfalls die Tatsache, dass dieses Ereignis 3 Jahre her ist, könnte beruhigen. Aber so richtig dann doch wieder nicht. Einen weiteren Beitrag zur IT-Sicherheit in der Wasserwirtschaft gibt es hier bei der AG KRITIS, die LebensraumWasser zitiert.
Weiterführendes
Beitragsfoto: Canstockphoto (C) von andose24
1 Trackback / Pingback