Cyberattacken auf kritische Infrastrukturen häufen sich. Heute berichten die Medien von einem erfolgreichen Hackerangriff des Pipeline-Betreibers Colonial Pipeline, der die Anlagen ausser Betrieb setzen konnte. Erst vor wenigen Monaten war das Wasserwerk der Stadt Oldsmar in Florida in den Schlagzeilen. Während hierzulande das Bundesinnenministerium die neue Kritis-Verordnung für kritische Infrastrukturen vorlegt, nimmt die Bedrohung zu. Kritiker monieren, dass die Regeln deshalb so lax seien, weil das zuständige BSI (Bundesamt für Sicherheit in der Informationstechnik) nicht über die erforderlichen Ressourcen verfügt, falls sich zu viele Betroffene melden würden. Statt diese Sichtweise zu bewerten, soll dieser Beitrag den Blick in die USA lenken.
Cyberrisiken der US-Wasserwirtschaft lange Zeit vernachlässigt
Trotz der Warnungen und einiger hochkarätiger Verstöße aus einem Jahrzehnt hat die US-Bundesregierung die Cyberabwehr weitgehend den amerikanischen Wasserversorgern überlassen. Jahrelang stütze sie sich auf freiwillige Maßnahmen der Industrie und lehnte jede Notwendigkeit einer Regulierung ab. Erst im Jahr 2018 nahm der Kongress im US-Wassergesetz, dem America’s Water Infrastructure Act of 2018 (AWIA), eine Bestimmung zur Cybersicherheit als Verpflichtung für die Wasserversorgungs- und Abwasserentsorgungsbetriebe in die Vorschriften auf. Allerdings sind die darin festgeschriebenen Anforderungen aus Sicht von Experten wenig anspruchsvoll. Ähnlich wie die KRITIS-Regularien in der deutschen Kritis-Verordnung, deren neuer Entwurf vom April 2021 schon viel Kritik geerntet hat, orientieren sich auch die US-amerikanischen IT-Sicherheitsregularien für die Wasserwirtschaft an der Anzahl der an das kommunale Trinkwasser- oder Abwassernetz angeschlossenen Einwohner. Während allerdings hierzulande der Schwellenwert bei 500.000 Einwohnergleichwerte liegt (und nicht sinken soll), greift in den USA die Schwelle schon deutlich früher. Demnach ist jedes US-amerikanische Wassersystem, das mehr als 3.300 Kunden bedient, verpflichtet, eine Selbstbewertung der Risiken und der Belastbarkeit seiner physischen und elektronischen Systeme durchzuführen und letztendlich einen Notfallplan zu erstellen. Versorgungsunternehmen unterschiedlicher Größe haben unterschiedliche Fristen. Auch in den USA gelten moderate Zeiträume. Ärgerlich nur, dass die Hacker darauf keine Rücksicht zu nehmen scheinen. Das traf dann auch den texanischen Wasserversorger Oldsmar im Februar. Dieses System hatte wie alle anderen Kleinen noch bis Juni 2021 Zeit, eine Selbsteinschätzung des Angriffsrisikos durchzuführen und in einen Notfallplan aufzustellen. Zwar war die Überprüfung sogar schon im November 2020 abgeschlossen worden, wie der Betriebsleiter von Oldsmar erklärte, nur der Notfallplan kam zu spät. Der unbekannte Hacker war schneller.
Die Ähnlichkeiten der deutschen und der US-Wasserwirtschaft
Die Ursprünge des Problems zeigen Parallelen zur KRITIS-Lage der Wasserwirtschaft hierzulande. Die überwiegende Mehrheit der Wassersysteme in den USA ist klein und im öffentlichem Besitz. Sind es hier rund 6.500 Trinkwassersysteme und eine ähnlich hohe Zahl an Abwasserbetrieben, die die kritische Infrastruktur repräsentieren, verlassen sich die US-Bürger auf 153.000 Trinkwasserversorger und 15.000 Abwasserbetriebe. Dort sind sie zu mehr als 85 Prozent in öffentlicher Hand. Ähnlich wie hier kämpfen die dortigen kommunalen Betriebe mit begrenzten Ressourcen, unzureichendem Nachwuchs und einer alternden Infrastruktur. Die American Society of Civil Engineers (ASCE) hat angesichts des Zustands und Investitionsbedarf der amerikanischen Infrastruktur („Failure to Act“) für die Trink- und Abwasserinfrastruktur einen Finanzmittelbedarf iHv. 2,6 Billionen US-$ (2.600 Milliarden) allein bis 2029 errechnet. Die Digitalisierung war für viele US-Betriebe ein veritabel erscheinender Ausweg aus dem Dilemma. Schließlich boten die digitalen Systeme den Ausweg und die Chance, die Effizienz zu steigern und gleichzeitig Geld und Personal zu sparen. Aber da war ja noch die fehlende Ressource IT-Personal und Know-how. Zudem versäumten viele Kleine (und nicht wenige Große) die erforderlichen Sicherheitsvorkehrungen zu installieren und das eigene Personal für die Risiken der Digitalisierung adäquat zu schulen. Die Ursachen sind durchaus vergleichbar. Die meisten Wassersysteme sind traditionell auf physische Risiken wie Kontaminationen, Systemausfälle und bestenfalls auf Eindringlinge vor Ort ausgerichtet. Nur selten können sie sich internes IT-Personal leisten, geschweige denn sich Cyber-Abwehrexperten leisten. Die Pandemie brachte neue Risiken mit sich. Fernwartung und Home-Office „hüben wie drüben“ der einzige Ausweg aus dem Dilemma steigender Inzidenzen entpuppten sich als Trojanisches Pferd der IT-Sicherheit.
Hohe Dunkelziffer bei den Attacken auf die Wasserwirtschaft?
Die genaue Anzahl der Angriffe auf Wasserversorger ist unbekannt. Viele bleiben unentdeckt oder werden nicht gemeldet, und kein US-Bundesgesetz verlangt eine Offenlegung, selbst gegenüber Aufsichtsbehörden oder Strafverfolgungsbehörden. Michael Arceneaux, Geschäftsführer des WaterISAC (Water Information Sharing and Analysis Center), einer brancheninternen Expertengruppe, die sich für Cybersicherheit in der US-Wasserwirtschaft einsetzt, erklärt gegenüber dem Onlinemagazin ProPublica, das einen aufschlussreichen Beitrag über Cybersecurity in der US-Wasserwirtschaft veröffentlicht hat, die Gründe für die Zurückhaltung. Wassersysteme würden oft ablehnen, Verstöße zu offenbaren, aus Angst, dass sie ihre Verwundbarkeit gegenüber anderen Hackern offenlegen könnten. Das WaterISAC hat deshalb ein Incidence Reportingportal geschaltet, in dem Betroffene eine Attacke melden können. In Deutschland gibt es mit der AG KRITIS eine Expertengruppe, die für etwaige Attacken durch Cyber-Angreifer betroffenen Wasserver- oder Abwasserentsorgern den Bedarf einer „Erste Hilfe“ sehen. Dazu haben sie ein Konzept entwickelt und diesem die Bezeichnung CyberHilfsWerk, kurz CHW, gegeben. Inhaltliche Analogien zum THW sind ausdrücklich gewollt. Sie werden nicht müde, auf die Unzulänglichkeiten hinzuweisen und die Verantwortlichen der Wasserwirtschaft zu sensibilisieren.
Eine US-Studie versucht Licht in das Dunkel zu bringen. „A Review of Cybersecurity Incidents in the Water Sector“ enthält eine kritische Überprüfung offengelegter, dokumentierter und böswilliger Cybersicherheitsvorfälle im Wassersektor. Daraus sollen Erkenntnisse für den proaktiven Schutz vor Cybersicherheitsbedrohungen abgeleitet werden. Die Überprüfung wird in einem technischen Kontext von Architekturen industrieller Steuerungssysteme, Angriffsabwehrmodellen und Sicherheitslösungen präsentiert. Fünfzehn Vorfälle wurden ausgewählt und analysiert. Für jeden einzelnen Vorfall wurden die Situation, die Reaktion, die Korrektur und die gewonnenen Erkenntnisse zusammengestellt und beschrieben. Die Ergebnisse dieser Überprüfung deuten auf eine Zunahme der Häufigkeit, Vielfalt und Komplexität von Cyberthreats im Wassersektor hin. Obwohl das Auftreten neuer Bedrohungen wie Ransomware oder Cryptojacking festgestellt wurde, war auch ein Wiederauftreten ähnlicher Schwachstellen und Bedrohungen wie Insider-Bedrohungen erkennbar, was die Notwendigkeit eines adaptiven, kooperativen und umfassenden Ansatzes für die Verteidigung gegen Cyber-Attacken in der Wasserwirtschaft unterstreicht. Auch in Deutschland. Da schließt sich der Kreis.
Quellen / Weiterführendes
- A Review of Cybersecurity Incidents in the Water Sector, Amin Hassanzadeh e.a., Researchgate, DOI: 10.1061/(ASCE)EE.1943-7870.0001686
- WATER AND WASTEWATER SYSTEMS SECTOR-SPECIFIC PLAN – 2015, CISA
- Stellungnahme der AG KRITIS zum BSI-KritisV-Entwurf vom 22.04.2021
Hinterlasse jetzt einen Kommentar