Menschen brauchen sauberes Wasser, um zu trinken oder Speisen zuzubereiten. Auch in der Landwirtschaft wird Wasser benötigt, um Ackerflächen zu bewässern. Darüber hinaus muss das Wasser, das wir im Haushalt oder Arbeitsplatz verwenden, gereinigt werden, bevor es wieder in die Natur gelangt.
In einigen Ländern, insbesondere in großen Flussdeltagebieten, brauchen wir eine hohe Kontrolle über den Wasserspiegel, um Überschwemmungen zu verhindern. Andere Gebiete wiederum benötigen Methoden zur Wasserspeicherung, um Dürren zu vermeiden oder lebenswichtige Transportmittel, die von Flüssen und Kanälen abhängen, in Bewegung zu halten. Wir nutzen Wasser auch zur Energiegewinnung, zum Beispiel mithilfe von Dämmen und Mühlen. In der ersten Dekade dieses Jahrtausends machte die Wasserkraft etwa 20 Prozent des weltweiten Stroms aus, und mit dem steigenden Bedarf an sauberer Energie ist mit einem Anstieg dieses Anteils zu rechnen.
Doch Cyber-Kriminelle haben Wege gefunden, auch diese lebenswichtigen Systeme zu gefährden. Dies zeigt die nachfolgende Übersicht von Cyberangriffe.
Die SCADA-Architektur (Supervisory Control and Data Acquisition), die in verschiedenen wasserwirtschaftlichen Anlagen trotz ihrer Vielfalt zum Einsatz kommt, ist größtenteils konsistent. Es gibt nur so viele Unternehmen, die speicherprogrammierbare Steuerungen (SPS) herstellen. In der Vergangenheit wurden Schwachstellen in weit verbreiteten SPS-Systemen von General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics oder auch Schweitzer Engineering Laboratories gefunden. Natürlich kann auch hier von einer nicht unerheblichen Dunkelziffer ausgegangen werden.
Einer der bedeutsamen Sicherheitsaspekte von Wasser- und Kläranlagen ist der physische Zugang (der auch nicht immer leicht zu sichern ist, schon allein wegen der Größe einiger dieser Anlagen). Ein Bericht aus 2018 der American Water Works Association (AWWA) über Cybersicherheitsrisiken und Verantwortung im Wassersektor stellt heraus: „Die Cybersicherheit hat für den Wasser- und Abwassersektor höchste Priorität. Die Unternehmen und die leitenden Personen müssen der Vorbereitung und Reaktion auf die Cyber-Sicherheit sowohl aus technischer als auch aus Unternehmenssicht große Aufmerksamkeit und Ressourcen widmen. Cyber-Angriffe sind die größte Bedrohung für Unternehmen und kritische Infrastrukturen in den Vereinigten Staaten.“
In dem Bericht heißt es weiter, dass es keine leichte Aufgabe ist, CyberSicherheit zu gewährleisten und viele Unternehmen haben begrenzte Budgets, veraltete Systeme und Personal, denen es möglicherweise an Wissen und Erfahrung mangelt, um robuste Cyber-Sicherheitsmaßnahmen aufzubauen und effektiv auf Angriffe zu reagieren.
Ein Angriff könnte etwa zu einem Massenabschalten von Computern, die Wasserwerke und Dämme steuern, zu Überschwemmungen, Stromausfällen und Mangel an sauberem Wasser führen. Folgen daraus können beispielsweise Hungersnöte und Krankheiten sein.
Eine der größten Bedrohungen für Wasserkraftwerke ist Industroyer, auch bekannt als CrashOverRide, eine anpassungsfähige Malware, die Massenstromausfälle automatisieren und orchestrieren kann. Die gefährlichste Komponente von CrashOverride ist seine Fähigkeit, die Einstellungen an elektrischen Leistungssteuerungssystemen zu manipulieren. Es besitzt zudem die Fähigkeit, die Software auf dem Computersystem zu löschen, das die Leistungsschalter steuert. CrashOverRide ist eindeutig nicht auf finanziellen Gewinn ausgerichtet. Es ist ein rein destruktives Werkzeug.
Eine weitere Malware, von der viele Industrieanlagen bedroht sind, heißt Stuxnet. Diese Bedrohung wurde entwickelt, um sich über Windows-Systeme zu verbreiten und bestimmte programmierbare Steuerungen zu finden, indem sie sich nach der entsprechenden Software umsieht. Ende 2018 sagte die Onslow Water and Sewer Authority (ONWASA), dass sie durch den Ausbruchs von Emotet und der gelieferten Ransomware-Varianten eine Reihe ihrer internen Systeme vollständig wiederherstellen mussten.
Auch in den Niederlanden bemängeln Sicherheitsexperten in einem aktuellen Bericht einen unzureichenden Schutz vor Cyberangriffen bei Werken, welche vor dem Wasser schützen. Besonders Tunnel, Brücken, Schleusen und Hochwasserschutzanlagen seien mit veralteten Automatisierungssystemen, die meist aus den 80er oder 90er Jahren stammen, ausgestattet und deshalb ein attraktives Ziel für Cyber-Kriminelle. Außerdem fehle es laut den Sicherheitsexperten an einem entsprechenden Notfallplan und regelmäßigen Überprüfungen bei Inspektionen.
Anfang 2018 wurde die erste Malware entdeckt, die Kryptowährung als Einstiegstor nutzte, um in die industriellen Kontrollsysteme und SCADA-Server im Netzwerk eines Wasserversorgers einzudringen. Dies wurde nicht als gezielter Angriff angesehen, sondern als das Ergebnis eines Bedieners, der über eine ältere Mensch-Maschine-Schnittstelle (HMI) auf das Internet zugreift.
Nicht, dass SCADA-Systeme frei von gezielten Angriffen sind. Ein Honeypot, der ein SCADA-Netzwerk der Wasserpumpe nachahmte, wurde von Hackern innerhalb weniger Tage gefunden und wurde bald zum Ziel von einem Dutzend schwerer Angriffe.
Ein infizierter Laptop-PC ermöglichte Hackern den Zugriff auf Computersysteme in einer Wasseraufbereitungsanlage in Harrisburg, PA. Der Laptop eines Mitarbeiters wurde über das Internet kompromittiert, wahrscheinlich durch einen Angriff auf ein Wasserloch, und dann als Einstiegspunkt genutzt, um einen Virus und Spyware auf dem Computersystem des Werks zu installieren.
Schutz durch Gegenmaßnahmen
Vieles, was wir aus diesen Vorfällen lernen können, wird den meisten bereits vertraut vorkommen. Gegenmaßnahmen, die Sicherheitsteams in wasserwirtschaftlichen Anlagen und Unternehmen anwenden können, folgen vielen der gleichen Best Practices für die Cyber-Sicherheit von Unternehmen, die sich vor einem Verstoß schützen. Einige Empfehlungen:
Es gibt Parallelen zwischen wasserwirtschaftlichen Anlagen und Kraftwerken. Auch wenn die Wasserwirtschaft ein wenig wichtiger erscheint, sind viele der Bedrohungen im Grunde genommen die gleichen. Dies ist auf die Ähnlichkeiten in der Anlageninfrastruktur und der Hardware zurückzuführen.
Und wenn die Bedrohungen gleich sind, werden auch die Gegenmaßnahmen ähnlich sein. Seltsam ist jedoch, dass sowohl Wasser als auch Strom für die Infrastruktur des Landes lebensnotwenig sind, ihre Cyber-Sicherheitsbudgets jedoch begrenzt sind und sie oft mit veralteten Systemen arbeiten müssen.
Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
