Am vergangenen Freitag wurde eine Wasseraufbereitungsanlage in Oldsmar, Florida aus der Ferne angegriffen und dabei die Natriumhydroxid-Zufuhr manipuliert. Einem Mitarbeiter war dies aufgefallen, wodurch eine Gefährdung der Öffentlichkeit verhindert werden konnte. Ein Kommentar von Grant Geyer, CPO von Claroty.
Die Angreifer erlangten offenbar mittels eines kompromittierten Kontos zweimal Zugriff auf die Systeme. Beim zweiten Eindringen um 13:30 Uhr, fünfeinhalb Stunden nach dem ersten, änderten die Angreifer den Natriumhydroxid-Gehalt des Trinkwassers für Privathaushalte und Unternehmen von 100 Teilen pro Million auf 11.100 Teile pro Million. Natriumhydroxid (Ätznatron) wird dem Wasser zugesetzt, um den Säuregehalt zu regulieren und Korrosion in Rohren zu verhindern. In höheren Konzentrationen ist es wesentlicher Bestandteil von Abflussreinigern und kann bei Menschen zum Teil schwere Reizungen verursachen.
Bereits das erste Eindringen wurde von dem Techniker bemerkt, dieser stufte es jedoch wohl als den Zugriff eines Vorgesetzten ein. Beim zweiten Eindringen konnte er beobachten, wie die Angreifer die Systeme für bis zu fünf Minuten kontrollierten und auf mehrere Anwendungen zugriffen, einschließlich des chemischen Prozesses, die verändert wurden. Nachdem die Cyberkriminellen das System verlassen hatten, war der Mitarbeiter in der Lage, die Pegel wieder auf den Normalwert zu bringen. Zudem hätten redundante Systeme verhindert, dass das verunreinigte Wasser in den Wasserkreislauf gekommen wäre.
Dies ist nicht die erste Attacke dieser Art: Bereits im April 2020 wurde die israelische Wasserversorgung Opfer eines großangelegten Angriffs, bei dem Hacker versuchten, sich Zugang zu den Befehls- und Kontrollsystemen von Kläranlagen, Pumpstationen und der Abwasserinfrastruktur zu verschaffen.
Der Wasser- und Abwassersektor ist heute einer der am stärksten gefährdeten kritischen Infrastrukturbereiche. Die Offenlegung von Schwachstellen in industriellen Steuerungssystemen (ICS) hat im Vergleich zum Vorjahr in diesem Sektor deutlich zugenommen. So stellte der vor wenigen Tagen veröffentlichte halbjährlichen ICS Risk & Vulnerability Report fest, dass die in der zweiten Jahreshälfte 2020 bekannt gewordenen ICS-Schwachstellen im Wasser- und Abwassersektor um 54 Prozent gegenüber dem zweiten Halbjahr 2019 und um 63 Prozent gegenüber dem zweiten Halbjahr 2018 gestiegen sind.
Aufgrund der langen Abschreibungsdauer von Geräten in kritischen Infrastrukturen ist die Veralterung von Technologien und die damit einhergehenden Sicherheitsschwachstellen ein häufiges Phänomen. Darüber hinaus sind viele Wasserversorger kleine Unternehmen und verfügen über wenig Ressourcen, was die Entwicklung eines robusten Sicherheitsprogramms zu einer großen Herausforderung macht.
Die Vermeidung von Fernzugriffen ist hier allerdings keine Lösung. Die zunehmend digitalisierte Welt, insbesondere mit der durch die Pandemie ausgelösten Verlagerung der Arbeit an entfernte Orte, macht den Fernzugriff gerade im Hinblick auf Wartung oder Updates zu einer Grundvoraussetzung – selbst in kritischen Infrastrukturen. Diskussionen nach dem Motto „Sollten wir oder sollten wir lieber nicht“ führen zu nichts, da diese Entwicklung nicht mehr aufzuhalten ist. Entscheidend ist es vielmehr, wie Fernzugriff sicher implementiert werden kann, damit wir diese Angriffe, die unweigerlich weiter passieren werden, stoppen können, bevor Schaden entsteht.
#Claroty