+43 699 / 18199463
office@itexperst.at
Florida: Sicherheitsvorfall in Anlage zur Wasserbehandlung

Florida: Sicherheitsvorfall in Anlage zur Wasserbehandlung

Ein unbekannter Hacker konnte sich Zugang in das Netzwerk einer Anlage zur Wasseraufbereitung im US-Bundesstaat in Florida verschaffen. Dabei veränderte er die Menge einer bestimmten Chemikalie, das dem Trinkwasser zugesetzt wird. Der Vorfall hatte keine gefährlichen Folgen für die Verbraucher.

Das Computersystem, mit der die Anlage zur Wasseraufbereitung in Florida betrieben wird, war nicht sehr gut geschützt. Es lief auf der nicht mehr unterstützten Windows 7 Version. Außerdem verfügte es über keine Firewall. Die Mitarbeiter der Anlage nutzten zudem alle das gleiche Passwort für die Teamviewer-App. Laut Experten ist der Mangel an IT-Sicherheit in kritischen Infrastrukturumgebungen weit verbreitet in den USA.

Eindringen in Anlage zur Wasserbehandlung

Wer für den Vorfall am 05. Februar 2021 verantwortlich war, ist noch nicht bekannt. Insider gehen davon aus, dass es sich wohl um einen ehemaligen Mitarbeiter handelte. Einstiegspunkt war der Fernzugriff über das Teamviewer-Programm auf einen Computer der Anlage. Dieser steuerte die Geräte in der Wasseraufbereitungsanlage des kleinen Orts Oldsmar. Der Hacker erhöhte ganz gezielt die Menge an Natriumhydroxid um das 100-fache.

Der Einbruch fand gegen 13:30 Uhr statt. Glücklicherweise beobachtete ein Mitarbeiter der Stadtverwaltung das System zu dem Zeitpunkt. Er sah, wie sich der Mauszeiger auf seinem Bildschirm von alleine bewegte. Der unbekannte Hacker griff auf das Programm zur Steuerung des Wasseraufbereitungsprozesses zu und änderte die Menge an Natriumhydroxid.

Bei der Aufbereitung der Sicherheitspanne wurde festgestellt, dass der Hacker wohl zweimal eine Verbindung über Teamviewer zu dem Computer im Netzwerk der Wasseraufbereitungsanlage hergestellt hatte. Von offizieller Seite hieß es, dass die Bewohner seien nie in Gefahr gewesen. Zum einen wäre die Manipulation schnell erkannt und rückgängig gemacht worden. Und zum anderen, selbst wenn man es nicht gleich bemerkt hätte, verfügte das System über eine Sicherung. Die Aufbereitungsanlage verfügte über Möglichkeiten, mit der gefährliche Veränderung erkannt werden konnten, bevor das Wasser die Haushalte erreichte. Ein Wasserexperte erklärte:

„Das System ist nicht in der Lage, eine Veränderung um den Faktor 100 zu verarbeiten, da es hier gewisse physikalische Probleme gibt. Außerdem wäre die Änderung, die vorgenommen werden sollte, nicht sofort passiert. Die Betreiber Anlage zur Wasseraufbereitung hätten genügend Zeit gehabt, etwas dagegen zu unternehmen.“

Klassische Sicherheitsmängel – FBI warnt

Der Vorfall in Florida verdeutlicht jedoch den Mangel an Sicherheitsvorkehrungen vieler kritischer Infrastrukturumgebungen in den USA. Das FBI versandte zum wiederholten Male eine Warnung an alle Nutzer bezüglich des veralteten Windows 7 Betriebssystems. Auch zur Verwendung von Teamviewer hatte die Behörde etwas zu sagen. Bekannt ist seit Langem, dass kritische Infrastrukturen in den USA mit dem Teamviewer arbeiten, um ferngesteuert auf die Systeme zugreifen zu können.

In der FBI-Warnung hieß es: „Teamviewer erlaubt es Cyberkriminellen, die Fernsteuerung von Computersystemen zu nutzen. Damit könnten Dateien auf Opfercomputern ablegt werden und das macht es funktionell ähnlich wie ein Remote Access Trojaner.“ Dies sei insbesondere dann gefährlich, wenn Nutzer schwache Passwörter für den Windows-RDP-Zugang verwenden würden, hieß es weiter. Auch mehrere bekannte Sicherheitsexperten kritisierten Teamviewer als unsicher und unzureichend für die Verwaltung sensibler Ressourcen.

Das FBI gab in seiner Warnung auch einige Vorschläge, wie die Sicherheit von Computersystemen generell erhöht werden könnte.

IT-Sicherheit in US-amerikanische Anlagen zur Wasserbehandlung

In den USA gibt es wohl circa 54.000 Trinkwassersysteme, wobei die allermeisten der Anlagen Gemeinden mit weniger als 50.000 Einwohnern versorgen. Alle arbeiten mehr oder weniger mit den gleichen IT-Systemen und werden von der Ferne bedient. Dies liegt daran, dass die Gemeinden nicht genügen finanzielle Mittel zur Verfügung stehe, um die IT-System rund um die Uhr überwachen zu können. Was die Betriebstechnik angeht, gibt es keine Trennung der Hardware von den Sicherheitssystemen. Damit können unbefugte Zugriffe oder potenziell gefährliche Veränderungen nicht erkannt oder gemeldet werden.

Ein Bundesgesetz, das sich auf die Cybersicherheit von Wasseraufbereitungsanlagen in den USA bezieht, ist das amerikanische Wasser-Infrastruktur-Gesetz aus 2018. Es gilt für Trinkwasseranlagen, die mehr als 3.300 Menschen versorgen. Das Gesetz verlangt, dass sie Risikobewertungen und Notfallpläne entwickeln oder aktualisieren müssen. Unabhängig davon seien die Anlagen zur Wasseraufbereitung zwar verpflichtet, die Wasserqualität regelmäßig zu melden. Aber die dafür zuständige Behörde hat leider keine Befugnis, die Cyber-Risikobewertungen durchzusetzen.

Unter der Hand ist übrigens bekannt, dass es viele Sicherheitspannen dieser Art gibt. Meistens gehen die betroffenen Gemeinden damit jedoch nicht an die Öffentlichkeit. Die Angst geht um, dass potenzielle Hacker so Insiderwissen erhalten über die generell vorhandenen Schwachstellen. Gleichzeitig halten sich die zuständigen Bundesbehörden ebenfalls sehr bedeckt bei derartigen Vorkommnissen. Der Großteil der Datenpannen resultiert jedoch nicht aus eigentlichen echten Hackerangriffen. Es seien eher zufällige Einbrüche, weil sich eben gerade die Gelegenheit ergab. Häufen würden sich in den letzten Jahren eher die Zahl der Ransomware-Angriffe. Die meisten Hacker wissen jedoch, dass bei den amerikanischen Gemeinden wenig bis gar nichts zu holen ist.

Ähnliche Situation in der EU

Marcin Dudek ist ein Sicherheitsforscher für Steuerungssysteme beim CERT Polska. Sein Team ist zuständig für die Meldung von Cybervorfällen in Polen. Dudek erklärte, dass in Europa eine ähnliche Situation vorliegt was die Datenpannen angeht. Hier haben die Versorgungsunternehmen aber meistens mehrere Sicherheitssysteme. Idealerweise sind dabei die Steuerungssysteme abgetrennt. Bei einer Datenpanne könnten die Einbrecher in dem Fall dann nicht auf andere Systeme übergreifen.

Dudek erklärte, dass es in Wirklichkeit gar nicht so einfach sei, Giftstoffe in die Wasseraufbereitung einzubringen, um Menschen zu gefährden. Allerdings, so Dudek, blicke er mit Sorgen auf einen Angriff von besser aufgestellten Hackern. Im Vergangenen Jahr habe es mehrere solcher Fälle gegeben. Er wies auf die Angriffe auf einige israelische Wasseraufbereitungsanlagen hin. Kriminelle hätten dabei versucht, den Chlorgehalt des Wassers zu verändern. Glücklicherweise wurde sie aber entdeckt und ihr Vorhaben konnte gestoppt wurden.

Artikel von arstechnica.com, 10.02.2021: Breached water plant employees used the same TeamViewer password and no firewall
Artikel von zdnet.com, 10.02.2021: Following Oldsmar attack, FBI warns about using TeamViewer and Windows 7
Artikel von krebsonsecurity.com, 10.02.2021: What’s most interesting about the Florida water system hack? That we heard about it at all.

Beitragsbild: Public Domain, Creative Commons CC0 von Colin Behrens auf Pixabay.com.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen