Cyber-Sicherheit für eine lebenswichtige Infrastruktur: Wasserwirtschaft

Menschen brauchen sauberes Wasser, um zu trinken oder Speisen zuzubereiten. Auch in der Landwirtschaft wird Wasser benötigt, um Ackerflächen zu bewässern. Darüber hinaus muss das Wasser, das wir im Haushalt oder Arbeitsplatz verwenden, gereinigt werden, bevor es wieder in die Natur gelangt.

Helge Husemann, der Autor dieses Beitrags, ist Channel Director DACH bei Malwarebytes (Bild: Malwarebytes).

In einigen Ländern, insbesondere in großen Flussdeltagebieten, brauchen wir eine hohe Kontrolle über den Wasserspiegel, um Überschwemmungen zu verhindern. Andere Gebiete wiederum benötigen Methoden zur Wasserspeicherung, um Dürren zu vermeiden oder lebenswichtige Transportmittel, die von Flüssen und Kanälen abhängen, in Bewegung zu halten. Wir nutzen Wasser auch zur Energiegewinnung, zum Beispiel mithilfe von Dämmen und Mühlen. In der ersten Dekade dieses Jahrtausends machte die Wasserkraft etwa 20 Prozent des weltweiten Stroms aus, und mit dem steigenden Bedarf an sauberer Energie ist mit einem Anstieg dieses Anteils zu rechnen.

Doch Cyber-Kriminelle haben Wege gefunden, auch diese lebenswichtigen Systeme zu gefährden. Dies zeigt die nachfolgende Übersicht von Cyberangriffe.

Hardware

Die SCADA-Architektur (Supervisory Control and Data Acquisition), die in verschiedenen wasserwirtschaftlichen Anlagen trotz ihrer Vielfalt zum Einsatz kommt, ist größtenteils konsistent. Es gibt nur so viele Unternehmen, die speicherprogrammierbare Steuerungen (SPS) herstellen. In der Vergangenheit wurden Schwachstellen in weit verbreiteten SPS-Systemen von General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics oder auch Schweitzer Engineering Laboratories gefunden. Natürlich kann auch hier von einer nicht unerheblichen Dunkelziffer ausgegangen werden.

Einer der bedeutsamen Sicherheitsaspekte von Wasser- und Kläranlagen ist der physische Zugang (der auch nicht immer leicht zu sichern ist, schon allein wegen der Größe einiger dieser Anlagen). Ein Bericht aus 2018 der American Water Works Association (AWWA) über Cybersicherheitsrisiken und Verantwortung im Wassersektor stellt heraus: „Die Cybersicherheit hat für den Wasser- und Abwassersektor höchste Priorität. Die Unternehmen und die leitenden Personen müssen der Vorbereitung und Reaktion auf die Cyber-Sicherheit sowohl aus technischer als auch aus Unternehmenssicht große Aufmerksamkeit und Ressourcen widmen. Cyber-Angriffe sind die größte Bedrohung für Unternehmen und kritische Infrastrukturen in den Vereinigten Staaten.“

In dem Bericht heißt es weiter, dass es keine leichte Aufgabe ist, CyberSicherheit zu gewährleisten und viele Unternehmen haben begrenzte Budgets, veraltete Systeme und Personal, denen es möglicherweise an Wissen und Erfahrung mangelt, um robuste Cyber-Sicherheitsmaßnahmen aufzubauen und effektiv auf Angriffe zu reagieren.

Ein Angriff könnte etwa zu einem Massenabschalten von Computern, die Wasserwerke und Dämme steuern, zu Überschwemmungen, Stromausfällen und Mangel an sauberem Wasser führen. Folgen daraus können beispielsweise Hungersnöte und Krankheiten sein.

Malware

Eine der größten Bedrohungen für Wasserkraftwerke ist Industroyer, auch bekannt als CrashOverRide, eine anpassungsfähige Malware, die Massenstromausfälle automatisieren und orchestrieren kann. Die gefährlichste Komponente von CrashOverride ist seine Fähigkeit, die Einstellungen an elektrischen Leistungssteuerungssystemen zu manipulieren. Es besitzt zudem die Fähigkeit, die Software auf dem Computersystem zu löschen, das die Leistungsschalter steuert. CrashOverRide ist eindeutig nicht auf finanziellen Gewinn ausgerichtet. Es ist ein rein destruktives Werkzeug.

Eine weitere Malware, von der viele Industrieanlagen bedroht sind, heißt Stuxnet. Diese Bedrohung wurde entwickelt, um sich über Windows-Systeme zu verbreiten und bestimmte programmierbare Steuerungen zu finden, indem sie sich nach der entsprechenden Software umsieht. Ende 2018 sagte die Onslow Water and Sewer Authority (ONWASA), dass sie durch den Ausbruchs von Emotet und der gelieferten Ransomware-Varianten eine Reihe ihrer internen Systeme vollständig wiederherstellen mussten.

Auch in den Niederlanden bemängeln Sicherheitsexperten in einem aktuellen Bericht einen unzureichenden Schutz vor Cyberangriffen bei Werken, welche vor dem Wasser schützen. Besonders Tunnel, Brücken, Schleusen und Hochwasserschutzanlagen seien mit veralteten Automatisierungssystemen, die meist aus den 80er oder 90er Jahren stammen, ausgestattet und deshalb ein attraktives Ziel für Cyber-Kriminelle. Außerdem fehle es laut den Sicherheitsexperten an einem entsprechenden Notfallplan und regelmäßigen Überprüfungen bei Inspektionen.

Anfang 2018 wurde die erste Malware entdeckt, die Kryptowährung als Einstiegstor nutzte, um in die industriellen Kontrollsysteme und SCADA-Server im Netzwerk eines Wasserversorgers einzudringen. Dies wurde nicht als gezielter Angriff angesehen, sondern als das Ergebnis eines Bedieners, der über eine ältere Mensch-Maschine-Schnittstelle (HMI) auf das Internet zugreift.
Nicht, dass SCADA-Systeme frei von gezielten Angriffen sind. Ein Honeypot, der ein SCADA-Netzwerk der Wasserpumpe nachahmte, wurde von Hackern innerhalb weniger Tage gefunden und wurde bald zum Ziel von einem Dutzend schwerer Angriffe.

Ein infizierter Laptop-PC ermöglichte Hackern den Zugriff auf Computersysteme in einer Wasseraufbereitungsanlage in Harrisburg, PA. Der Laptop eines Mitarbeiters wurde über das Internet kompromittiert, wahrscheinlich durch einen Angriff auf ein Wasserloch, und dann als Einstiegspunkt genutzt, um einen Virus und Spyware auf dem Computersystem des Werks zu installieren.
Schutz durch Gegenmaßnahmen

Vieles, was wir aus diesen Vorfällen lernen können, wird den meisten bereits vertraut vorkommen. Gegenmaßnahmen, die Sicherheitsteams in wasserwirtschaftlichen Anlagen und Unternehmen anwenden können, folgen vielen der gleichen Best Practices für die Cyber-Sicherheit von Unternehmen, die sich vor einem Verstoß schützen. Einige Empfehlungen:

• Eine klare und strenge Bring Your Own Device (BYOD)-Richtlinie kann verhindern, dass Mitarbeiter unerwünschte Bedrohungen in das Netzwerk einbringen.
• Ein strenges und vernünftiges Passwort-Regime kann Brute-Force-Angriffe verhindern und sollte Mitarbeiter, die das Unternehmen verlassen haben, ausschließen.
• Altsysteme, die als menschliche Schnittstellen dienen, sollten keinen Internetzugang haben.
• Einfaches Sichern und Wiederherstellen sollte ermöglicht werden, um Unterbrechungen in Zeit und Wirkung begrenzt zu halten. Gerade für kritische Systeme ist dies unerlässlich.
• Software, die auf industriellen Steuerungssystemen und SCADA-Servern läuft, sollte nicht die Art der Anlage oder der zugrunde liegenden Hardware preisgeben. Dies macht es für Angreifer schwieriger herauszufinden, welche Exploits erfolgreich sind.
• Die Verwendung von sicherer Software ist besonders wichtig, auch wenn die Sicherheit der Hardware nicht kontrolliert oder überprüft werden kann.
• Im Notfall sollte ein erarbeiteter und allen bekannten Notfallplan greifen.
• Ständige Überwachung sowie Inspektion der Prozessoren und Server auf Auffälligkeiten.

Wasser und Strom

Es gibt Parallelen zwischen wasserwirtschaftlichen Anlagen und Kraftwerken. Auch wenn die Wasserwirtschaft ein wenig wichtiger erscheint, sind viele der Bedrohungen im Grunde genommen die gleichen. Dies ist auf die Ähnlichkeiten in der Anlageninfrastruktur und der Hardware zurückzuführen.

Und wenn die Bedrohungen gleich sind, werden auch die Gegenmaßnahmen ähnlich sein. Seltsam ist jedoch, dass sowohl Wasser als auch Strom für die Infrastruktur des Landes lebensnotwenig sind, ihre Cyber-Sicherheitsbudgets jedoch begrenzt sind und sie oft mit veralteten Systemen arbeiten müssen.