Wenn der Hacker das Wasser stoppt

0
441
Wenn das Wasser versiegt, ist heutzutage immer wahrscheinlicher, dass Hacker am Werk waren. Da kleine Gemeinden aus den BSI-Richtlinien herausfallen, ist eine Steuerung ohne digitale Anbindung oft der sicherste Weg. (Foto: marlonferrerdaniel, pixabay.com)

Geht es um das Thema Cyber-Sicherheit und Kritische Infrastrukturen, sind meistens Cloud-Betreiber, die öffentliche Verwaltung mit ihren sensiblen Bürgerdaten oder Krankenhäuser im Fokus. Gerade letztere waren mit Vorfällen rund um ihre Serversysteme schon häufig in den Schlagzeilen. Eine weitgehend analog wirkende, aber ebenfalls hochdigitalisierte Branche wird in der Diskussion häufig in die Nebenrolle gedrängt, obwohl ein Ausfall der Wasserversorgung in nur einer Kommune potenziell fatale Folgen für das Land haben könnte.

Besonders heikle Beispiele für die Unsicherheit in vielen Kommunen brachte die Geschichte zweier IT-Experten hervor, die sich zu Testzwecken auf die Suche nach hackbaren Klär- und Wasserwerken machten. Über ein Webtool fanden sie problemlos weit über 100 Einrichtungen, die sie über die Weboberfläche eines gängigen Prozessleitsystems ansteuern konnten. Ohne weiteren Aufwand und irgendwelche Hacking-Werkzeuge konnten sie sich anschließend zu gut zwei Dutzend dieser Wasserwerkssysteme durch bereits vorausgefüllte Nutzernamen und das Erraten viel zu einfacher Passwörter Zugang zu den Steuerungssystemen verschaffen – teilweise sogar mit weitreichenden Administratorrechten. In den letzten zwölf Monaten kam es immer häufiger zu ähnlichen Meldungen über Sicherheitsvorfälle bei Betreibern von Strom, Gas und eben Wasser. Hierbei geht es laut den zuständigen Behörden häufig nicht darum, Geld aus den Kommunen bzw. Stadtwerken herauszupressen, sondern um gezielte Manipulationen und Sabotage.

Höhere Standards bei Gas und Strom

Um solche Angriffe möglichst zu vermeiden, hat die Branche auf Anraten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zwar einen eigenen spezifischen Sicherheitsstandard (B3S) für Wasser und Abwasser erarbeitet, gleichzeitig sind aus der Kritisverordnung allerdings sämtliche Wasserwerksbetreiber ausgenommen, die unter einem Schwellenwert von 500.000 angeschlossenen Einwohnern (Abwasser) bzw. 22 Millionen m³ an jährlichem Wasseraufkommen (Trinkwasser) bleiben. So sollten zwar die meisten Verbund- und Metropolbetreiber von der Gesetzgebung abgedeckt sein, kleine und mittlere Kommunen mit eigener Trinkwasser- und Abwasserinfrastruktur laufen aber vollkommen unter dem Radar und sind daher selbst dafür verantwortlich, ob sie sich eine verstärkte IT-Sicherheit leisten (können) oder nicht.

Demgegenüber stehen die Gas- und Energieversorgungsnetze der Republik, bei denen das BSI keine Unterscheidung über Schwellenwerte vornimmt; stattdessen müssen in diesen Bereichen pauschal alle Betreiber beim BSI registriert sein. Und all das, obwohl die Bonner IT-Sicherheitsbehörde aber gerade die Wasserinfrastruktur schon seit einer Weile als besonders gefährdet ansieht. Bereits in seinem Bericht zur Lage der IT-Sicherheit aus dem Jahr 2017 erwähnte sie eine Reihe von Angriffen auf die Netze von öffentlichen Wasserwerksbetreibern und betonte, eine “Störung, Beeinträchtigung oder gar ein Ausfall durch einen Cyber-Angriff oder IT-Sicherheitsvorfall kann zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen”.

Grund zur Sorge brachte in dem Bericht die Aussage, dass keiner der angegriffenen Wasserwerksbetreiber sich der Gefahr bewusst war. Dennoch versuchte das BSI damals, die Situation lobend abzuschließen: “Sie reagierten sehr kooperativ und schlossen die offenen Zugänge kurzfristig. Bei einer später durch das BSI durchgeführten Nachprüfung waren die Anlagen öffentlich nicht mehr erreichbar.” Andere Kommunen gehen einen umständlichen, aber deutlich sichereren Weg, wie beispielsweise die hessische Gemeinde Hatzfeld. Dort wird ebenfalls jenes anfällige Softwaresystem wie in den meisten anderen Kommunen genutzt, allerdings ist ein Login nur als Gast möglich, egal ob vom Hacker oder vom Systemadministrator. Um das Netz zu schützen, sind sämtliche aktiven Prozesse nur direkt vor Ort umsetzbar; das digitale System dient lediglich der Überwachung der Anlagen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here