IT-Angriff auf Trinkwasserversorgung

Vor wenigen Tagen wurde in der US-amerikanischen Stadt Oldsmar im Bundesstaat Florida ein gezielter Cyberangriff auf die dortige Trinkwasserversorgung via Fernzugriff verübt. Über das Firmennetzwerk drangen Hacker in die Steuerung des städtischen Wasserwerks ein und sabotierten die Zusammensetzung des Trinkwassers durch Erhöhung des Anteils von gesundheitsgefährdendem Ätznatron.

Die Folgen dieses IT-Angriffs in Form der weitflächigen Gefährdung der mit dem so kontaminierten Speisewasser versorgten Bevölkerung konnten jedoch vereitelt werden, da ein im Kontrollraum der Anlage anwesender Mitarbeiter das Vorgehen der Eindringlinge auf dem Monitor live beobachtete und dadurch umgehend wieder rückgängig machen konnte. Nach den Angreifern wird weiterhin gefahndet.

Aus der Ferne wurde die Einstellung für die standardmäßig vorgegebene Beisetzung von Natriumhydroxid (NaOH) im Kontrollsystem der Einrichtung für die Wasseraufbereitung manipuliert und auf das Hundertfache hochgesetzt. In geringen Mengen schützt diese auch als Ätznatron bekannte chemische Verbindung vor Korrosion. Statt einer normalen Konzentration von 100 Teilen pro Million (parts per million, ppm) betrug die dem Trinkwasser zugeführte sabotierte Menge nun 10.000 ppm, was in dieser Anreicherung gefährlich für den Menschen ist, beispielsweise durch schwere Reizungen oder Verätzungen, insbesondere bei oraler Zufuhr.

Zwar hätten nachgelagerte automatische Warnsysteme aufgrund der Verletzung von definierten Grenzwerten wahrscheinlich die Kontamination des Trinkwassers gemeldet, so dass eine Verteilung an die Kunden vermutlich hätte unterbunden werden können. Diese würden bei einer unzulässigen Dichte von 0,011 statt 0,00011% NaOH im Wasser anspringen. Dennoch offenbarte die Attacke diverse IT-Sicherheitsmängel der Anlage zur Grundwasseraufbereitung. So wird dort noch immer das vom Hersteller Microsoft mittlerweile seit längerem nicht mehr unterstütze Betriebssystem Windows 7 in der 32 Bit-Version eingesetzt, die Fernwartung der Anlageninfratruktur erfolgt über das Programm TeamViewer mit einem gemeinsamen (Standard-)Passwort, und die direkt – ohne jegliche Schutzmaßnahmen wie zum Beispiel eine geeignete Firewall – an das Internet angeschlossenen Computer aller Mitarbeiter konnten ohne Ausnahme über das interne Netzwerk auf die Anlagensteuerung des Wasserwerks zugreifen.

Angesichts dieses und ähnlicher Vorfälle wollen die Behörden nun in die IT-Sicherheit kritischer Infrastrukturen (KRITIS) investieren, um die Anlagentechnik und Sicherheit industrieller Kontrollanlagen (engl. Industrial Control Systems, ICS), – wie in diesem Fall das System des Wasserversorgers – gegen derartige Cyberattacken stabiler zu machen. Dieser Angriff auf die Energie- und Wasserversorgung war jedoch kein Einzelfall; weiterführende Informationen zum Thema IT-Sicherheit und kritische Infrastrukturen finden sich auf dieser Internetseite zum Beispiel in den Artikeln „Sicherheitslücken in Kraftwerken“, „Cyberangriffe auf westliche Industrieanlagen“, „Energie als kritische Infrastruktur“ oder „IT-Schutz von Kraftwerken vor Cyberbedrohungen“.