Anfang Februar machte ein Cyberangriff die Runde, der ein ungewöhnliches Ziel zu verfolgen schien. In der Stadt Olsmar in Florida hat sich ein Hacker Zugriff auf die Systeme einer Grundwasseraufbereitungsanlage verschafft. Ein Mitarbeiter hat live beobachtet, dass sich der Mauszeiger auf seinem Computer wie von Geisterhand bewegt und dabei eine Einstellung verändert hat. Der Hacker hat in einer Wasseraufbereitungsanlage den Anteil von Natriumhydroxid um das 100-Fache erhöht. Natriumhydroxid wird eingesetzt um den Säuregehalt im Abwasser zu reduzieren. In höherer Konzentration führt das auch als Natronlauge bezeichnete Natriumhydroxid zu leichten bis schweren Hautreizungen. Durch das unverzügliche Eingreifen des Mitarbeiters konnte schlimmeres verhindert werden. Nachdem der Hacker den Zugriff auf das System verlassen hat, hat der Mitarbeiter die Einstellungen in der Wasseraufbereitungsanlage zurückgesetzt und Alarm geschlagen. Bei dem Hackerangriff lagen mehrere Sicherheitsmängel an den IT-Systemen des Wasserversorgers vor.
Erhebliche Sicherheitsmängel auch bei deutschen Wasserversorgern
Auch in Deutschland haben Untersuchungen bereits mehrfach erhebliche Sicherheitsmängel in Wasserwerken aufgezeigt, wie z. B. im Juli 2020 in Berliner Wasserbetrieben. Im Sommer 2020 wurde die IT-Sicherheit in Wasserwerken auch im Bundestag diskutiert. Nachdem die FDP-Bundestagsfraktion im August 2020 eine Anfrage gestellt hat, wurde im September 2020 auch durch die Grünen eine bessere IT-Sicherheit von Wasserversorgern gefordert. Bisher werden von 5728 Wasserversorger nur 47 als kritische Infrastruktur eingestuft. Es wird gefordert, die Schwellenwerte anzupassen, so dass zukünftig mehr Wasserwerke als kritische Infrastruktur eingestuft werden und somit strengere Maßnahmen zur IT-Sicherheit umgesetzt werden müssen. Die Bundesregierung hat daraufhin eingeräumt, dass „auch kommunale kleine und mittlere Unternehmen der Wasserversorgung grundsätzlich vergleichbaren Risiken im Bereich der Cybersicherheit ausgesetzt sind, (…) jedoch nicht immer auch vergleichbare Ressourcen und Mittel wie größere Unternehmen zur Verfügung (haben).“ Ein konkreter Lösungsvorschlag ist bisher noch nicht erarbeitet.
Windows 7 birgt Sicherheitslücken oder erhebliche Mehrkosten
Auf allen Rechner der Wasserversorgung in Olsmar war Windows 7 installiert. Seit Januar 2020 werden für dieses Betriebssystem keine Sicherheits-Updates mehr zur Verfügung gestellt, außer es wird ein kostenpflichtiger Wartungsvertrag abgeschlossen (Windows 7 Extended Security Updates). Bei dem Trinkwasserversorger war allerdings kein entsprechender Wartungsvertrag vorhanden. Die Rechner der Wasserversorger haben somit seit über einem Jahr keine sicherheitskritischen Updates erhalten.
Im Januar 2021 hat heise darüber berichtet, dass in Ministerien und Behörden des Bundes noch über 60.000 Rechner mit dem veralteten Betriebssystem Windows 7 laufen. Im Jahr 2020 wurden fast 2 Millionen Euro für den Wartungsvertrag ausgegeben. Dies zeigt, dass man mit dem Umstieg auf ein aktuelles und unterstütztes Betriebssystem häufig noch zu lange wartet. Dabei gibt es wahrscheinlich auch in Deutschland wie in Florida Rechner mit Windows 7 für die kein Wartungsvertrag abgeschlossen wurde und bestehende Sicherheitslücken somit ausgenutzt werden können.
Fehlende Firewall und unzureichende Sicherheitseinstellungen bei Fernzugriff
Die Rechner des Wasserversorgers in Florida waren direkt mit dem Internet verbunden. Eine Firewall soll anscheinend nicht vorhanden gewesen sein. Auch wenn eine Firewall gehackt oder Sicherheitslücken genutzt werden können, stellt es den Grundstein in der IT-Sicherheit dar. Um auf den Rechner zuzugreifen, hat der Hacker außerdem die Software TeamViewer genutzt. Diese war auf den Rechnern des Wasserversorgers installiert, damit autorisierte Mitarbeiter die Steuerung auf dem Rechner übernehmen können. Allerdings wurde für den Fernzugriff auf allen Rechner das identische Passwort verwendet.
Sicherheitsupdates sind das A und O zum Schutz vor Cyberangriffen
Es sollte sichergestellt werden, dass alle Systeme auf aktuellem Stand sind und Sicherheitsupdates zeitnah eingespielt werden. Wie wichtig hierbei ein dokumentiertes und strukturiertes Vorgehen ist, zeigt eine aktuelle Twitter Meldung des CERT-Bund – also des Computer-Notfallteam des BSI – wonach ein Jahr nach Veröffentlichung eines Sicherheitsupdates für eine Schwachstelle für Exchange-Server immer noch 31% (potenziell sogar 63%) der Server in Deutschland noch immer für die kritische Schwachstelle verwundbar sind. Ein Patch Management trägt in Organisationen Sorge dafür, dass Updates für Anwendungen, Betriebssysteme und Treiber angeschafft, getestet und installiert werden. Da Hacker die Sicherheitslücken bei fehlenden Updates gezielt ausnutzen, stellt das Patch Management einen zentralen Bestandteil der IT-Sicherheit dar.
Abkopplung von kritischen Bereichen durch Netzwerksegmentierung
Um die Auswirkungen von Cyber-Angriffen zu minimieren, empfiehlt es sich auch kritische Bereiche durch ein gesondertes Netz vom Rest des Unternehmens zu trennen. So kann sichergestellt werden, dass sich bei einem Angriff auf Clients in der Verwaltung die Schadsoftware nicht in der Produktion verbreitet.
IT-Dokumentation und IT-Notfallplan als Grundlage um bei Schäden von Cyber-Angriffen zu reagieren
Damit Organisationen bei aufgetretenen Schäden (wie z. B. Verschlüsselung der Festplatte oder gelöschte Dateien) reagieren können, ist es erforderlich eine IT-Dokumentation und Notfallpläne zu haben, die alle relevanten Informationen beinhaltet, um angemessen auf den Sicherheitsvorfall zu reagieren. Darin sollte auch für einen fachkundigen Dritten schnell ersichtlich sein, wie das IT-System der Organisation aufgebaut ist. Dafür werden die Anwendungen und benötigte Zugänge dokumentiert. Gerade wenn ein externer Dienstleister zur IT Betreuung eingesetzt wird, ist es essenziell, dass mit einer IT-Dokumentation sichergestellt wird, dass sofort reagiert werden kann – auch wenn der IT-Dienstleister nicht verfügbar ist. Damit die IT-Dokumentation im Schadensfall verfügbar ist, sollte bedacht werden, dass die IT-Dokumentation zusätzlich in Papierform aufbewahrt wird. Bei der Aufbewahrung empfiehlt es sich, dass Sie in einem Tresor außerhalb des Firmengebäude eingelagert wird. Damit minimiert sich das Risiko eines unberechtigten Zugriffs und eines Verlustes durch Feuer.
Managementsysteme um Informationssicherheit sicherzustellen
Der Hackerangriff auf die Wasserversorgung in Florida zeigt auf, wie wichtig es ist die Informationssicherheit in Organisationen mit Hilfe eines Managementsystems zu verwalten. Denn um die Informationssicherheit sicherzustellen, sind Prozesse und eine kontinuierliche Überprüfung der Maßnahmen unabdingbar. Durch eine Risikoanalyse und einer anschließenden Ableitung von Maßnahmen zur Risikominimierung und -vermeidung wären die Sicherheitsmängel beim Wasserversorger in Florida aufgefallen und hätten beseitigt werden können. Für kleine und mittelständische Unternehmen und Behörden stellt das Managementsystem ISA+ neben Managementsystemenen wie ISIS 12 oder ISO 27001 einen optimalen Einstieg in der Informationssicherheit dar.