Als die unbekannten Hacker ihren Angriff auf die Trinkwasserversorgung durchführten, war der Kontrollraum der Anlage in Oldsmar, Florida, besetzt. Für den anwesenden Mitarbeiter muss es eine gespenstische Szene gewesen sein: Ohne sein Zutun bewegte sich auf einmal der Mauszeiger und öffnete das Kontrollsystem für die Wasseraufbereitung. Die Nutzeroberfläche des Systems ist ziemlich unübersichtlich. Ein Wirrwarr von Statusmeldungen, grünen und roten Lichtern, Bezeichnungen verschiedener Pumpen. Doch der Angreifer fand sich offenbar gut zurecht. Dem Sheriff von Oldsmar zufolge brauchte er nur drei bis fünf Minuten, um ein weiteres Panel zu öffnen, dann klickte der Mauszeiger den Anteil des gefährlichen Natriumhydroxid im Wasser von 0.0001 Prozent auf 0.011 Prozent, eine Steigerung um das Hundertfache. Dann loggte sich der Unbekannte wieder aus.
Weil der zuständige Mitarbeiter des Wasserwerks vor Ort jeden Schritt live verfolgen konnte, war es ein Leichtes, alles sofort wieder rückgängig zu machen. Doch wenn es dem Angreifer darum gegangen wäre, wirklich Schaden anzurichten, dann hätte er es mit ein wenig mehr Aufwand vermutlich auch geschafft, die Werte unentdeckt zu manipulieren. Der Sheriff von Oldsmar betonte auf einer Pressekonferenz am Montag zwar, dass es mehr als 24 Stunden gedauert hätte, bis das Wasser bei Verbrauchern angekommen wäre. Zudem wären die erhöhten Werte später durch Warnsysteme aufgefallen. Dennoch sitzt der Schreck tief bei den lokalen Behörden und Experten für die Sicherheit von industriellen Kontrollanlagen (ICS).
Zivilisten hätten verletzt werden können
Kai Thomsen arbeitet für Dragos, eine IT-Sicherheitsfirma, die unter anderem die US-Regierung beim Thema ICS berät. "Mich beunruhigt der Fall sehr", sagt Thomsen am Telefon. Fest stehe: "Es gibt da jemanden, der in Kauf nimmt, dass Zivilisten durch die Aktion zu Schaden kommen."
Dass es soweit kommen konnte, ist allerdings auch den mangelnden Sicherheitsvorkehrungen der Anlage geschuldet. Die Liste der Fehler ist lang: Der Wasserversorger nutzte Teamviewer, eine bekannte Software für die Fernwartung, um von außen auf die Kontrollanlagen zugreifen zu können. Die Sicherheitsbehörden in den USA empfehlen dafür eigentliche speziell gesicherte Geräte, zumindest aber einen ausreichenden Schutz der Verbindung. In Oldsmar dagegen gab es keine Firewall, Internetnutzer konnten offenbar von überall auf der Welt den Teamviewer-Zugang ansteuern. Das Passwort dafür war offenbar ein leicht zu erratendes Standardpasswort. Im Netz kursieren zudem Screenshots von angeblichen Leaks der Zugangsdaten.
Auch der Rest der Systeme war nicht im besten Zustand. Die Computer liefen auf der 32-Bit-Version von Windows 7, einem Betriebssystem für das Microsoft ohne speziellen Support-Vertrag seit Anfang 2020 keine Sicherheitsupdates mehr zur Verfügung stellt.
Doch woher kamen die Angreifer? Der ehemalige Chef der US-Cybersicherheitsbehörde CISA Chris Krebs sagte in einer Anhörung des US-Kongresses, er halte es für wahrscheinlich, dass es sich um einen unzufriedenen Mitarbeiter handeln könnte. Sogenannte Innentäter sind jedes Jahr für einen guten Teil der Hackerangriffe auf Unternehmen verantwortlich. In Australien war es im Jahr 2000 ein entlassener Mitarbeiter, der über eine Million Liter verunreinigtes Wasser in Gewässer leitete.
Anfällige Infrastruktur, auch in Deutschland
Andere Experten wiederum halten die Innentäter-Hypothese für unplausibel. "Wer in diesem Fall dahinter steckt, finden wir vielleicht überhaupt nicht heraus", sagt ICS-Experte Kai Thomsen. So sei etwa noch unklar, in welchem Umfang der Wasserversorger Logdaten von dem Vorfall hat. Dass in Oldsmar ein Innentäter oder jugendliche Hacker am Werk waren, sei alles andere als sicher. So habe es in den vergangenen Jahren mehrere Angriffe auf kritische Infrastrukturen gegeben. In Israel versuchten Hacker im vergangenen Jahr mehrfach, den Chlorgehalt im Trinkwasser zu erhöhen. In der Ukraine gab es seit 2015 mehrere Angriffe, die die Stromversorgung unterbrachen. Dort habe es seitdem auch immer wieder Vorfälle mit kleineren Versorgern gegeben, darunter auch Wasserwerke, sagt Thomsen.
Die Sicherheit von kritischen Infrastrukturen ist auch in Deutschland immer wieder Anlass für Diskussionen, gerade will das Bundesinnenministerium mit dem IT-Sicherheitsgesetz 2.0 neue gesetzliche Vorgaben für Betreiber kritischer Anlagen machen. Experten kritisieren jedoch, dass viele der dort vorgesehenen Regeln ineffektiv sein dürften. "Von 5000 Stadtwerken in Deutschland müssen nur höchstens 50 die neuen Vorgaben erfüllen", sagt Manuel Atug, einer der Sprecher der AG Kritis, einer NGO, die sich für Sicherheit in der zivilen Infrastruktur engagiert. Schuld daran sei der Schwellenwert, der wiederum in der BSI-Kritisverordnung festgelegt sei. Demnach müsse ein Versorger für 500 000 Personen zuständig sein, bevor er als kritische Infrastruktur im Sinne der Verordnung gilt. Dass es auch in Deutschland industrielle Kontrollanlagen gibt, die anfällig für Hackerangriffe wären, stehe außer Zweifel. "Fernwartung ist immer wieder ein Problem, auch in Deutschland", sagt Atug.
Kai Thomsen kritisiert, dass es in Deutschland kaum Möglichkeiten gebe, herauszufinden, was in den Netzwerken der Kritis-Betreiber passiert. Kaum ein Unternehmen speichere die Verbindungsdaten, die nötig wären, um Hackerangriffe aufzuklären. "In den USA sind sie da schon weiter. Dort ist zumindest das Bewusstsein da", so Thomsen. Kleinere Störungen gebe es immer wieder in Stromnetzen oder bei Wasserwerken - auch in Deutschland. Das müssten keine Hackerangriffe sein, so Thomsen, aber ohne Logdateien sei es unmöglich, das auszuschließen.
