Ihre Wasserversorgung wird von Cyberangriffen angegriffen

Cyberangriffe auf den Wassersektor sind in den letzten Jahren immer häufiger geworden, was auf die Zunahme der Cyberkriminalität zurückzuführen ist. Die Wasserindustrie ist ein besonders anfälliges Ziel für Hacker, da sie über wertvolle kritische Infrastruktur verfügt, es jedoch an fortschrittlichen Cybersicherheitsmaßnahmen mangelt. Eine Analyse der wichtigsten Angriffe der letzten Jahre zeigt einige wichtige Trends. Was ist die Ursache für zunehmende Cyberangriffe im Wassersektor und welche Schritte werden unternommen, um das Problem zu lösen?

Wichtige Cyberangriffe im Wassersektor

Die globalen Kosten der Cyberkriminalität waren vorbei im Jahr 2022 neunmal höher im Vergleich zu 2018, geschätzt auf 8,44 Billionen USD. Jeder ist heute einem erhöhten Risiko eines Cyberangriffs ausgesetzt, auch Versorgungsunternehmen wie Wasserversorgungs- und -aufbereitungsunternehmen. Der US-amerikanische Wassersektor wurde in den letzten Jahren von mehreren großen Cyberangriffen heimgesucht, die eine ernsthafte Bedrohung für die öffentliche Gesundheit und Sicherheit darstellen.

Beispielsweise musste die Onslow Water and Sewer Activity Authority in North Carolina im Jahr 2018 ihr IT-Netzwerk nach zwei aufeinanderfolgenden Ransomware-Angriffen abschalten. Die Organisation in Jacksonville verteilt Wasser an über 100.000 Einwohner von North Carolina. Glücklicherweise haben die Ransomware- Angriffe die Versorgung dieser Bewohner nicht unterbrochen, sie haben jedoch die Sicherheit der Daten und Infrastruktur der Versorgungsunternehmen gefährdet.

Im Jahr 2019 hackte sich ein 22-Jähriger aus der Ferne in das Netzwerk des Ellsworth County Rural Water District in Kansas. Der Hacker hat es versucht Manipulation der Desinfektionsmittelmengen in der Wasseraufbereitungsanlage, aber der Angriff wurde gestoppt, bevor er Schaden anrichtete. Später identifizierten die Beamten den Täter und erstatteten Anklage. Es stellte sich heraus, dass es sich um einen ehemaligen Mitarbeiter der Einrichtung in Ellsworth County handelte.

Ebenso im Jahr 2021 Doppelte Cyberangriffe trafen Einrichtungen im Wassersektor in San Francisco, Kalifornien, und Oldsmar, Florida. Bei beiden Angriffen kam ein Fernzugriffsprogramm namens TeamViewer zum Einsatz. Diese App wird häufig in der Versorgungsbranche für Aufgaben wie die Fernüberwachung von Wasseraufbereitungs- und Versorgungsdaten verwendet. Allerdings missbrauchen Hacker es, um die Systeme von Wasserunternehmen illegal zu manipulieren. Glücklicherweise konnten beide Angriffe gestoppt werden, bevor sie Schaden anrichteten.

Taktiken und Motive von Hackern

Was motiviert all diese Angriffe auf den Wassersektor? Es gibt einige Faktoren, die Hacker dazu veranlassen, sich weniger konventionellen Zielen wie Organisationen des Wassersektors zuzuwenden.

Ransomware-as-a-Service macht es für Kriminelle einfacher denn je, sich an Hackerangriffen zu beteiligen. Ein Amateur-Hacker kann auf ein ausgeklügeltes Ransomware-Programm zugreifen, indem er eine geringe Gebühr an den Ersteller der Malware zahlt. Infolgedessen sind heute mehr Hacker aktiv an der Kriminalität beteiligt als noch vor fünf oder zehn Jahren.

Eine größere Anzahl von Hackern führt dazu, dass viele neue Arten von Zielen in Betracht ziehen. Ideal für einen Hacker ist eine Organisation mit wenigen oder gar keinen Sicherheitsressourcen sowie einer kritischen Infrastruktur. Die Wasserwirtschaft benötigt einen zentralisierten Sicherheitsansatz und viele Aufbereitungs- und Verteilungsanlagen erfordern ein kritischeres Cyberbewusstsein. Sie verfügen oft nur über wenige Schutzmaßnahmen gegen unbefugten Netzwerkzugriff, wodurch wertvolle Infrastruktur preisgegeben wird.

Beispielsweise umfassten drei der vier oben beschriebenen Cyberangriffe im Wassersektor die Ausnutzung von Fernzugriffsprogrammen und Mitarbeiteranmeldedaten. Experten schätzen das zumindest 25 % der Datenschutzverletzungen werden durch gestohlene Zugangsdaten verursacht, wie sie beispielsweise bei den beiden Cyberangriffen auf den Wassersektor im Jahr 2021 verwendet wurden.

Bei den Angriffen in San Francisco und Oldsmar nutzten Hacker gestohlene Zugangsdaten, die im Dark Web gehandelt wurden. In Oldsmar verwendeten Berichten zufolge alle Mitarbeiter der Einrichtung dasselbe Passwort, um auf die TeamViewer-App zuzugreifen. Bei dem Angriff in Ellsworth County, Kansas, im Jahr 2019 missbrauchte der Hacker die Privilegien von Mitarbeitern eines ehemaligen Jobs im Wassersektor. In diesen Fällen hätten stärkere Maßnahmen zur Identitäts- und Zugriffskontrolle die Hacker möglicherweise daran gehindert, auf sensible Systeme und Daten zuzugreifen.

Die Motive für viele Cyberangriffe auf den Wassersektor scheinen schadens- oder angstbasiert zu sein. Hacker versuchten in zahlreichen Angriffen, die öffentliche Wasserversorgung mit verschiedenen Methoden zu vergiften. Sie könnten beispielsweise Fernzugriffstools verwenden, um die Menge der Wasseraufbereitungschemikalien auf toxische Werte zu bringen.

Finanzielle Gewinne sind wahrscheinlich auch ein wichtiger Anreiz, wie im Fall der beiden Ransomware-Angriffe im Jahr 2018 auf eine Einrichtung in Jacksonville, North Carolina. Fachleute des Wassersektors und Branchenführer sollten bedenken, dass das FBI rät Organisationen, niemals Lösegeld zu zahlen bei Ransomware-Angriffen. Durch die Zahlung werden Hacker dazu ermutigt, ihre kriminellen Kampagnen fortzusetzen, und es gibt keine Garantie dafür, dass sie die Daten eines Opfers nach der Zahlung tatsächlich wiederherstellen.

Wie die USA den Wassersektor verteidigen

Die US-Bundesregierung verstärkt ihre Bemühungen, die Sicherheit als Reaktion auf die zunehmenden Cyberbedrohungen für den Wassersektor zu verbessern. Im Jahr 2018 verabschiedete der Kongress beispielsweise den amerikanischen Water Infrastructure Act. Es legt Anforderungen an die Risikobewertung fest für Wasseranlagen mit einer Versorgung von 3.300 oder mehr Menschen. Das Gesetz beschreibt auch die Leitlinien und die technische Unterstützung, die die EPA den Organisationen des Wassersektors bieten soll.

Im Jahr 2023 wird die EPA veröffentlichte aktualisierte Mindestanforderungen an die Cybersicherheit für öffentliche Wasseranlagen. Zu den neuen Anforderungen gehören obligatorische Cybersicherheitsaudits, um sicherzustellen, dass Einrichtungen im ganzen Land robuste Abwehrmaßnahmen implementieren. Die aktualisierten Anforderungen folgen sechs vom Government Accountability Office vorgeschlagenen Initiativen für 2021, einschließlich der Unterstützung durch die National Initiative for Cybersecurity Education.

Die EPA unternimmt außerdem Schritte, um Organisationen des Wassersektors bei der Verbesserung ihrer Sicherheitspraktiken zu unterstützen. Beispielsweise umfasst das von der EPA angebotene Water and Wastewater Utility All-Hazards Bootcamp-Schulungsprogramm Mitarbeiterschulungen zu Cyber-Sensibilisierung und Notfallmaßnahmen. Mitarbeiterschulungen sind ein wesentlicher Bestandteil der Verbesserung der Cybersicherheit in jedem Unternehmen. Unternehmen der Wasserwirtschaft können nutzen Strategien wie Gamification und Simulationen um die Wirkung solcher Programme zu maximieren.

Darüber hinaus verzeichnete das Water Information Sharing and Analysis Center einen Mitgliederzuwachs. Die Organisation stellt landesweit Sicherheitsdaten und Leitlinien für Einrichtungen des Wassersektors bereit. Die Vernetzung von Fachleuten aus dem Wassersektor durch Organisationen wie diese kann das Cyberbewusstsein steigern und die Entwicklung branchenspezifischer Sicherheitslösungen fördern.

Schutz des Wassersektors

Jeder verlässt sich im Hinblick auf Gesundheit, Sicherheit und Ernährung auf die Wasserindustrie, daher ist es von größter Bedeutung, sie vor digitalen Bedrohungen zu schützen. Organisationen im Wassersektor müssen proaktive Maßnahmen ergreifen, um ihre Systeme und Daten vor Angriffen zu schützen, vor allem da Hacker die Branche zunehmend ins Visier nehmen. Die US-Umweltschutzbehörde EPA und Branchenorganisationen stellen Beratung und Hilfe zur Verfügung, um Unternehmen im Wassersektor bei der Anpassung an anspruchsvollere Sicherheitsanforderungen zu unterstützen.