Ein neuer Angriff auf die Cybersicherheit der Wasserversorgung von Arkansas City hat eine neue Untersuchung des FBI und des Heimatschutzministeriums ausgelöst.
Die Stadt Arkansas City gab bekannt, dass ihre Wasseraufbereitungsanlage am 22. September gehackt wurde. Die Stadt informierte die zuständigen Behörden und stellte die Wasseraufbereitungsanlage auf manuelle Steuerung um, um einen sicheren Betrieb zu gewährleisten.
Im vergangenen Jahr waren unter anderem Tipton in Indiana, die texanischen Städte Hale Center, Muleshoe, Lockney und Abernathy sowie Aliquippa in Pennsylvania von Cyberangriffen auf Wasserversorger betroffen.
US-Geheimdienste und Strafverfolgungsbehörden, darunter die NSA, Homeland Security, CISA und das FBI, haben davor gewarnt, dass kritische Infrastrukturen, einschließlich der Wasser- und Sanitärversorgung, ein beliebtes Cyber-Ziel sind.
Wir analysieren den jüngsten Angriff mit Experten.
Arkansas City trifft Vorkehrungen zum Schutz der Wasserversorgung
Der Bürgermeister der Stadt, Randy Frazer, versicherte den Einwohnern, dass die Wasserversorgung absolut sicher sei.
“Trotz des Vorfalls ist die Wasserversorgung weiterhin absolut sicher und es gab keine Unterbrechungen. Aus Sicherheitsgründen wurde die Wasseraufbereitungsanlage auf manuellen Betrieb umgestellt, bis die Situation geklärt ist.”
Die lokale Nachrichtenseite KWCH.com berichtete, dass die Wasserversorger in Arkansas nach dem Ausfall des Wassersystems eine Pop-up-Meldung auf ihren Bildschirmen sahen. Die Nachricht, bei der es sich angeblich um eine Lösegeldforderung handelte, enthielt eine E-Mail-Adresse, an die man sich wenden sollte.
Es ist unklar, ob die Stadt Arkansas das Lösegeld für die Ransomware zahlen wird. Das FBI und das Department of Homeland Security raten Organisationen stets davon ab, auf Forderungen einzugehen, da es keine Garantie für eine Wiederherstellung oder zukünftige Sicherheit gibt.
War der Angriff auf die Wasserversorgung in Arkansas Sabotage?
Obwohl keine Veränderungen der Wasserversorgung oder der Wasserqualität zu erwarten sind, hat die Situation auf Bundesebene Alarm ausgelöst.
Itay Glick, VP of Products bei OPSWAT, einem globalen Anbieter von Cybersicherheitslösungen für kritische Infrastrukturen, erklärte gegenüber Techopedia, dass der Vorfall in Arkansas die sich entwickelnden Herausforderungen im Bereich der Cybersicherheit aufzeige, mit denen kritische Infrastrukturen, insbesondere im Wasser- und Abwassersektor, konfrontiert seien.
“Glücklicherweise kam es zu keiner Unterbrechung der Wasserversorgung und sensible Informationen blieben sicher. Ähnliche Angriffe könnten jedoch leicht schwerwiegendere Folgen haben.”
Cyberangriffe auf Wassersysteme in den USA erregen normalerweise wenig Aufmerksamkeit. Die Wasserangriffe in Indiana im April und in Aliquippa, Pennsylvania, im November stachen jedoch heraus, weil sie von russischen und iranischen Bedrohungsakteuren durchgeführt wurden.
Die Stadt oder die Behörden von Arkansas haben keine offiziellen Informationen über den jüngsten Angriff veröffentlicht, aber da das FBI und das Heimatschutzministerium vor Ort sind, um die Situation zu untersuchen, ist es sehr wahrscheinlich, dass auch hinter den Vorfällen in Arkansas ein Nationalstaat steckt.
Glick von OPSWAT sprach darüber, warum das FBI in Arkansas war und was sie untersuchen könnten.
„Ich denke, das FBI würde nach der Urheberschaft suchen – wer hinter dem Angriff steckt, nach IOCs (Indikatoren für Bedrohungen), die sie an andere Organisationen verteilen könnten, um sie besser zu schützen, und nach inaktiven Artefakten, die platziert wurden, um wieder Zugang zu erhalten.“
Glick fügte hinzu, dass es ohne spezifische Details aus der Untersuchung dieses Vorfalls schwierig sei, festzustellen, ob der Angriff auf die Wasseraufbereitungsanlage in Arkansas City rein finanziell motiviert war oder ob es sich um eine strategischere Absicht wie Sabotage handeln könnte.
„Angesichts der kritischen Natur der Wasserversorgung und der zunehmenden Beteiligung nationalstaatlicher Akteure an Cyberangriffen ist es jedoch wichtig, dass Organisationen wachsam bleiben und alle möglichen Beweggründe in Betracht ziehen.“
Ransomware kommt nicht aus dem Nichts
Shawn Waldman, CEO und Gründer von Secure Cyber, einem Beratungsunternehmen für Cybersicherheit, das Erkennungs- und Reaktionsdienste für kritische Infrastrukturen betreibt, erklärte gegenüber Techopedia, dass die Bundespolizei in Arkansas City ist, weil es eine kleine Stadt ist, die wahrscheinlich die Hilfe von Bundesermittlern benötigen könnte. „Es handelt sich auch um Verbrechen auf Bundesebene, die eine Untersuchung durch das FBI rechtfertigen“, fügte Waldman hinzu.
„Sie (FBI und Homeland) konzentrieren sich wahrscheinlich auf die Wasserkontrollsysteme, um sicherzustellen, dass der Ransomware-Vorfall nicht auf das eigentliche Wassernetz übergegriffen hat.“
„Sie konzentrieren sich auch darauf, den Bedrohungsakteur zu identifizieren und gegebenenfalls Kommunikationskanäle mit ihm zu eröffnen.“
Ein ungeschützter Front-End- und Back-End-Zugang zu Systemen und eine fehlende Netzwerksegmentierung zum Schutz von OT-Umgebungen (Operational Technology) sind Teil des Problems.
„Diese fehlende Trennung (Segmentierung) kann es einem Angriff aus dem Stadtnetz ermöglichen, in kritische Infrastrukturen wie eine Wasseraufbereitungsanlage einzudringen“, so Waldman.
Ein weiteres großes Problem ist der unzureichende Schutz von Mensch-Maschine-Schnittstellen (HMI). HMIs ermöglichen es den Ingenieuren, den Wasserfluss zu steuern, Ventile zu öffnen und zu schließen und chemische Emissionen zu verwalten, was sie zu einem der sensibelsten Teile der Anlage macht. „Eine Störung hier könnte zu gefährlichen Veränderungen in der Wasserversorgung führen“, sagt Waldman.
Die Kosten der Wassersicherheit und Regulierungslücken
Die beiden jüngsten Cyberangriffe auf die USA im Jahr 2024 (in Tipton, Indiana, und Alequipa, Pennsylvania) gefährdeten OT und führten zu einer manuellen Übersteuerung. Im Gegensatz dazu zielen andere historische Cyber-Angriffe in der Regel auf Partner, Unternehmen und nutzersensitive Daten ab.
Bedrohungsakteure, die auf OT abzielen – die Maschinen, die eine Wasseraufbereitungsanlage am Laufen halten und oft automatisiert sind – wollen absichtlich so viel Schaden wie möglich anrichten und ein Spannungsfeld schaffen, indem sie Angst in der Bevölkerung verbreiten. Schließlich ist Wasser für jeden Haushalt lebenswichtig.
Waldman sagte, dass eine Rückkehr zu luftisolierten Systemen, die ohne Internetverbindung funktionieren, nicht möglich sei, da es einen gravierenden Mangel an qualifizierten Beratern und Unternehmen gebe, die Kontrollsysteme unterstützen könnten.
“Ich denke, der Kongress muss sich stärker für strengere Anforderungen an die Betreiber einsetzen„, sagte Waldman. Waldman sagte, dass eine Erhöhung der Wassergebühren nicht ausgeschlossen werden sollte, um die Kosten der Cybersicherheit auszugleichen.”
“Wir können nicht einfach beschließen, wegen der Kosten nichts zu tun und diese Systeme anfällig für Kompromisse zu lassen. Das wäre unverantwortlich.”
Glick von OPSWAT forderte außerdem mehr Regulierung und die Einführung präventiver Maßnahmen wie Sicherheitsgateways, Intrusion Detection Systeme und regelmäßige Sicherheitsüberprüfungen, um Risiken zu reduzieren.
“Ein klar definierter Reaktionsplan für Zwischenfälle ist von entscheidender Bedeutung”, sagte Glick. Darüber hinaus ist die Schulung der Mitarbeiter ebenso wichtig, da menschliches Versagen nach wie vor ein häufiges Einfallstor für Bedrohungen ist.
Schlussfolgerung
Cyber-Angriffe auf die Wasserversorgung stehen leider erst am Anfang. Bedrohungsgruppen nehmen den Sektor zunehmend ins Visier und lernen aus jedem Angriff. Die Eskalation wird deutlich, wenn Wasserversorger gezwungen sind, ihre Bürger manuell mit Wasser zu versorgen.
Wenn die Warnungen vor der Welle von Cyberangriffen in den USA weiterhin ungehört verhallen, werden die Schäden und Unterbrechungen wahrscheinlich zunehmen und ein inakzeptables und extrem gefährliches Niveau erreichen.
Wasserwerke im ganzen Land müssen ihre Sicherheit mit oder ohne Unterstützung der Bundesregierung überdenken und moderne Sicherheitsstandards erreichen. Ein so wichtiger Sektor wie die Wasserversorgung darf nicht so verwundbar sein wie heute.