Wie ein aufmerksamer Mitarbeiter einen Cyberangriff auf die Trinkwasserversorgung in Oldsmar/Florida verhinderte

Anfang Februar dieses Jahres sind die 15.000 Einwohnerinnen und Einwohner von Oldsmar in Florida einer Vergiftung ihres Trinkwassers entgangen, weil ein Mitarbeiter verdächtige Aktionen bemerkt und unterbunden hat.

Am 5. Februar, einem Freitag, hat der zuständige Operator (also derjenige Mitarbeiter, der für die Überwachung und den Betrieb der Wasserversorgung eingesetzt war) morgens einen Fernzugriff auf das System festgestellt. Allerdings war ein solcher Fernzugriff durchaus normal, da der Vorgesetzte auch von außerhalb der eigentlichen Leitwarte regelmäßig im System war. Ein paar Stunden später, kurz nach Mittag, allerdings sah der Operator etwas sehr Verdächtiges: Seine Maus bewegte sich von alleine über den Bildschirm, öffnete verschiedene Anwendungen und erhöhte schließlich den Eintrag von Natriumhydroxid – einer Lauge, die zur Trinkwasseraufbereitung in kleinen Konzentrationen genutzt wird, in großen Konzentrationen aber gesundheitsschädlich ist – von 100 ppm auf 11.100 ppm, also um das mehr als 100fache. Insgesamt dauerte dies nur etwa drei bis fünf Minuten.

Der Operator reagierte sofort, stellte die Konzentration wieder auf das richtige Maß ein und alarmierte seine Kollegschaft und die zuständigen Stellen. Die Systeme wurden auf digitale Spuren untersucht und das FBI nahm Ermittlungen auf (bis heute leider ohne Erfolg). Recht schnell wurden auch Sicherheitsmaßnahmen verstärkt, insbesondere sind die Fernzugriffe nicht mehr so einfach möglich. Ich kann sehr den Mitschnitt der Pressekonferenz empfehlen, die der zuständige Sheriff zusammen mit dem Bürgermeister von Oldsmar und einem Manager der Wasserversorgung ein paar Tage später gegeben hat – wie ich finde, eine mustergültige Information der Öffentlichkeit, die in ähnlichen Fällen sonst häufig gar nicht stattfindet.

Aber solche Cyberangriffe auf kritische Infrastrukturen und allgemein auf IT-Netzwerke von Unternehmen finden nun einmal statt – und sie nehmen zu. Erst vor wenigen Tagen wurde im Osten der USA der Notstand ausgerufen, nachdem durch einen Erpressungsangriff das Kraftstofftransportnetzwerk von Colonial Pipeline lahmgelegt wurde. Ohne noch mehr aufzuzählen: Alle Arten von IT-Netzwerken, ob nun Kommunen, Industrieunternehmen, kritische Infrastrukturen oder andere Organisationen, sind betroffen.

Allerdings ist es nun auch nicht so, dass wir machtlos einer "bösen Welt" von Hackern*, Kriminellen und Terroristen* ausgeliefert sind. Im Gegenteil, wie bei allen anderen Arten von Risiken auch, gibt es eine ganze Menge von Schutzmaßnahmen, die insbesondere in einer sinnvollen (und auch kosteneffizienten) Kombination das hinreichende Niveau an Sicherheit ermöglichen. Genauso, wie wir uns mit abschließbaren Türen und Fenstern vor Einbrecherinnen und Einbrechern schützen, setzen wir Firewalls, Netzwerküberwachungssysteme, Virenerkennung und anderes mehr ein.

Gut zu wissen: Auch wenn in Oldsmar der Angriff nicht sofort entdeckt worden wäre – die viel zu hohe Konzentration der Lauge wäre auf jeden Fall durch regelmäßige chemische Überwachungen aufgefallen, ehe das Trinkwasser zu den Verbrauchern kommt. Es ist ein gutes Beispiel für eine Kombination von Schutzmaßnahmen aus völlig verschiedenen Bereichen.

Der wichtigste Faktor sind die Angestellten. Sie betreiben die Anlagen, sie überwachen die Anlagen und Systeme – und sie müssen in der Lage sein zu reagieren, falls etwas nicht stimmt (im Übrigen natürlich nicht nur aus Sicherheitsgründen, sondern auch falls es technische Störungen etc. gibt). Der Operator in der Leitwarte in Oldsmar war vielleicht erstmal geschockt, als sich wie von Geisterhand auf seinem Bildschirm die Maus bewegt hat. Aber er war geschult und wusste, wie er zu reagieren hat.

Es gibt überhaupt keinen Grund selbst bei Angriffen auf solche lebenswichtigen Infrastrukturen wie die Wasserversorgung in Panik zu verfallen, wichtig ist eine systematische Umsetzung von Schutzmaßnahmen auf Basis von vernünftigen Standards. Und alle technischen Maßnahmen sind nicht viel wert, wenn die Menschen nicht mit ihnen umgehen können. Ein regelmäßiges Training ist immer die notwendige Basis.

Über den Autor

Dr. Frank Stummer ist Mitgründer mehrerer Unternehmen im Hochtechnologiebereich, u.a. der ipoque GmbH und der Adyton Systems AG, die beide von einem Konzern akquiriert wurden, sowie der Rhebo GmbH, einem Unternehmen für IT-Sicherheit und Netzwerküberwachung für Industrie 4.0. Zuvor arbeitete er als Unternehmensberater für internationale Grosskonzerne. Dr. Frank Stummer studierte Betriebswirtschaft an der TU Bergakademie Freiberg und promovierte über Venture-Capital-Partnerschaften am Fraunhofer Institut für System- und Innovationsforschung in Karlsruhe.

_{*Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.}