Cyberangriffe auf Staudämme, Bewässerungssysteme oder Wasseraufbereitungsanlagen sind medial kaum präsent. Dennoch existieren sie – und nehmen sogar einen beispiellosen strategischen Charakter an. Wie ist der aktuelle Stand der Cybersicherheit von Wassernetzen auf der ganzen Welt?
Die Wasserindustrie muss sich mit verschiedenen Problemen befassen, etwa dem Spagat zwischen alternden Infrastrukturen, dem Bedarf an fernsteuerbarer Automatisierung und dem steigenden Umfang von Cyberangriffen. Dabei handelt es sich um Attacken, die oft von staatlichen Organen mit dem Ziel orchestriert werden, eine Wirtschaft oder ein Land aus dem Gleichgewicht zu bringen. Auf internationaler Ebene beginnen die meisten Wasserversorger in Industrieländern damit, die Cybersicherheit als Bestandteil der Modernisierung zu integrieren.
„Das Maß an Cybersicherheit in Wassernetzen entspricht jedoch noch nicht dem Grad der Bedrohung, dem die Wasserindustrie ausgesetzt ist“, gibt Uwe Gries, Country-Manager DACH bei Stormshield an. In den Entwicklungsländern hingegen gehört die Cybersicherheit keineswegs zu den Prioritäten der Wasserindustrie. Für diese Länder sind die Herausforderungen andere: Wasserknappheit, Wasseraufbereitung, Effizienz der Verteilungsnetze, Abwasserentsorgung etc. Wenn man von Ungleichheit und Knappheit spricht, ergeben sich naturgemäß Konflikte um die Kontrolle über diese lebensnotwendige Ressource und Industrie. Dieser wirtschaftliche und politische Zustand schafft einen besonders günstigen Nährboden für Cyberangriffe.
Zunahme der Cyberrisiken für die Wasserindustrie
Meist handelt es sich bei den heutigen Angriffen auf die Wasserindustrie um gezielte und mittels Ransomware durchgeführte Attacken und bei den Angreifern um von staatlichen Stellen finanzierte oder geleitete Gruppen, die sich oft russischer, chinesischer oder iranischer ATPs bedienen. Vorzeichen dieser Entwicklung gab es bereits 2017, als Cybersicherheitsforscher der Georgia State University eine neue Form von Malware entwickelten, die Wasser durch Veränderung des Chlorgehalts in den Wasseraufbereitungsanlagen vergiften konnte. Ein Ansatz, den anscheinend auch der Iran im April 2019 verfolgte, als angeblich der Versuch gestartet wurde, durch Cyberangriffe die Qualität des Wassers eines israelischen Werks zu beeinträchtigen. Die Angreifer hätten zuerst die Kontrolle über US-Server übernommen, um ihre Spuren zu verwischen, und dann die Wasserverteilungsnetze angegriffen. Die Attacke war letztendlich erfolglos – andernfalls wäre der Schaden für die öffentliche Gesundheit erheblich gewesen. Ferner war bereits im Jahr 2018 ein Wasserversorger in North Carolina das Ziel eines Ransomware-Angriffs, während sich der Staat mitten im Krisenmanagement aufgrund der Folgen des Hurrikans Florence befand. 2019 wurden allein in den USA über 22 Cyberangriffe dieser Art registriert.
Ad hoc konzipierter Schutz
Die heutige Wasserinfrastruktur ist auf geografisch verteilte Architekturen und auf die Fernwartung der Systeme angewiesen. Die Wahrung der Integrität der ausgetauschten Befehle und Daten ist daher unerlässlich, um am Ende der Kette die Qualität dieser Ressource sicherzustellen.
Die Wasserindustrie ist nun gezwungen, über die Sicherung ihrer Systeme nachzudenken, wenn sie die Wasseraufbereitungs- und Verteilungsprozesse in einer IoT- („Internet of Things“) oder sogar einer IIoT-Logik („Industrial Internet of Things“) optimieren will.
Zu diesem Zweck segmentiert aktuell die Wasserindustrie jeden ihrer Standorte und trennt die IT-Welt (PCs, Server, Benutzer) von der OT-Welt – mit dem Ziel, den operativen Teil der Versorgungskette im Fall von Angriffen zu isolieren. Doch diese „allgemein gültigen Lösungen“ erweisen sich oft als unzureichend. Um die Cybersicherheit von Wassernetzen zu gewährleisten, müssen die Vertrauenswürdigkeit und die Legitimität der über Netz- und OT-Protokolle übermittelten Daten und Befehle ständig und in Echtzeit überprüft werden. Darüber hinaus ist es erforderlich, Zero-Trust-Modelle für die Sicherung der Fernzugriffe einzurichten. „Eine Aufgabe, die man nur mittels für diese Branche entwickelter Industrie-Firewalls erfolgreich bewältigen kann“, teilt Gries mit. „Unsere Erfahrung bei der Absicherung eines Trinkwassernetzes einer Metropole mit über einer Million Einwohnern unter Berücksichtigung betrieblicher Einschränkungen und bei der dedizierten Ausrüstung von 100 Wassertürmen macht uns deutlich, dass es kaum kritischere Infrastrukturen gibt, die so dringend einen ad hoc konzipierten Schutz benötigen, als die Wasserindustrie.“