Was sagt uns der Zwischenfall bei der Wasserversorgung in Florida über die ICS/OT-Sicherheit?

Es ist das Making-of eines Horrorfilms: ein Cyberangriff, der die Wasserversorgung einer Stadt stört und die Bewohner vergiftet. Das wäre beinahe in der realen Welt passiert.

Im Jahr 2021 gelang es einem Hacker, den Natriumhydroxid-Gehalt in der Wasserversorgung von Oldsmar, FL, zu erhöhen. Die Horrorshow wurde zum Glück schnell beendet, da ein Angestellter des Wasserwerks die Veränderung der Wassermenge bemerkte und sie schnell wieder auf den Normalwert zurücksetzte.

Der Vorfall war erschreckend, und mit etwas Glück wurde die Öffentlichkeit vor einer echten Gefahr bewahrt. Diese Geschichte bietet jedoch ein paar Lektionen in Sachen Cybersicherheit - einschließlich der Bedeutung von Patches.

Rekapitulieren wir die Geschehnisse

Die Zeitschrift Wired veröffentlichte einen vollständigen Bericht über den Vorfallveröffentlicht, aber wir fassen zusammen, wie es passiert ist. Am Freitag, dem 5. Februar 2021, wurde versucht, die Wasserversorgung der Stadt Oldsmar zu vergiften. Es begann damit, dass sich ein Hacker Zugang zum industriellen Kontrollsystem (ICS) einer Wasseraufbereitungsanlage verschaffte.

Der Hacker verschaffte sich Zugriff auf das ICS, indem er sich Zugang zur TeamViewer-Software verschaffte, die von der Einrichtung verwendet wird, um den Mitarbeitern die Fernsteuerung der Kontrollsysteme zu ermöglichen. Irgendwann während der Schicht bemerkte einer der Mitarbeiter, dass sich der Mauszeiger auf TeamViewer bewegte. 

Einige Stunden später bemerkte der Mitarbeiter, dass sich der Mauszeiger erneut bewegte - diesmal klickte er sich durch die Wasserkontrollen der Anlage, wo der Hacker den Natriumhydroxid-Gehalt von 100 ppm auf 11.100 ppm anhob - ein giftiger Wert. Glücklicherweise wurde die Änderung rechtzeitig bemerkt und das Teammitglied machte sie fast sofort rückgängig.

Aber wie hat sich der Hacker Zugang zu TeamViewer verschafft? Kennen Sie den Ratschlag, Passwörter nicht weiterzugeben und sie regelmäßig zu ändern? Offenbar nicht, hatte das technische Team der Wasseraufbereitungsanlage diesen Ratschlag noch nie gehört (oder hat ihn ignoriert).

ICS/OT ist jetzt aufgedeckt

Lassen Sie uns einen Schritt zurückgehen. Es ist noch gar nicht so lange her, da waren IKS und Betriebstechnik (OT) - allgemein gesprochen - völlig von der Außenwelt abgeschnitten. Alle Anpassungen und Kontrollen wurden vor Ort von Mitarbeitern vorgenommen, die mit Systemen arbeiteten, die im Grunde genommen vom Internet isoliert waren.

Damit Angriffe erfolgreich waren, musste man im Allgemeinen physisch in die Einrichtung eindringen. Ein verärgerter Mitarbeiter, ein mit der Absicht, einen Angriff auszuführen, eingeschleuster Mitarbeiter oder ein physischer Einbruch in die Einrichtung wären also die Möglichkeiten, wie sich ein Angreifer Zugang verschaffen könnte.

Dies ist nicht mehr der Fall da OT und IT zunehmend konvergierenund da OT zunehmend Internetverbindungen benötigt, um zu funktionieren (man denke beispielsweise an das industrielle IoT). Der Angriff auf die Wasseraufbereitungsanlage veranschaulicht, wie leicht ICS/OT von der Außenwelt ausgesetzt werden können.

Ignorieren allgemein bekannter Ratschläge

Da diese Systeme nun stärker mit der Außenwelt verbunden sind, sind ältere Annahmen darüber, welche Sicherheitsmaßnahmen im Zusammenhang mit ICS/OT ergriffen werden sollten, nicht mehr gültig, und Organisationen, die mit OT arbeiten, müssen ihr Engagement verstärken und zumindest allgemeine Best Practices anwenden.

Und genau hier liegt der Haken: Immer wieder sind es die gleichen alten Ratschläge, die den Tag gerettet hätten, es aber nicht taten, weil die Ratschläge nie umgesetzt wurden. Trotz all des Wissens, der Ausbildung und der Berichte über erfolgreiche Angriffe läuft es fast immer auf die gleiche alte Geschichte hinaus.

Ob es sich um Passworthygiene, die sorgfältige Verwaltung von Rollen und Berechtigungen oder die Aufrechterhaltung eines Perimeters handelt, etablierte Best Practices werden häufig ignoriert, was Bedrohungsakteuren einen Weg ins Innere eröffnet. Die Bedrohung für kritische Infrastrukturen hält an. Betreiber von ICS und OT können es sich nicht leisten, so zu tun, als ob überholte Vorstellungen von Sicherheitsanforderungen immer noch gültig wären, und sie können es sich nicht leisten, Standardempfehlungen zu ignorieren.

Diesmal war es kein Patching, aber es hätte eines sein können 

Das schnelle und konsequente Patchen ist eine der vernünftigen Regeln für die Cybersicherheit, die regelmäßig ignoriert wird, genauso wie die einfachen Anweisungen für gute Kennwortpraktiken. Fairerweise muss man sagen, dass es beim Patchen etwas komplizierter ist: Fehlende Ressourcen und die Notwendigkeit, Wartungsfenster zu planen, um Systeme offline zu nehmen, können dem Patchen im Wege stehen. 

Aber Patches müssen durchgeführt werden, und zwar konsequent. Glücklicherweise hat sich das Patching-Spiel dank Live-Patching dramatisch verändert - das jetzt auch für ICS, OT und IIoT verfügbar ist.

Der Vorfall in Florida lehrt uns eine einfache Lektion. Es besteht eine große Gefahr, wenn einfache Grundsätze der Cybersicherheit ignoriert werden. In diesem Fall wurde die Gefahr gerade noch abgewendet. Das wird nicht immer der Fall sein. Patching ist einer der am häufigsten ignorierten Grundsätze der Cybersicherheit - und auch die Hauptursache für erfolgreiche Sicherheitsverletzungen.

Also, patchen Sie - und zwar sofort. Haben Sie Probleme mit dem Patchen? Erfahren Sie, wie automatisiertes Live-Patching helfen kann.

Zusammenfassung

Beschreibung

Der Zwischenfall bei der Wasserversorgung in Florida bietet einige Lehren für die Cybersicherheit - einschließlich der Bedeutung von Patches und ICS/OT-Sicherheit

Autor

Stephan Venter

Name des Herausgebers

TuxCare

Logo des Herausgebers