So wirklich unerwartet kommt die Meldung für mich nicht.
Offensichtlich wurde am Freitag letzte Woche das System eines amerikanischen Wasserversorgers angegriffen.
So richtig viel Informationen dazu habe ich noch nicht gefunden.
Ein Mitarbeiter hat wohl zunächst beobachtet, wie sich seine Maus “wie von Geisterhand” bewegt hat. Etwas später dann beobachtete er, wie ein Parameter zur Dosierung von “Natriumhydroxid” verändert wurde. Der Wert wurde um mehr als 100-fach erhöht.
Durch den Eingriff des Mitarbeiters wurde das sofort rückgängig gemacht. Eine “Gefahr für die Allgemeinheit” bestand nicht. Warnsysteme hätten auf jeden Fall später auch reagiert und Alarm ausgelöst.
Angeblich wurde der Angriff über einen installierten “TeamViewer”-Client ausgeführt. Das wirft einige Fragen auf.
Auch in den USA sind “Versorger” natürlich “kritische Infrastrukturen” und man habe wohl selbstverständlich die Systeme unabhängig vom Internet betrieben. Es gab also ein “OT network” getrennt vom “IT network”.
Na ja – irgendwie hat das wohl nicht funktioniert. Besonders wenn ein Tool wie TeamViewer zum Einsatz kam, welches direkten Zugriff zum Steuerungssystem hatte. Das ist ja schon fast eine “selbst installierte Backdoor”.
Dabei sind die Regeln für jede Form von Fernwartung relativ klar:
- Zugang nur über VPN
- Jeder Zugriff muss genehmigt und überwacht werden
- Es muss ein Zugangsprotokoll geführt werden
… um nur drei Punkte zu nennen.
Hätte man diese Regeln befolgt, wäre es nicht zu diesem Angriff gekommen.
Vielleicht stellt sich am Ende noch heraus, dass es gar kein richtiger Angriff war sondern nur ein Jugendlicher, der den Computer seines Vaters zweckentfremdet hat.
Wie verletzlich wir auch in Deutschland sind, zeigt ein Vorfall von gestern. Gegen 16:00 Uhr gingen bei mir alle Lichter aus. Und wohl auch bei einigen tausend anderen Menschen in meiner Stadt.
Ursache war laut den Stadtwerken ein “Kabelfehler”. 14 Trafostationen waren von dem Fehler betroffen. Knapp 2 Stunden kein Strom.
Ich frage mich, warum es nicht möglich ist, in solchen Fällen sofort vorhandene Redundanzen zu nutzen? Gibt es keine automatische Umschaltung der Wege?
Es bleibt zu hoffen, dass die Betreiber in Deutschland die Systeme nicht per TeamViewer administrieren.
Ich will gar nicht darüber nachdenken, was geschieht, wenn jemand einfach so ein paar Leitungen um- oder abschalten würde. Oder gar einen Virus in die Schaltanlagen einbringen könnte…