aktualisiert:
12. Dez. 2017

 

 

 

 

 

Volltextsuche:

 

 

 


 

 

  Nachrichten  

WasserInBürgerhand!

BBU-Wasserrundbrief, 12. November, 2017

Digitalangriff auf’s Wasserwerk

 

Manche Wasserwerke scheinen für Hacker offenbar derart offen zu stehen, dass nicht nur das Auslesen von Daten, sondern auch die Manipulation von Pumpen und anderen Aggregaten möglich sein soll.

Die Resultate unserer Recherchen rund zwei Monate nach dem Inkrafttreten des IT-Sicher­heitsgesetzes sind erschreckend. Innerhalb von wenigen Wochen gelang es uns, Zugriff auf die Steuerungssysteme von Wasserwerken, Blockheizkraftwerken, Interfaces zur Gebäudeautomatisierung und sonstigen Industrial Control Systems (ICS) zu erlangen. (…) Einige Systeme ermöglichten sogar den Zugang zu Steuerungen, darunter waren deutsche Wasserwerke. (…) Die Betreiber waren sich der weitreichenden Gefahr offenbar nicht bewusst“,

schrieb der Nachrichtdienst golem.de (Untertitel: „IT-News für Profis“) in seiner Ausgabe vom 15.07.16, die uns erst jetzt von einem aufmerksamen Leser zugestellt worden ist. golem.de schrieb ferner, dass die IT-Spezialisten sehr „überrascht“ gewesen seien, dass man die Human-Maschine-Interfaces (HMI) von vier deutschen Wasserwerken ausfindig machen konnte. Solche Interfaces würden normalerweise der Überwachung und Steuerung von Maschinen und Anlagen vor Ort dienen.

Aus dem Internet sollten diese kritischen Systeme in keinem Fall zu erreichen sein. Wir fanden sie allerdings dort mit vergleichsweise einfachen Mitteln und erlangten so Zugriff auf ihre Administrationsoberflächen.“

Durch einen Zugriffe auf die HMI würden „sich umfangreich Daten aus Sensoren auslesen“ lassen. So sei es beispielsweise möglich den Wasserverbrauch einer Stadt oder sonstige Werte einer Anlage abzugreifen. Zudem sei es bei einem Wasserwerk gelungen Soll-Werte zu verändern und Statistiken des Wasserwerkes zu manipulieren. Bei einem dieser Wasserwerke sei auch ein Zugriff auf die Pumpanlagen möglich gewesen, so dass die Zahl der Umdrehungen pro Minute veränderbar gewesen sei. Das Fazit der golem-Autoren:

Im schlimmsten Fall ließe sich so die Wasserversorgung von ganzen Städten und Gemeinden unterbrechen.“

Die Golem-Autoren appellieren deshalb an die Betreiber von kritischen Infrastruktureinrichungen – wozu auch Wasserwerke gehören – die sensiblen IT-Systeme „abgeschirmt“ zu betreiben. Ein Zugriff von Außen über das Internet dürfe nicht möglich sein. Auch die kaufmännischen Netze des Wasserversorgers sollten vorsichtshalber nicht mit der IT der technischen Anlagen im Wasserwerk gekoppelt werden. In dem umfangreichen Aufsatz erläutern die Autoren ferner noch zahlreiche weitere Möglichkeiten, wie man erfolgreich die IT-Systeme von kritischen Infrastrukturen und Industrieanlagen angreifen und lahmlegen kann. Dort wo Sicherheitslücken festgestellt werden konnten, habe man die Betreiber der Systeme informiert. Im Falle der vier Wasserwerke wurden die Sicherheitslücken geschlossen. Bei vielen anderen Angriffszielen hätten die Betreiber aber gar nicht oder unwirsch reagiert, als sie auf die Missstände in ihren Systemen aufmerksam gemacht worden waren.

Der golem-Aufsatz über die Lecks und Schwachstellen in der Sicherheitskultur von Wasserwerken und anderen Infrastruktureinrichtungen ist unter dem Kurzlink
https://glm.io/122063
herunterladbar

 


Der BBU-WASSER-RUNDBRIEF berichtet regelmäßig über die Angriffe auf die kommunale Daseinsvorsorge. Interessierte können kostenlose Ansichtsexemplare anfordern.
Clip-Fisch 2

 
Zurück zur Startseite


  2005 by wd team stuttgart      xxl sicherheit