Laut neuen Warnungen von Sicherheitsbehörden auf der ganzen Welt sind Trinkwassersysteme immer attraktivere Ziele, da bösartige Hackeraktivitäten weltweit zunehmen. Grundlegende Gegenmaßnahmen, einschließlich der Änderung von Standardkennwörtern und der Verwendung einer Multi-Faktor-Authentifizierung, können laut Experten immer noch einen erheblichen Schutz bieten. Allerdings stellen allein in den Vereinigten Staaten mehr als 50.000 kommunale Wassersysteme auch eine Landschaft potenzieller Schwachstellen dar, die in den letzten Monaten ein Tummelplatz für Hacker waren.
Im vergangenen November brachen beispielsweise Hacker mit Verbindungen zu den Islamischen Revolutionsgarden des Iran in ein Wassersystem in der Stadt Aliquippa im Westen von Pennsylvania ein. Im Januar drangen Eindringlinge, die mit einer russischen Hacktivistengruppe in Verbindung stehen, in das Wassersystem einer texanischen Stadt nahe der Grenze zu New Mexico ein. In keinem Fall führten die Angriffe zu erheblichen Schäden an den Systemen.
Doch die größte Bedrohung bleibt sehr real, sagen Beamte. „Wenn wir über Cybersicherheit und Cyberbedrohungen im Wassersektor nachdenken, ist das nichts Hypothetisches“, sagte ein Sprecher der US-Umweltschutzbehörde letztes Jahr bei einem Pressebriefing. „Es passiert jetzt.“ Um das Ganze noch zu ergänzen, stellte FBI-Direktor Christopher Wray letzten Monat bei einem öffentlichen Forum in Nashville fest, dass das zwielichtige chinesische Netzwerk Volt Typhoon (auch bekannt als „Vanguard Panda“) in „kritische Telekommunikations-, Energie-, Wasser- und andere Bereiche“ eingedrungen sei Infrastruktursektoren.
„Diese Angriffe waren nicht besonders raffiniert.“ —Katherine DiEmidio Ledesma, Dragos
Ein in der Zeitschrift veröffentlichter Überblick über Cyber-Schwachstellen in Wassersystemen aus dem Jahr 2021 Wasserhebt die konvergierenden Treiber zunehmend KI-gestützter, mit dem Internet verbundener Tools hervor, die immer größere Trink- und Abwassersysteme verwalten.
„Diese jüngsten Cyberangriffe in Pennsylvania und Texas verdeutlichen die zunehmende Häufigkeit von Cyberbedrohungen für Wassersysteme“, sagt Nilufer Tuptuk, Studienautor und Dozent für Sicherheits- und Kriminalwissenschaften am University College London. „Im Laufe der Jahre hat dieses Gefühl der Dringlichkeit durch die Einführung neuer Technologien wie IoT-Systeme und erweiterter Konnektivität zugenommen. Diese Fortschritte bringen ihre eigenen Schwachstellen mit sich, und Wassersysteme sind Hauptziele relevanter Akteure, einschließlich Nationalstaaten.
Laut Katherine DiEmidio Ledesma, Leiterin für öffentliche Ordnung und Regierungsangelegenheiten beim in Washington, D.C. ansässigen Cybersicherheitsunternehmen Dragos, haben beide Angriffe Lücken gegraben, die eigentlich hätten geschlossen werden sollen. „Ich denke, der interessante Punkt und der erste Punkt, den es hier zu bedenken gilt, ist, dass diese Angriffe nicht besonders raffiniert waren“, sagt sie. „Sie haben Dinge wie Standardpasswörter und ähnliches ausgenutzt, um sich Zugang zu verschaffen.“
Niedrige Priorität und niedrig hängende Früchte
Peter Hazell ist Leiter der Cyber-Physical Security bei Yorkshire Water in Bradford, England, und Co-Autor des Wasser Überprüfung der Cyber-Schwachstelle in Wassersystemen im Jahr 2021. Er sagt, das US-Stromnetz sei relativ gut ausgestattet und widerstandsfähig gegen Cyberangriffe, zumindest im Vergleich zu US-Wassersystemen.
„Die Struktur des US-amerikanischen Wassersektors unterscheidet sich erheblich von der Europas und des Vereinigten Königreichs und wird oft wegen unzureichender Investitionen in die Grundinstandhaltung, geschweige denn in die Cybersicherheit, kritisiert“, erklärt Hazell. „Andererseits erkannte der amerikanische Elektrizitätssektor nach einigen bemerkenswerten Ausfällen seine entscheidende Bedeutung … und etablierte sich [the North American Electric Reliability Corporation] In Beantwortung. In den Vereinigten Staaten gibt es keine gleichwertige Initiative zum Schutz des Wassersektors, vor allem aufgrund seiner Fragmentierung – typischerweise von mehreren kommunalen Unternehmen verwaltet und nicht dem großen, vernetzten regionalen Modell, das anderswo zu finden ist.
DiEmidio Ledesma sagt jedoch, dass das Problem des Überflusses nicht nur ein Problem für die Vereinigten Staaten sei. „Es gibt so viele Wasserversorger auf der Welt, dass es meiner Meinung nach nur eine Frage der Zahlen ist“, sagt sie. „Mit der Digitalisierung steigt das Risiko von Gegnern, die versuchen könnten, den Wassersektor mit Cyber-Mitteln ins Visier zu nehmen, da eine Wasseranlage in Virginia heute einem Wasserversorger in Kalifornien, einem Wasserversorger in Europa oder einem Wasserversorger sehr ähneln kann.“ Nützlichkeit in Asien. Da sie dieselben Komponenten verwenden, können sie mit denselben Mitteln angegriffen werden.
„Aus diesem Grund erleben wir weiterhin, dass kritische Infrastruktur-Versorgungs- und Wasserversorgungsanlagen ins Visier von Gegnern geraten“, fügt sie hinzu. „Oder zumindest hören wir weiterhin von den Vereinigten Staaten und anderen Regierungen, dass sie ins Visier genommen werden. »
Eine bevorstehende amerikanische Wende?
Letzten Monat führten der Kongressabgeordnete Rick Crawford aus Arkansas und der Kongressabgeordnete John Duarte aus Kalifornien den Water Risk and Resilience Organization (WRRO) Establishment Act ein, um eine US-Bundesbehörde einzurichten, die die oben genannten Risiken überwacht und sich vor ihnen schützt. Laut Kevin Morley, Bundesbeziehungsmanager bei der in Washington, D.C. ansässigen American Water Works Association, ist dies ein willkommenes Zeichen dafür, dass Erleichterungen unmittelbar bevorstehen könnten, wenn das Gesetz verabschiedet werden kann.
„Wir haben 2021 ein Whitepaper entwickelt, das diesen Ansatz empfiehlt“, sagt Morley. „Ich habe dies wiederholt bezeugt, da wir erkennen, dass ein gewisses Maß an Standardisierung erforderlich ist, um ein gemeinsames Verständnis der Erwartungen zu erreichen. »
„Ich denke, der beste Ausdruck, um die Situation zusammenzufassen, ist: ‚Ziel sind die Reichen, aber die Ressourcenarmen.‘ » —Katherine DiEmidio Ledesma, Dragos
Hazell von Yorkshire Water weist darauf hin, dass der Gesetzentwurf, selbst wenn er in Kraft tritt, möglicherweise nicht alle Befürworter zufriedenstellt. „Obwohl die Entwicklung des Gesetzes ermutigend ist, scheint sie etwas spät und begrenzt zu sein“, sagt er. Im Gegensatz dazu zitiert Hazell die Netzwerk- und Informationssicherheitsrichtlinien des Vereinigten Königreichs und der Europäischen Union aus den Jahren 2016 und 2023, die die Cyberabwehr in einer Reihe kritischer Infrastrukturen eines Mitgliedslandes koordinieren. Der Patchwork-Ansatz, den die Vereinigten Staaten offenbar bevorzugen, könnte seiner Ansicht nach immer noch erhebliche Lücken hinterlassen.
„Ich denke, der beste Ausdruck, um es zusammenzufassen, ist: ‚Zielen Sie auf die Ressourcenreichen und die Ressourcenarmen‘“, sagt DiEmidio Ledesma über die Cybersicherheitsherausforderungen, die kommunale Wassersysteme heute mit sich bringen. „Dies ist ein stark verteiltes kritisches Infrastrukturnetzwerk. [There are] sehr viele kleine kommunale Wasserversorgungsanlagen, und [they’re] sehr wichtig für Gemeinden in den Vereinigten Staaten und auf der ganzen Welt.
Als Reaktion auf aufkommende Bedrohungen forderte Anne Neuberger, stellvertretende nationale Sicherheitsberaterin der USA für Cybersicherheit und neue Technologien, die US-Bundesstaaten im März dazu auf, bis zum 20. Mai über ihre Pläne zur Sicherung ihrer Wasser- und Abwasseraufbereitungssysteme zu berichten. kontaktiert von IEEE-Spektrum Zu den Erkenntnissen und Reaktionen auf Neubergers Vorladung lehnte ein Sprecher des US-Außenministeriums eine Stellungnahme ab.
Aus den Artikeln auf Ihrer Website
Verwandte Artikel im Internet