Ein unbekannter Hacker hat sich in das Kontrollsystem eines Wasserwerks in Florida gehackt und die Dosierung von Natriumhydroxid (NaOH) verändert. Dieses wird verwendet, um Trinkwasser zu behandeln und den pH-Wert so zu verändern, dass er die erforderlichen Qualitätsparameter erfüllt. Klingt das für Sie wie ein vielversprechender Anfang eines Actionfilms? Aber es ist die Realität. Laut dem Sicherheitsberater und Prüfer für kritische Infrastrukturen, Martin Fabry, könnte sich dieser Fall vom Februar 2021 in der Slowakei wiederholen. Und zwar, wenn die Führungskräfte nicht auf ein gutes Cybersicherheitsmanagement achten.
Der Angreifer wusste genau, wohin er zielen musste. Er änderte die NaOH-Dosis um einen Faktor von etwa 100 und erhöhte damit die Menge der dem Wasser zugeführten Chemikalie auf ein gefährliches Niveau. Das Betriebsüberwachungssystem des Wasserwerks stellte jedoch sofort eine übermäßige Menge der anorganischen Substanz fest. Dank des schnellen Eingreifens des Betreibers konnte die Dosierung wieder auf den Normalwert gebracht werden. Hätte das Überwachungssystem für den pH-Wert des Wassers jedoch nicht richtig reagiert oder wäre es von dem Angreifer angegriffen und funktionsunfähig gemacht worden, hätte dies schwerwiegende Folgen für die menschliche Gesundheit haben können. Kontrollsysteme in modernen Wasseraufbereitungsanlagen verwenden Messgeräte, die Wasserqualitätsparameter wie pH-Wert oder Chlor kontinuierlich überwachen. Sie geben Echtzeitwarnungen aus, wenn akzeptable Grenzwerte überschritten werden. Kritische Parameter werden in der Regel an mehreren Stellen überwacht, nicht nur während des Aufbereitungsprozesses, sondern auch in den Leitungs- und Verteilungssystemen. „In der Slowakei werden erhöhte Werte von Chemikalien im Wasser sogar von Regenbogenforellen erkannt, die darauf extrem empfindlich reagieren. Es ist eine Art unhackbarer analoger Zünder. Trotz der vielen Sicherheitsmerkmale besteht jedoch immer die Gefahr, dass kritische Industrieprozesse durch einen ausgeklügelten Angriff lahmgelegt werden“, erklärt Sicherheitsberater Martin Fábry.
Die Situation während einer Pandemie ist sogar noch komplexer. Die Unternehmen müssen ihre Kontrollsysteme über das Internet ferngesteuert betreiben. Solche Verbindungen haben jedoch oft ein geringes Maß an Sicherheit. Derzeit gibt es Hunderttausende von Kontrollsystemen im Internet, die nicht sichtbar sein sollten, weil sie anfällig sind und leichte Ziele sein könnten. Ihre Sichtbarkeit vervielfacht die Wahrscheinlichkeit eines Angriffs. „Dies ist das Ergebnis von Unwissenheit oder Gleichgültigkeit. Wasserversorger sind oft finanziell unterversorgt und leiden unter einer schwachen Cyberabwehr. Deshalb werden sie als einer der am stärksten gefährdeten Sektoren für kritische Infrastrukturen eingestuft“, sagt Fabry. Ihm zufolge sind die IT-Teams in der Slowakei unterdimensioniert und es gibt nur sehr wenige Cyber-Experten, die in der Lage wären, ein robustes Programm zum Schutz kritischer Infrastrukturen aufzubauen. Er sagt, dass ähnliche Angriffe auch andere kritische Sektoren wie Raffinerien, Petrochemie und Energie betreffen könnten. Ihre Auswirkungen auf die Gesellschaft könnten spürbar, ja sogar gefährlich sein. „Daher ist es unerlässlich, die Cybersicherheit mit vollem Ernst zu nehmen und tiefgreifende Cyber-Abwehrmaßnahmen zu ergreifen. Das ist eine Frage der nationalen Sicherheit“, warnt der Prüfer für kritische Infrastrukturen.
