Cyberangriffe auf die vernetzte Infrastruktur rund um die Wasserspeicherung, -versorgung und -wiederaufbereitung steigen an und verursachen große Schäden für Kommunen – mit teilweise dramatischen Folgen. Denn Wasser ist eine lebenswichtige Ressource, die es unbedingt zu schützen gilt. Dies ist der zweite Beitrag aus unserer Artikelserie über die Herausforderungen der Cybersicherheit in vernetzten Städten und Smart Citys.
Ein Cyberkrimineller versucht, die Computerprogramme zu löschen, die zur Aufbereitung von Trinkwasser eingesetzt werden, und droht, die Einwohner und Einwohnerinnen der umliegenden Städte zu vergiften. Dies ist kein Horrorszenario aus einem dystopischen Zukunftsroman, sondern ein realer Angriff, mit dem die Wasseraufbereitungsanlage in der Bucht von San Francisco im Januar 2021 konfrontiert war, wie NBC News berichtete. Einen Monat später trat ein weiterer Cyberangriff auf das Wasserversorgungssystem einer Kleinstadt in Florida auf. Angesichts des Bevölkerungswachstums und des Temperaturanstiegs aufgrund der globalen Erwärmung hat das Wassermanagement sich zu einer zivilisatorischen Herausforderung geworden. Dies umfasst die Wiederaufbereitung von Abwasser, die Speicherung von sauberem Wasser oder auch die Wasserversorgung. Da diese Infrastrukturen eng miteinander verwoben sind, sind die dazugehörigen Netze und Anlagen ins Fadenkreuz von Cyberkriminellen geraten.
Cyberrisiken in Bezug auf die Wasserwirtschaft
Temperatur- und Druckmanagement, Optimierung der Wasserqualität durch Echtzeitüberwachung der verschiedenen chemischen Bestandteile, Leckageerkennung und vorausschauende Wartung, Verbesserung der Nachhaltigkeit und Rentabilität von Verwaltungsdienstleistungen, intelligente Wasseruhren: Die vernetzten Anwendungen im Bereich der Wasserwirtschaft sind vielfältig und stärken die Gesundheitssicherheit. Aber geht das zu Lasten digitalen Sicherheit? Schließlich basieren die meisten dieser Anwendungen auf einer Konfiguration, die sich seit der COVID-19-Pandemie besonders stark weiterentwickelt hat: der Fernwartung. Dies ist zwar ein Fortschritt in Bezug auf die öffentliche Verwaltung, aber dies vergrößert auch die Angriffsfläche und birgt Gefahren für die Cybersicherheit. In den letzten Jahren hat der verstärkte Einsatz von Fernwartungssystemen zu einer Zunahme von Eindringlingen und Angriffen auf angeschlossene Systeme geführt. Dabei ist zu erwähnen, dass es viele Punkte gibt, an denen Fernwartungsschnittstellen verwundbar sind. Diese hängen sowohl von der vernetzten Oberfläche der Infrastruktur als auch von der Robustheit der gewählten Technologien ab. Diese Merkmale hängen stark von der jeweiligen Stadt ab, wie eine Studie des Cybersecurity Laboratory der Universität Berkeley hervorhebt.
Die Akteure im Wassersektor sind vielfältig und verteilen sich über einen langen Zyklus, von der Abwasser- und Regenwasserbehandlung bis hin zum Trinkwasserversorgungssystem und allen Orten, an denen Wasser verbraucht oder genutzt wird. In technologischer Hinsicht umfassen industrielle Wasserwirtschaftssysteme eine Vielzahl von Betriebsmitteln, wie beispielsweise industrielle Prozesssteuerungssysteme (ICS, Industrial Control Systems), Mensch-Maschine-Schnittstellen (HMI), speicherprogrammierbare Steuerungen (SPS) und Cloud-Plattformen. Doch all diese Technologien sind häufig veraltet und inkonsistent, und sie bieten eine große, komplexe Angriffsfläche. Dazu gesellen sich stark unterschiedliche Entwicklungsgrade zwischen den einzelnen Entitäten in der Wasserindustrie. Dabei zählen Wassertürme noch zu den seltenen Musterschülern! Ihre OT-Netzwerke sind über das gesamte Land verteilt, müssen aber miteinander vernetzt bleiben. Andere Akteuren des Wasserkreislaufs sind jedoch häufig von einer mangelnden Segmentierung innerhalb der Industrienetzwerke gekennzeichnet, da diese nach wie vor als „flache“ Architektur konzipiert. Daher sind sie anfällig für die Verbreitung von Malware. Ein weiteres Einfallstor für Cyberkriminelle können die Betriebssysteme der verschiedenen Überwachungs- und Programmierstationen sein, die oft wegen fehlender regelmäßiger Updates in der Kritik stehen.
Abgesehen von den gesundheitlichen Schäden für die Bevölkerung könnte ein erfolgreicher Cyberangriff auf die Wasserwirtschaft auch zu einer Umweltkatastrophe führen: Sollte es Cyberkriminellen gelingen, die Verwaltungssysteme zu infiltrieren, könnten sie beispielsweise die Ventile manipulieren und die Zusammensetzung des Wassers verändern. Eine weitere sehr gefürchtete Folge in Bezug auf die Wasserwirtschaft ist die Unterbrechung der Wasserversorgung, die essentiell für das tägliche Leben ist. Mögliche Folgen: eine Reihe von Notsituationen, insbesondere in Krankenhäusern, Fabriken und anderen kritischen Bereichen, in denen Wasser unverzichtbar ist.
Anatomie von Cyberangriffen auf die Wasserinfrastruktur
In den letzten Jahren waren die Methoden der Cyberkriminellen, die auf die Infrastruktur der Wasserwirtschaft abzielen, durch eine besondere Raffinesse gekennzeichnet. Die erste Methode ist die sogenannte Man-in-the-Middle-Technik, bei der die Kommunikation zwischen vernetzten Schnittstellen unterbrochen, verfälscht oder korrumpiert wird, beispielsweise zwischen den Schnittstellen an smarten Wasserventil oder in Wasseraufbereitungsanlagen. Eine mögliche Auswirkung könnte sein, dass der Abwasserstrom aufgrund der Kompromittierung eines Systems in ein Sauberwasserbecken umgeleitet wird, was zu einer massiven Verschmutzung führen würde. Und ein solches Szenario ist nicht länger rein hypothetisch, sondern bereits Realität. In den letzten Jahren kam es immer wieder zu Zwischenfällen, die dramatische Folgen hätten haben können.
Im Jahr 2020 wurde Israel, das aufgrund seiner Geografie ohnehin mit Schwierigkeiten bei der Wasserversorgung zu kämpfen hat, von drei großen Cyberangriffen heimgesucht. Im April dieses Jahres starteten Cyberkriminelle, die mutmaßlich mit dem iranischen Regime in Verbindung stehen, Angriffe auf mehrere Pumpstationen sowie Abwasseraufbereitungsanlagen und versuchten, den Chlorgehalt in einigen Systemen zur Wasserversorgung der Bevölkerung zu erhöhen. Einige Monate später, im Juni, verschärfte sich die Lage, als ähnliche Attacken auf Wasserpumpen für die Landwirtschaft in der Region Galiläa sowie auf ein Wasserversorgungssystem in der Provinz Mateh Yehuda verübt wurden. Dieses Szenario wiederholte sich schließlich im Dezember in Form eines erneuten Cyberangriffs auf Wasseraufbereitungsanlagen.
Auch Europa bleibt in diesem Cyberkrieg um Wasser nicht verschont: In Frankreich erklärte im Jahr 2023 die öffentliche Abwasserbehörde der Ile-de-France, die für die Wasserversorgung der 9 Millionen Einwohner und Einwohnerinnen der Metropole Grand Paris zuständig ist, dass sie Opfer eines „ausgedehnten und virulenten“ Cyberangriffs geworden sei, der die Steuerung ihrer Netze und Anlagen zum Ziel hatte. Im selben Jahr hatte ein italienisches Unternehmen, das Trinkwasser für fast eine halbe Million Menschen bereitstellt, mit einer Versorgungsunterbrechung aufgrund eines Ransomware-Angriffs zu kämpfen. Ein ähnlicher Angriff störte im Abstand von wenigen Monaten den Betrieb eines Wasserwirtschaftssystems in Portugal – zu diesem Angriff bekannte sich die Cyberkriminellengruppe LockBit.
In den USA ist die Bedrohung der Wasserversorgung so ernst, dass fünf der größten Angriffe auf die Infrastruktur der USA von mehreren Regierungsbehörden, darunter das FBI und die NSA, untersucht werden. So soll eine Gruppe iranischer Cyberkrimineller, die unter dem Namen „CyberAv3ngers“ operiert, im Jahr 2023 eine passwortbezogene Schwachstelle in Automatiksystemen, die von der israelischen Firma Unitronics Vision Series hergestellt werden, ins Visier genommen haben. Insgesamt sollen mehr als ein Dutzend Infrastrukturen im Zusammenhang mit der Wasserwirtschaft betroffen gewesen sein, berichtet eine spezialisierte Website.
Welche Schutzmaßnahmen sollten Smart Citys ergreifen?
Angesichts der aktuellen Lage bestand die erste Reaktion in einer Verschärfung der Vorschriften. Auf europäischer Ebene erweitert die NIS2-Richtlinie den Anwendungsbereich kritischer Infrastrukturen, indem sie die Wasserversorgung mit einbezieht. Diese neue Richtlinie wird sowohl für Kommunen als auch für Unternehmen gelten, um die Bemühungen im Kampf gegen Cyberangriffe zu verstärken und zu koordinieren. Eine Verschärfung der Gesetzgebung ist angesichts der immer tiefergreifenden Integration von Technologien in urbane Umgebungen erforderlich. Ob bei der vorausschauenden Wartung, bei der intelligente Sensoren im Wasserleitungsnetz eingesetzt werden, um Lecks zu antizipieren, oder bei der Fernverwaltung von Wasserinfrastrukturen: Smart Citys müssen ihre Cybersicherheit gewährleisten, um die neuen Anwendungsmöglichkeiten zu unterstützen und ihre Widerstandsfähigkeit zu erhöhen.
Auf kommunaler Ebene stellen Schutzmaßnahmen nicht nur gute Praktiken der digitalen Hygiene, sondern auch die konkrete Umsetzung geeigneter Cybersicherheitslösungen dar. Wie in anderen sensiblen Bereichen ist die Frage des Zugangs zu Informationen von grundlegender Bedeutung. Deshalb ist die Einrichtung von Kontrollsystemen zur Beschränkung des Zugriffs auf kritische Daten eine Selbstverständlichkeit. Da ein solcher Zugriff zunehmend aus der Ferne erfolgt, muss die Wasserwirtschaft sicherstellen, dass diese Kommunikationsströme angemessen geschützt sind, d. h. verschlüsselt und nur für authentifizierte Benutzer und Benutzerinnen zugänglich. Dabei sind Datenverschlüsselungslösungen und VPN-Tunnel wertvolle Tools, um eine sichere und integre Kommunikation zu gewährleisten.
Neben dem Datenschutz sollte auch die Sicherheit von Workstations (auf denen oftmals die Steuerungstools installiert sind) sowie dezentralen HMIs nicht vernachlässigt werden. Die robustesten und modernsten Schutzlösungen verhindern, dass diese böswillig aus der Ferne übernommen oder durch einen simplen USB-Stick kontaminiert werden.
In Bezug auf die IT- und OT-Netzwerke von Smart Citys gibt es bereits verschiedene Ebenen von Cybersicherheitslösungen, die diese gegen Angriffe absichern. Die Netzwerksegmentierung ist die erste, schnell einzurichtende Sicherheitsebene: Durch die Trennung der verschiedenen Bereiche eines Netzwerks und die Filterung der Kommunikation zwischen diesen Bereichen können die Interaktionen und damit die Ausbreitung eines Cyberangriffs eingeschränkt werden. Eine solche Segmentierung kann mithilfe eines Routers mit einer integrierten Firewall erfolgen, die über folgende Sicherheitsfunktionen verfügt: Echtzeitschutz (Eindringungserkennung und -prävention, Anwendungskontrolle, Anti-Virus-Programm...), Kontrolle und Überwachung (URL-Filterung, IP-Geolokalisierung, Erkennung von Schwachstellen...) Konnektivität (Verwaltung von WAN-Links, Verwaltung von VPN-Tunneln, Verwaltung der Bandbreite...) oder auch gesicherte Kommunikation (IPsec VPN, SSL VPN...). Bei diesen Firewalls und ihrer physischen Version sollten Sie besonders darauf achten, wie gut sie sich integrieren lassen und wie effektiv sie auf die hohen Belastungen in der Wasserindustrie (z. B. Feuchtigkeit) reagieren.
Die Notwendigkeit, sich zu wappnen und das Schutzarsenal bezüglich der wasserwirtschaftlichen Infrastrukturen in Smart Citys zu verschärfen, misst sich also an der Schwere der Konsequenzen, die ein erfolgreicher Cyberangriff haben könnte. Und während es bereits zahlreiche Konflikte im Cyberspace gibt, stellt die Verknappung der Ressource Wasser eine weitere, ebenso reale geopolitische Bedrohung für Länder dar. Wasser und dessen Schutz werden mehr denn je zu einem politischen Thema.
