Suchen

Cyber-Sicherheit IT- und Cyber-Sicherheit: Wie gefährdet ist die Wasserwirtschaft?

Autor / Redakteur: Dipl.-Ing. Hans-Jürgen Bittermann / Dr. Jörg Kempf

Cyber-Sicherheit begleitet uns im Alltag: An den Daten- und Identitätsklau im World Wide Web haben wir uns längst gewöhnt. Im Internet der Dinge sind aber nicht allein Daten gefährdet: Wer die Kontrolle über ein fahrendes Auto übernehmen kann – wie kürzlich in den USA demonstriert –, der legt auch ein Wasserwerk lahm. Anlagen und komplette Infrastrukturen können manipuliert werden. Wie gefährdet ist die Wasserwirtschaft wirklich? Wir wollten’s wissen.

Firmen zum Thema

Größte Herausforderungen für die IT- und Cyber-Sicherheit sind das zunehmende Entwicklungstempo und die steigende Komplexität von Software. Fraunhofer SIT empfiehlt das Einbetten von Sicherheitsfunktionen in Entwicklungsplattformen, die Sicherheitszertifizierung von ganzen Frameworks oder die Entwicklung von automatisierten Testverfahren.
Größte Herausforderungen für die IT- und Cyber-Sicherheit sind das zunehmende Entwicklungstempo und die steigende Komplexität von Software. Fraunhofer SIT empfiehlt das Einbetten von Sicherheitsfunktionen in Entwicklungsplattformen, die Sicherheitszertifizierung von ganzen Frameworks oder die Entwicklung von automatisierten Testverfahren.
(Bild: Fraunhofer SIT)

Die Informationstechnologie ist heute aus der Wasserwirtschaft nicht mehr wegzudenken, so die Deutsche Vereinigung für Wasserwirtschaft, Abwasser und Abfall (DWA). Die IT-gestützte Steuerung von Anlagen bzw. Regelung von Prozessen, die automatische Datenverarbeitung und die Verknüpfung mit Informations- und Kommunikationssystemen haben maßgeblich zur Modernisierung und Qualitätssicherung in der Branche beigetragen. Das birgt aber auch Gefahren: Im schlimmsten Fall können komplette Ver- und Entsorgungseinrichtungen lahmgelegt werden. Der Schutz der IT vor Ausfällen oder kriminellen Attacken spielt in der Wasserwirtschaft eine entscheidende Rolle, denn bei ihrem Versagen ist die nationale Daseinsvorsorge berührt.

Typisch „German Angst“?

Das ist keine typisch „German Angst“, wie die folgenden Beispiele zeigen:

  • Im Mai 2014 wurden die Kontrollsysteme eines Versorgungsunternehmens in den USA durch Hacker angegriffen. Der Zugriff erfolgte über ein an das Internet angebundene System, das Technikern einen Fernwartungszugang ermöglichen sollte. Das System war nur durch eine Passworteingabe geschützt. Um welches Unternehmen es sich handelte, wurde nicht veröffentlicht.
  • Im Mai 2013 wurde die Wasserversorgung der Stadt Haifa von einer syrischen Hackergruppe angegriffen. Die Angreifer behaupten, in mehrere Server eingedrungen zu sein und sensible Daten entwendet zu haben. Falls dies zutrifft, sind weitere Angriffe auf Basis detaillierter Informationen möglich.
  • Das Scada-System eines Wasserversorgers in Illinois (USA) wurde im November 2011 gehackt, so das Sicherheitsunternehmen Applied Control Solutions. Über den Angriff wurde eine Pumpe in zeitlich kurzen Rhythmen an- sowie ausgeschaltet und überhitzte infolgedessen (das Department of Homeland Security bestritt kurz darauf diese Darstellung und ordnete weitere Untersuchungen an).

Warum IT-Systeme in der Wasserwirtschaft heute gefährdet sind? Mehrere Aspekte spielen dabei eine Rolle: Zentrales Problem ist, dass die ursprünglich vorhandene Trennung der Prozess- und Leitsystemnetze nicht mehr gegeben ist. Zudem werden Leittechnik- und Automatisierungssysteme nicht als IT-Systeme verstanden – Cyber-Sicherheit ist zumeist (noch) kein Designziel. So sei es denn in der Praxis weithin geübte Praxis, die Steuerungen aus Unwissenheit oder Bequemlichkeit leichtfertig mit dem Internet zu verbinden, wie Branchenbeobachter berichten. Keine Überraschung ist, dass Standard-Passwörter selten geändert werden!

Umfangreiche Zahlen/Daten/Fakten zum Thema Cyber-Sicherheit finden Sie in unserer Bildergalerie.

Bildergalerie
Bildergalerie mit 9 Bildern

Wie der TÜV Süd nachweisen konnte, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird, lesen sie auf der nächsten Seite.

Honeynet-Projekt zur Cyber-Sicherheit: Virtuelles Wasserwerk weltweit ausgespäht

Mehr als 60 000 Zugriffe auf eine virtuelle Infrastruktur verzeichnete der TÜV Süd in der achtmonatigen Laufzeit eines Honeynet-Projekts. Das Honeynet kombinierte reale Hardware und Software mit einer simulierten Umgebung eines kleineren Wasserwerks. Die Zugriffe erfolgten von Servern aus der ganzen Welt und teilweise unter verschleierten IP-Adressen. Die Sicherheitsvorkehrungen entsprachen dem industrieüblichen Niveau. Den praxisnahen Aufbau des Systems und die Sicherheitsvorkehrungen hatten die TÜV Süd-Experten zusammen mit Vertretern der Versorgungswirtschaft entwickelt und umgesetzt.

Der erste Zugriff erfolgte fast zeitgleich mit dem Scharfschalten. Während der Laufzeit verzeichneten die Experten Zugriffe aus mehr als 150 Ländern. „Damit konnten wir nachweisen, dass selbst eine relativ unbedeutende Infrastruktur im Netz wahrgenommen und ausgeforscht wird“, sagt Dr. Thomas Störtkuhl, Senior Security Experte und Teamleiter Industrial IT Security bei TÜV Süd. Die Top-3-Zugriffsländer nach IP-Adresse waren China, die USA und Südkorea, wobei die IP-Adressen allerdings keine belastungsfähige Aussage über den tatsächlichen Standort des Zugreifenden ermöglichen. Zudem erfolgten die Zugriffe zum Teil über verdeckte bzw. verschleierte IP-Adressen.

Interessant war auch die Erkenntnis, dass die Zugriffe nicht nur über Standardprotokolle der Büro-IT, sondern auch über Industrieprotokolle wie Modbus TCP oder S7Comm erfolgten. „Die Zugriffe über Industrieprotokolle waren zwar deutlich seltener, kamen aber ebenfalls aus der ganzen Welt“, erklärt Störtkuhl. Damit ist für den Sicherheitsexperten klar, dass Lücken in der Sicherheitsarchitektur von Steuerungsanlagen entdeckt werden und dass die Systeme für einen möglichen Angriff anfällig sind. Das kann entweder ein genereller Angriff auf bestimmte Strukturen und Devices oder ein gezielter Angriff auf ein ausgewähltes System sein.

Die Ergebnisse des Honeynet-Projekts sind ein deutliches Warnsignal – nicht nur für die Betreiber von Infrastrukturen, sondern auch für produzierende Unternehmen. „Auch kleine oder unbekannte Firmen werden entdeckt oder gesehen, weil ständig Ausspäh-Aktionen im Internet laufen“, betont Störtkuhl.

Das IT-Sicherheitsgesetz – Vorreiter und Vorbild

Der Deutsche Bundestag hat in diesem Jahr das lange geplante IT-Sicherheitsgesetz verabschiedet. Betreiber ‚Kritischer Infrastrukturen‘ aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen müssen damit künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Darüber hinaus werden zur Steigerung der IT-Sicherheit im Internet die Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten erhöht. Parallel dazu werden die Kompetenzen des BSI und der Bundesnetzagentur sowie die Ermittlungszuständigkeiten des Bundeskriminalamtes im Bereich der Computerdelikte ausgebaut.

Ein Blick auf die Prognosen zeigt, welches Ausmaß das Thema IT-Sicherheit in Zukunft einnehmen wird. Weiterlesen ...

„Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild“, sagte Bundesinnenminister Dr. Thomas de Maizière bei der Vorstellung des Gesetzes. „Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.“

Dazu schreibt das Gesetz für Unternehmen aus sensiblen KRITIS-Bereichen Mindeststandards zur IT-Sicherheit für ihre Branche festzulegen (dazu haben sie zwei Jahre Zeit). Diese Standards müssen vom BSI abgesegnet werden und in Zukunft sollen die Firmen dann mindestens alle zwei Jahre nachweisen, dass sie die Anforderungen erfüllen.

Aus Zugriffen können Angriffe werden

Bei der Industrie steht das Thema IT-Sicherheit ohnehin bereits ganz oben auf der Agenda. Kein Wunder, denn welches Ausmaß diese Herausforderung in Zukunft einnehmen wird, verdeutlicht ein Blick auf die Prognosen: Nicht Hunderte oder Tausende Maschinen, Anlagen, Sensoren und einzelne Produkte werden im Zuge der Industrie 4.0 miteinander kommunizieren, sondern Milliarden.

„Doch wenn die Industrie dabei auf ein durchgängiges Sicherheitskonzept setzt, sind die Risiken beherrschbar“, beruhigt Dr. Rolf Reinema, Leiter des Technologiefelds IT-Security bei der zentralen Forschungs- und Entwicklungsabteilung von Siemens, Corporate Technology (CT). Reinemas Abteilung entwickelt für die Siemens-Geschäftsfelder ausgeklügelte Lösungen zum Schutz vor Cyber-Kriminalität. Diese reichen etwa von Softwarepaketen für den stets aktuellsten Sicherheitsstand bei Unternehmen über Authentifizierungsverfahren und somit „Ausweiskontrollen“ für Maschinen bis hin zu Monitoring-Lösungen, die nahezu in Echtzeit Cyber-Angriffe identifizieren und melden, so dass frühestmöglich Gegenmaßnahmen eingeleitet werden können.

Fazit: Infrastrukturen und Produktionsstätten werden kontinuierlich ausgeforscht. Das gilt selbst für ein relativ unbedeutendes Wasserwerk in einer deutschen Kleinstadt. Aus Zugriffen können Angriffe werden, die ein hohes Schadenspotenzial haben – von der Ausspähung von Betriebsgeheimnissen bis zur Sabotage einer kompletten Infrastruktur. Ohne die Anpassung ihrer Sicherheitsvorkehrungen fahren Unternehmen und Betreiber von Infrastrukturen ein hohes Risiko. Ein gezieltes Monitoring ist Voraussetzung dafür, dass Unternehmen ihre Gefährdungslage realistisch einschätzen und wirkungsvolle Schutzmaßnahmen entwickeln können. Nach den Erfahrungen aus dem Honeynet-Projekt muss das Monitoring zwingend auch Industrieprotokolle erfassen, weil potenzielle Angreifer diese Protokolle kennen und nutzen.

* Der Autor ist freier Mitarbeiter bei PROCESS.

(ID:43631133)