Thought Leadership
Die Wasserwirtschaft wird nicht oft mit Cybersicherheit in Verbindung gebracht. Doch die Veränderungen der letzten Jahre mit der zunehmenden Automatisierung und der schnellen Einführung digitaler Tools haben das Thema auch in diesen Sektor getragen. Da – unter anderem durch den Krieg in der Ukraine – die Zahl der Angriffe auf kritische Infrastruktur (KRITIS), zu der auch die Wasserversorgung zählt, angestiegen ist, wird ihr Schutz immer dringlicher.
Die erhöhte Frequenz und Anzahl der Cyberattacken liegt zusätzlich daran, dass Hacker den potenziellen Wert von Daten kritischer Infrastrukturen erkannt und erhebliche Schwachstellen in den Systemen ausgemacht haben. Besonders durch die Modernisierung der IT und der Einführung von zunehmend digitalisierten und vernetzten Systemen der Betriebstechnik (OT) und des Internets der Dinge (IoT) hat die Angriffsflächen auch der Versorgungsunternehmen zugenommen.
Steigende Bedrohung, nicht steigende Sicherheit
Gleichzeitig hat das Sicherheitsbewusstsein nicht in selbem Maße zugenommen, ein besorgniserregender Trend: Mit der zunehmenden Vernetzung der Unternehmen der Wasserversorgung – in Deutschland eine Pflichtaufgabe der öffentlichen Hand – werden die Angriffe von Hackern, Ransomware und nichtstaatlichen Akteuren an Intensität und Schwere noch weiter zunehmen. Dies liegt vor allem daran, dass in diesem Umfeld viele Organisationen und deren Dienstleister mit neuen Technologien noch nicht vertraut sind, wodurch sich Lücken in der Sicherheit ergeben können. Konzeption und Implementierung verbesserter digitaler Sicherheit für OT- und IoT-Netzwerke stellt sich jedoch anders dar und ist oft komplexer als für IT-Infrastrukturen. Dies hat zu Folge, dass hierfür nicht nur mehr, sondern auch überproportional große Ressourcen bereitgestellt werden müssen.
Da die (Trink-)Wasserversorgung jedoch eine wichtige Dienstleistung darstellt, können die Auswirkungen von Cyberangriffen erhebliche Folgen haben. Das gilt sowohl für Trinkwasser als auch beispielsweise für Unternehmen, die es für die Produktion benötigen oder auch die Feuerwehr. Dementsprechend müssen die Organisationen im Bereich der Wasserversorgung unbedingt in den Ausbau ihrer Cybersicherheit investieren, um keine finanziellen Verluste, Datenlecks oder sogar die Unterbrechung der Versorgung zu riskieren.
Von geringer Automatisierung zum Hacker-Liebling
Ein kurzer Blick zurück: Bis vor kurzem war dies ein Sektor, der sich seit jeher durch einen geringen Automatisierungsgrad und einen geringen Bedarf an Fernzugriff auf Dienste ausgezeichnet hat. Dementsprechend, abgesehen von der physischen Unterbrechung von Diensten und Anlagen, war er für Hacker nie von großem Wert.
Die technologischen Innovationen der letzten Jahre haben die Produktivität drastisch verändert: Remote-Zugriff erlaubt es Mitarbeitern in spezialisierten Unternehmen, sich von verschiedenen Standorten auf der ganzen Welt aus zu verbinden und so weiterhin Innovationen zu fördern und komplexe Probleme zu erkennen sowie zu lösen.
Dieser digitale Wandel ging jedoch nicht mit einem ebenso wirksamen Wandel der Cybersicherheit einher. Die Gründe hierfür sind vielfältig: Zum einen liegt es an der Natur des Sektors selbst, zum anderen an der Einstellung vieler Betreiber. Diese sind sich häufig z.B. der möglichen Risiken und Bedrohungen nicht bewusst sind und sehen die Sicherheit von OT- sowie IoT-Systemen oft als zu schwierig an.
Es ist jedoch nicht nur eine Frage der Umsetzung, sondern auch der Kosten: Risikobewertung, Risikominderungspläne und Wiederherstellungsmaßnahmen werden oft unterschätzt.
Steter Tropfen höhlt den Stein
In den letzten zwei Jahrzehnten gab es Angriffe auf die Cybersicherheit in unterschiedlichem Ausmaß, die erhebliche Auswirkungen auf den gesamten Sektor hatten, so z.B. in Europa im August 2022: Der britische Wasserversorger South Staffordshire PLC wurde Opfer eines Clop-Ransomware-Angriffs, der Thames Water kompromittierte, die größte Wasserversorgungs- und Abwasseraufbereitungsanlage in London und Umgebung.
Der Angriff fiel mit einer schweren Dürre zusammen, die zu Wasserrationierungen in acht Regionen des Vereinigten Königreichs führte. Offensichtlich war das Ziel der Attacke, einen Notfall zu schaffen und Lösegeldzahlungen zu erzwingen. Glücklicherweise wurde der Angriff rechtzeitig erkannt und beeinträchtigte die Wasserversorgung nicht.
Länderübergreifende Angriffe und Verteidigungen
Im gleichen Monat wurde ein massiver und koordinierter Angriff auf mehrere Betreiber von Infrastrukturen in Montenegro verübt, der darauf abzielte, Wasserversorgungssysteme, Verkehrsdienste und Online-Regierungsdienste zu beeinträchtigen. Einhundertfünfzig Computer staatlicher Einrichtungen wurden mit Malware infiziert. Der Aufwand, die kompromittierten Workstations zu entfernen, war beträchtlich. Ein Team von FBI-Computerexperten wurde mit der Untersuchung des Angriffs beauftragt.
Ein Jahr zuvor wurde eine Wasseraufbereitungsanlage in Oldsmar, Florida, gehackt, um die Wasserversorgung durch Erhöhung des Natriumgehalts zu vergiften. Der Angriff wurde vereitelt, bevor er die Verbraucher unter den Folgen der Sabotage leiden mussten.
Da viele der in der Wasserwirtschaft eingesetzten Technologien von allen Betreibern verwendet werden, ist es wahrscheinlich, dass eine in einer Anlage festgestellte Schwachstelle auch in vielen anderen vorhanden ist. Gleichzeitig nimmt die Zusammenarbeit zwischen den verschiedenen Unternehmen und mit den staatlichen Stellen zu, wodurch weitere Maßnahmen ergriffen und das Bewusstsein für Risiken sowie Lösungen geschärft werden.
Die Arche vor der Flut bauen
Grundsätzlich gilt auch für die Wasserversorger: Wer mit der Konzeption, Planung oder Implementierung der Sicherheitsmaßnahmen erst beginnt, wenn erste Angriffe stattgefunden haben, ist zu definitiv zu spät. Es ist notwendig, im Voraus auf jede Art von Angriff vorbereitet zu sein, die Systeme ständig zu aktualisieren und das Auftreten neuer Bedrohungen zu überwachen.
Denn wer einen Angriff im Frühstadium erkennen kann, ist in der Lage einzugreifen und einen Teil des Schadens zu verhindern. Der Schutz von OT- und IoT-Umgebungen erfordert deshalb sowohl proaktive als auch reaktive Maßnahmen:
- Planung: Es ist notwendig, immer die Möglichkeit eines Angriffs in Betracht zu ziehen, im Voraus zu handeln, um die Systeme zu sichern und die richtigen Pläne zur Abwehr des Angriffs sowie zur anschließenden Wiederherstellung zu erstellen.
- Interne Schulung: Die Mitarbeiter müssen ständig und aktuell über die Sicherheitsverfahren, das Erkennen von Bedrohungen und die im Falle eines Angriffs zu ergreifenden Maßnahmen geschult werden.
- Zusammenarbeit: Hacker haben Schwachstellen ausfindig gemacht, die bei mehreren Versorgungsunternehmen auftreten. Der Austausch von Informationen über neue Bedrohungen erhöht das Bewusstsein und ermöglicht es jeder Einrichtung, im Voraus über alle notwendigen Informationen zu verfügen.
- Aufräumen: Die regelmäßige Überprüfung der eigenen Vorgehensweise in Sachen digitale Sicherheit ermöglicht es, Schwachstellen in den Systemen zu erkennen. Dabei gilt zu beachten, dass unüberwachte und veraltete Anwendungen besonders anfällig für Angriffe sind.
- Investieren: 38 Prozent der Wasserversorgungsunternehmen in den USA stellen nur 1 Prozent ihres Budgets für die Cybersicherheit zur Verfügung. Das reicht sicher nicht. Selbstverständlich gibt es digitale Sicherheit nicht zum Nulltarif, doch ist sie viel billiger als die Folgen einer Cyberattacke.
Gemeinsam gegen die Verbrechenswelle
Prävention das beste Mittel zum Schutz vor Cyberattacken und damit auch zum Schutz der Wasserversorgung der Bevölkerung. Es wird nicht nur fortwährend neue Technologie benötigt, sondern auch der Wille, sich den immer ausgefeilter agierenden Kriminellen entgegenzustellen. Die Nutzung von internationaler Spitzentechnologie im OT- und IoT-Sektor wird somit immer wichtiger, um den digitalen Bedrohungen erfolgreich entgegentreten zu können.
