Von KIM BELLARD
Matthew Holt, Herausgeber des Health Care Blogs, meint, ich mache mir zu viele Sorgen über zu viele Dinge. Wahrscheinlich hat er recht. Aber es gibt eine Sorge, auf die ich die Leute nicht aufmerksam machen möchte: Ihre Wasserversorgung ist nicht so sicher – bei weitem nicht so sicher – wie Sie wahrscheinlich annehmen.
Ich spreche nicht von der Gefahr von Bleirohren. Ich spreche noch nicht einmal von der Gefahr von Mikroplastik in Ihrem Wasser. Vor beidem habe ich schon früher gewarnt (und ich mache mir immer noch Sorgen darüber). Nein, ich mache mir Sorgen, dass wir die Gefahr von Cyberangriffen auf unsere Wassersysteme nicht ernst genug nehmen.
Vor einer Woche gab die EPA eine Warnung zu Cybersicherheitslücken und Bedrohungen für kommunale Trinkwassersysteme heraus. Einen Tag zuvor hatten EPA-Chef Michael Regan und der Nationale Sicherheitsberater Jake Sullivan einen Brief an alle US-Gouverneure geschickt, in dem sie diese vor „Cyberangriffen“ auf Wasser- und Abwassersysteme warnten und sie aufforderten, bei der Sicherung dieser Infrastrukturen zusammenzuarbeiten.
„Trinkwasser- und Abwassersysteme sind ein attraktives Ziel für Cyberangriffe, da sie lebenswichtige kritische Infrastrukturen darstellen, ihnen jedoch oft die Ressourcen und die technische Kapazität fehlen, um strenge Cybersicherheitsmaßnahmen einzuführen“, warnte der Brief. Er bezog sich dabei insbesondere auf bekannte staatlich geförderte Angriffe aus dem Iran und China.
In der Vollstreckungswarnung heißt es ausführlich:
Cyberangriffe auf CWSs nehmen im ganzen Land an Häufigkeit und Schwere zu. Aus tatsächlichen Vorfällen wissen wir, dass ein Cyberangriff auf ein anfälliges Wassersystem es einem Angreifer ermöglichen kann, die Betriebstechnologie zu manipulieren, was sowohl für den Versorger als auch für die Trinkwasserverbraucher erhebliche negative Folgen haben könnte. Mögliche Auswirkungen sind Störungen bei der Aufbereitung, Verteilung und Speicherung von Wasser für die Gemeinde, Schäden an Pumpen und Ventilen sowie eine Veränderung der Chemikalienkonzentrationen auf gefährliche Werte.
Als nächstes zeichnet Gov/FCW ein düsteres Bild davon, wie anfällig unsere Wassersysteme sind:
Mehreren staatlichen Gegnern ist es gelungen, in die Wasserinfrastruktur des Landes einzudringen. China hat sein umfangreiches und weitverbreitetes Volt Typhoon-Hacking-Kollektiv eingesetzt, sich in riesige kritische Infrastruktursegmente eingegraben und sich entlang kompromittierter Internet-Routing-Geräte positioniert, um weitere Angriffe durchzuführen, sagten nationale Sicherheitsbeamte zuvor.
Im November drangen von der IRGC unterstützte Cyber-Agenten in industrielle Wasseraufbereitungsanlagen ein und nahmen speicherprogrammierbare Steuerungen der israelischen Firma Unitronics ins Visier. Erst kürzlich wurde bestätigt, dass Hacker mit Verbindungen zu Russland in eine Reihe von Wassersystemen in ländlichen US-Bundesstaaten eingedrungen waren und dabei zeitweise eine physische Bedrohung für die Sicherheit darstellten.
Diese Angriffe sollten uns nicht überraschen. Wir wissen, dass China, Iran, Nordkorea und Russland über hochentwickelte Cyber-Teams verfügen, aber wenn es um Wassersysteme geht, müssen die Angriffe offenbar gar nicht so ausgefeilt sein. Die EPA stellte fest, dass über 70 % der von ihr inspizierten Wassersysteme die Sicherheitsstandards nicht vollständig erfüllten, darunter auch grundlegende Schutzmaßnahmen wie das Verbot von Standardpasswörtern.
NextGov/FCW wies darauf hin, dass die EPA im vergangenen Oktober aufgrund von Klagen mehrerer (roter) Bundesstaaten und der American Water Works Association gezwungen war, die Anforderungen aufzuheben, dass Wasserbehörden zumindest ihre Cyberabwehr überprüfen müssen. Denken Sie darüber nach. Ich wette, China, der Iran und andere überprüfen sie gerade.
„In einer idealen Welt … hätten wir gerne, dass jeder über ein Grundniveau an Cybersicherheit verfügt und dies auch nachweisen kann“, sagte Alan Roberson, Geschäftsführer der Association of State Drinking Water Administrators, gegenüber AP. „Aber davon ist noch viel zu tun.“
Tom Kellermann, Senior Vice President für Cyber-Strategie bei Contrast Security, sagte gegenüber Security Magazine: „Die Sicherheit der US-Wasserversorgung ist in Gefahr. Schurkenstaaten zielen häufig auf diese kritischen Infrastrukturen ab, und schon bald werden wir ein lebensbedrohliches Ereignis erleben.“ Das klingt nicht mehr lange hin.
Professor Blair Feltmate, Experte für Wassersysteme an der University of Waterloo in Kanada, erklärte gegenüber Newsweek: „Der Südwesten der USA steht kurz davor, kein Wasser mehr zu haben, und zwar aufgrund einer Kombination aus extremer Hitze aufgrund des Klimawandels, zunehmender Dürre und übermäßiger Nachfrage. Dennoch hängt das Überleben im Südwesten von dieser zunehmend prekären Wasserversorgung ab – daher werden Cyberkriminelle diese Region wahrscheinlich nach dem Motto „Tritt sie, wenn sie schon am Boden liegen“ ins Visier nehmen.“
David Reckhow, emeritierter Professor an der University of Massachusetts Amherst, erklärte gegenüber Newsweek: „Alle kommunalen Wassersysteme sind in gewissem Maße anfällig für vorsätzliche Verseuchung, aber es ist unwahrscheinlich, dass ein Cyberangriff zu einer ernsthaften Beeinträchtigung der Wasserqualität oder der öffentlichen Gesundheit führen würde. Andererseits könnte ein Cyberangriff zu finanziellen Schwierigkeiten führen.“
In der Zwischenzeit plant die EPA, die Zahl der geplanten Inspektionen zu erhöhen, doch EPA-Sprecher Jeffrey Landis gab gegenüber CNN zu, dass die Behörde „keine zusätzlichen Mittel erhält, um diese Bemühungen zu unterstützen“. Sie hat 88 akkreditierte Inspektoren; es gibt etwa 50.000 kommunale Wassersysteme. Das sind keine ermutigenden Zahlen. Ich wette, die IRGC des Iran und Volt Typhoon aus China haben jeweils mehr als 88 Hacker.
Ein Teil des Problems ist, dass viele Wasserversorgungssysteme Cybersicherheit einfach nicht als Schlüssel zu ihrer Arbeit angesehen haben. Amy Hardberger, eine Wasserexpertin an der Texas Tech University, sagte gegenüber CBS News: „Sicherlich ist Cybersicherheit ein Teil davon, aber das war nie ihre Hauptkompetenz. Also verlangen Sie jetzt von einem Wasserversorgungsunternehmen, diese ganz neue Art von Abteilung aufzubauen.“
Ja wir sind.
Frank Ury, Vorstandsvorsitzender des Santa Margarita Water District in Südkalifornien, sagte gegenüber dem Wall Street Journal, er befürchte, Hacker könnten in Systeme eingedrungen sein und dort ungenutzt herumliegen, bis ein koordinierter Angriff erfolgt. Jake Margolis, Chief Information Security Officer des Metropolitan Water District in Südkalifornien, stimmt dem zu und warnt: „Selbst wenn man alles richtig macht, reicht das noch nicht aus.“ Und wir machen nicht einmal alles richtig.
Es ist nicht so, dass Wassersysteme im Allgemeinen besonders robust wären. Die Trinkwasserinfrastruktur erhielt im letzten ASCE Infrastructure Report Card die Note C- mit der Feststellung: „Leider ist das System veraltet und unterfinanziert.“ Man hätte hinzufügen können: „und völlig unvorbereitet auf Cyberangriffe.“
Uns könnte also das Wasser abgestellt werden oder es könnte durch Änderungen in der Wasseraufbereitung ungenießbar gemacht werden. Wir haben gesehen, wie Unternehmen auf Lösegeldforderungen reagieren, wenn beispielsweise Daten als Geisel genommen werden. Was würden wir akzeptieren, um sauberes Wasser zurückzubekommen? Wir machen uns Sorgen über Raketen, die Bomben oder chemische Waffen tragen. Warum sind wir also nicht besorgter über Angriffe auf die Sicherheit unseres Wassers?
Und falls Sie sich das fragen: Die Wasserinfrastruktur ist nicht die einzige Infrastruktur, die anfällig für Cyberangriffe ist; auch das Stromnetz und sogar Staudämme sind Ziel von Angriffen. Aber sauberes Wasser ist ein ebenso grundlegendes Bedürfnis wie das, was es gibt.
Sauberes Wasser war einer der größten Erfolge der öffentlichen Gesundheit im 20. Jahrhundert. Hoffen wir, dass wir es auch im 21. Jahrhundert sicher halten können.
