Im US-Bundesstaat Florida haben sich Unbekannte über ein Remote-Wartungsprogramm Zugriff auf Systeme eines Wasserwerkes verschafft. Dabei konnten sie die Konzentration einer zur Wasserbehandlung eingesetzten Chemikalie verändern.
In Pinellas County, einem Verwaltungsbezirk des Bundesstaates Florida haben unbekannte Angreifer zweimal hintereinander Zugriff auf die Systeme einer Trinkwasseraufbereitungsanlage bekommen. Dabei konnten sie in den Steuerungssystemen die Konzentration von Natriumhydroxid um mehr als das 100-fache erhöhen. Experten warnen seit längerem davor, dass Angriffe auf digitale Infrastrukturen physische Konsequenzen hervorrufen können.
Über die freigesetzte Chemikalie
Natronlauge (auch „Ätznatron“ genannt), ist eine Chemikalie mit einem sehr hohen pH-Wert. Sie eignet sich zum Neutralisieren von Säuren. Natronlauge ist ein oft verwendetes Reinigungsmittel und findet auch in der Herstellung von Seife Verwendung. Wird festes Natriumhydroxid in Wasser gegeben, erhitzt sich das Wasser. Es wirkt je nach Konzentration reizend bis ätzend auf Augen und Schleimhäute. In niedrigen Dosen ist es unbedenklich.
Keine Schadsoftware
Brisant ist dieser Zwischenfall vor allem aus einem Grund: Das betroffene System war von außen über Teamviewer zugänglich, eine weit verbreitete Wartungssoftware. Diese lässt sich so konfigurieren, dass von außen jederzeit ein Zugriff möglich ist. Diese Funktion wird in der Regel eingesetzt, um etwa die Wartung zu erleichtern, damit niemand am Rechner sitzen muss. IT-Dienstleister nutzen dieses Programm oft, um ihre Kunden bei technischen Problemen zu unterstützen und um Routinearbeiten an Systemen und weit entfernten oder schlecht zugänglichen Systemen durchzuführen. Für letzteres ist die Funktion „Unbeaufsichtigter Zugriff“ gedacht. Hier muss – anders als bei einer „normalen“ Fernwartung in Zusammenarbeit mit dem Kunden – niemand am Rechner sitzen und per Mausklick den Zugriff bestätigen.
Damit eines deutlich wird: Teamviewer ist keine bösartige Software, sondern ein vollkommen legitimes Programm. Nur wurde eine Funktion des Programms in diesem Fall in einem Bereich eingesetzt, in dem es eigentlich niemals hätte eingesetzt werden dürfen. Um eine Maschine per Teamviewer aus der Ferne kontrollieren zu können, benötigt man eine Nutzer-ID und ein Passwort. Wenn jedoch die Systeme der Wasserversorgung einer Kleinstadt mit etwa 15.000 Einwohnern sowohl aus dem Internet erreichbar als auch „nur“ mit einem Passwort versehen sind, dann ist das ein nahezu unkalkulierbares Risiko. Der zuständige Mitarbeiter der Wasserwerke hat hier eindeutig Schlimmeres verhindert. Der Bürgermeister der Stadt Oldsmar betonte zudem, dass es zusätzliche Sicherungsmaßnahmen zum Schutz der Bevölkerung vor Angriffen auf die Trinkwasserversorgung gäbe, ohne hierzu näher ins Detail zu gehen
Spekulation über Täter und Motive
Sofort wurden Stimmen laut, die einen terroristischen Hintergrund vermuteten. Bisher ist das jedoch Spekulation – auch der Polizeisprecher wollte den Begriff „Terrorismus“ nicht in den Mund nehmen und sagte: „Fakt ist, dass sich jemand zweimal hintereinander in ein System gehackt hat und dem Trinkwasser eine [ätzende Substanz] zugefügt hat. Nennen sie es, wie sie wollen – das sind die Tatsachen“.
Die Terrorismus-Karte wird gerade heute und vor allem in den USA schnell gespielt. Es gibt Anhaltspunkte, die diese Position unterstützen, allerdings ist bisher absolut nichts darüber bekannt, woher der Angriff stammte. So ist Terrorismus zwar eine realistische Möglichkeit, aber hierbei steht dann sofort die Frage im Raum, warum die Täter sich erstens „nur“ eine Kleinstadt ausgesucht haben und warum sie einen sehr offensichtlichen Weg für ihren Angriff gewählt haben. Nun könnte man argumentieren, dass das hier ja vielleicht nur ein Probelauf für etwas Größeres war – aber damit begeben wir uns in Bereiche reiner Spekulation, die zumindest im Moment nicht zielführend ist.
Situation in Deutschland
In Deutschland gibt es klare Regeln, was den Einsatz von Fernwartung angeht, vor allem im industriellen Umfeld und in kritischen Infrastrukturen. Der BSI-Grundschutz schreibt hier vor, dass Systeme, die eine Fernwartung benötigen, in einem abgeschotteten Bereich des Netzwerkes (einer so genannten DMZ) untergebracht sein müssen. Auch muss eine Fernwartung immer „von innen nach außen“ initiiert werden. Damit scheiden automatisch alle Fernwartungen aus, die jederzeit und ohne Bestätigung durch einen Nutzer eine Verbindung von extern zulassen. Eine Übersicht über die entsprechenden Vorschriften findet sich im Baustein OPS 2.4 des IT-Grundschutzes. Näheres findet sich in den Umsetzungshinweisen zum IT-Grundschutz (Seite 344 des Dokuments).
Tim Berghoff
Security Evangelist