ICS unter Beschuss: Wasserwerk gehackt

von VPNHaus | 24.02.2021

Industrial Control System (ICS) ist ein bisschen wie der kleine, nicht ganz so lernaffine Bruder der „richtigen“ IT. ICS kann zwar fast alles, was normales IT-Equipment auch kann, verwendet auch einen Großteil der gleichen Protokolle und ist in seinen Prinzipen ebenfalls nah dran am großen Bruder, doch so richtig ernstgenommen wird es trotzdem nicht. Das klingt zwar abwertend, aber anders kann man die Schlagzeilen über den Sicherheitsvorfall im Oldsmar Wasserwerk in Florida nicht erklären. Dort hat angeblich ein Hacker die Kontrollsysteme des Wasserwerks gehackt und an den Kontrollen rumgespielt. Dabei haben er oder sie den Beimischwert für eine Lauge um den Faktor 100 erhöht. Der gewählte Wert hätte sich zwar nicht physisch umsetzen lassen und ein Mitarbeiter erkannte die Manipulation innerhalb weniger Minuten, aber nichtsdestotrotz, der böse Hacker hat wieder zugeschlagen.

Simple Lösungen für simple Probleme

Nun geht es nicht darum, solche Eingriffe in ein ICS kleinzureden. Die sind durchaus gefährlich, egal ob Lauge beigemischt oder die Wasserversorgung abgeschaltet werden soll. Nur, mit bösem Hacking hat das nichts zu tun. Denn in diesem Fall wurde der Angriff über TeamViewer durchgeführt. Und auch nicht durch eine neue, bisher unerkannte Schwachstelle von TeamViewer sondern, ganz simpel, durch kompromittierte Zugangsdaten. Dagegen gibt es eine einfache, seit langem bekannte und noch dazu kostenfreie Gegenmaßnahme: 2-Faktor Authentifizierung, die bei TeamViewer mit einem Mausklick aktiviert werden kann. Das müsste eigentlich die Schlagzeile jedes Artikels und Blogbeitrags über Oldsmar sein: IT-Personal verschlampt grundlegende Vorsichtsmaßnehmen. Das ist 2021 nicht hinnehmbar, völlig unnötig und ein Skandal.

Stattdessen werden immer abstrusere Nebenschauplätze eröffnet, die nichts mit dem eigentlichen Problem zu tun haben. Dass die TeamViewer-Instanz beispielsweise auf Windows 7 lief, welches schon seit geraumer Zeit keine Sicherheitsupdates mehr von Microsoft erhält. Stimmt, ist in dem Zusammenhang aber irrelevant. Oder dass TeamViewer die Funktionen eines Remote Access Trojaners (RAT) hat. Stimmt auch, allerdings bildet ein RAT die Funktion einer Fernwartungssoftware nach, nur eben mit ein paar weniger netten Features. TeamViewer ist eine weit verbreitete, völlig legitime Fernwartungssoftware mit Dutzenden Millionen Installationen, auch bei gewerblichen Anwendern. Ob man TeamViewer in einer kritischen Infrastruktur einsetzen muss, ist eine andere Frage. Aber an sich ist an einem Fernzugang über TeamViewer nichts verkehrt. Man sollte dabei nur nicht einfachste Sicherheitsmaßnahmen außer Acht lassen.

2-Faktor-Authentifizierung kann jeder umsetzen!

Nichts am Oldsmar-Hack, wenn man ihn so nennen will, hat etwas mit ICS-Bedrohungen zu tun, aber sehr viel mit einer schreienden Vernachlässigung von grundlegender Informationssicherheit. Dazu muss man sich nicht mal in den NIST Schriftenreihen umsehen, um im 800-82 umfassende Hinweise zur Sicherheit für ICS-Umgebungen zu finden. Was hier schiefgelaufen ist, empfiehlt jede Frauen- oder Einrichtungszeitschrift einmal im Jahr in ihren Ratgeberseiten. Der dafür notwendige technische Sachverstand ist auch so niedrig angesiedelt, dass die beliebte Ausrede „kein ausgebildetes Personal“ nicht herhalten kann. 2FA bei TeamViewer erfordert eine Handynummer und ein paar Klicks in einer grafischen Benutzeroberfläche. Natürlich wird an vielen Stellen die mangelnde Ausstattung mit Personal genannt und der hohe Kostendruck, etc. Nur, das ist eine industrielle Umgebung, in der extrem hohe Standards für funktionale Sicherheit (engl. Safety) gelten. Wenn Pumpen, Motoren, große, sich bewegende Maschinen, nicht so abgesichert sind, dass Menschen nicht zu Schaden kommen können, gibt es keine Freigabe und viel Ärger mit der Kontrollbehörde. Dafür steht Geld, Ausbildung und Knowhow zur Verfügung. Aber noch wichtiger, dafür gibt es auch ein Verständnis, neudeutsch „Awareness“.

Zeitgemäßes Handeln ist gefragt

Ob ICS oder Standard-IT: Jeder Zugang von und nach Außen ist in einem IT-System besonders gefährdet und deshalb mit besonderem Aufwand abzusichern. Es gibt schon einen Grund, warum normalerweise kein Mitarbeiter ohne VPN ins Firmennetz darf, mittlerweile auch fast immer mit einer 2FA-Authentifizierung. Aber dafür ist ja auch die „richtige“ IT zuständig. Die wurde mittlerweile durch Hunderte von Vorfällen und Standard-Frameworks dazu gezwungen, das Thema Sicherheit ernst zu nehmen. Peinliche Ausfälle wie in Oldsmar sind dort selten geworden. Doch ICS lebt anscheinend immer noch den Nimbus der „Verfügbarkeit über alles“ und lässt von IT-Sicherheit lieber die Finger. Ist ja bisher immer gut gegangen. In Oldsmar hat „bisher“ nun aufgehört.