Die Fehltritte des Wasserwerks verdeutlichen die Notwendigkeit von Sicherheitskontrollen für kritische Infrastrukturen

  • Ein neues Advisory mit Details zum Sabotageversuch eines Hackers in einer städtischen Wasseraufbereitungsanlage in Oldsmar, Florida, hat die Missachtung bestimmter grundlegender Best Practices der Cyberhygiene durch die Mitarbeiter offenbart.

    Experten sagen, dass dies ein Indikator dafür ist, dass Betreiber von kritischen Infrastrukturen eine ernsthafte Infusion von Sicherheitskontrollen gebrauchen könnten. Aufgrund von Budgetbeschränkungen könnten diese Kontrollen jedoch zunächst eine gründliche Risikobewertung und Priorisierung erfordern.

    Als der Vorfall vom 5. Februar letzten Montag bekannt wurde, wurde berichtet, dass ein böswilliger Akteur eine Fernzugriffssoftware – später als TeamViewer identifiziert – ausnutzte, um die Anlagensteuerung zu kapern und dann versuchte, die Laugenmenge im Wasser auf gefährliche Werte zu erhöhen.

    Aber das war nicht die ganze Geschichte. Ein Sicherheitshinweis, der Anfang dieser Woche vom Umweltministerium des Bundesstaates Massachusetts veröffentlicht wurde, verwies auf zusätzliche unsichere Praktiken oder Verhaltensweisen in der Bruce T. Haddock Water Treatment Plant, die das Risiko exponentiell weiter erhöhten.

    Zunächst einmal waren alle Computer, die von den Mitarbeitern der Anlage verwendet wurden, mit dem SCADA-System der Anlage verbunden und verwendeten das Betriebssystem Windows 7, das Anfang 2020 das Ende seiner Lebensdauer erreicht hat und von Microsoft nicht mehr unterstützt wird. “Außerdem hatten alle Computer das gleiche Passwort für den Fernzugriff und waren offenbar direkt mit dem Internet verbunden, ohne dass eine Firewall installiert war”, heißt es in dem Bericht weiter.

    “Dieser Vorfall ist wichtig, weil er den Zustand von zu vielen industriellen Kontrollsystem (ICS)-Installationen widerspiegelt, insbesondere von solchen mit kleineren Budgets und einer geringeren Größe, bei denen die Sicherheit oft übersehen wird”, sagte Andrea Carcano, Mitbegründer von Nozomi Networks.

    Das Massachusetts Advisory schlug als Reaktion auf diesen Vorfall vor, dass öffentliche Wasserversorger “alle Remote-Verbindungen zu SCADA-Systemen einschränken, insbesondere solche, die eine physische Kontrolle und Manipulation von Geräten innerhalb des SCADA-Netzwerks ermöglichen”, und fügte hinzu, dass unidirektionale Einweg-Überwachungsgeräte zur Fernüberwachung von SCADA-Systemen empfohlen werden.

    Zu den weiteren Hinweisen gehörten die aktive Verwendung einer Firewall mit Protokollierungsfunktionen, das regelmäßige Patchen von Software (insbesondere nach dem Bekanntwerden eines kritischen Fehlers), die Verwendung einer Zwei-Faktor-Authentifizierung und starker Passwörter sowie die Installation eines virtuellen privaten Netzwerks.

    Natürlich sollten Anlagenbetreiber viele dieser Lektionen bereits kennen, dennoch sind Sicherheitslücken in kritischen Infrastrukturumgebungen nur allzu häufig, sagen Experten. Aus diesem Grund sind verbesserte Kontrollen für ICS- und OT-lastige Umgebungen notwendig. Aber das bringt eigene budgetäre Herausforderungen mit sich.

    “Traditionell hatten kleinere Organisationen mit kritischen Infrastrukturen auf der ganzen Welt immer Schwierigkeiten, Mittel für die Cybersicherheit zu erhalten”, sagt Tim Conway, technischer Leiter der ICS- und SCADA-Programme am SANS Institute. “Die Budgets sind nicht grenzenlos, und die Unternehmen haben immer damit gekämpft, die Betriebs- und Wartungsausgaben zu erhöhen, um die laufenden Kosten für Cybersecurity-Personal, Schulungen, Tools und Technologie zu decken.”

    Bei der Zuteilung von Budgets müsse die Sicherheit mit den widersprüchlichen Forderungen nach Investitionen in die Infrastruktur und Betriebsfähigkeiten in Einklang gebracht werden, so Conway weiter. “Um dieses Gleichgewicht zu erreichen, muss es die Beteiligung von informierten Stakeholdern geben, die die verschiedenen Risiken für das Geschäft und die Verpflichtungen gegenüber ihren Kunden und Gemeinden, die sie bedienen, darstellen können.”

    An dieser Stelle kommen Asset Management und Risikobewertung ins Spiel.

    “Es ist eine eindringliche Erinnerung daran, dass die beste Grundlage für eine effektive OT-Cybersicherheit ein detailliertes und umfassendes Anlageninventar ist, das Beziehungen und Abhängigkeiten zwischen OT-Systemen und eine Grundlinie der Konfigurationseinstellungen enthält”, so Eddie Habibi, Gründer von PAS Global LLC, Teil des Technologieunternehmens Hexagon AB. “Auf dieser Grundlage ist die Risikobewertung wesentlich fundierter, sodass Unternehmen den Fernzugriff sowohl auf System- als auch auf Kontoebene effektiver zuweisen und einschränken können.”

    Durch diese Risikobewertungen können Unternehmen Prioritäten setzen, welche Kontrollen sie am dringendsten benötigen.

    Malcolm Harkins, Chief Security and Trust Officer bei Cymatic und Fellow am Institute for Critical Infrastructure Technology (ICIT), beschreibt einige der wichtigsten Kontrollen, die ICS-Umgebungen berücksichtigen müssen, um ihre Cyberhygiene zu verbessern.

    “Sie müssen eine Ebene echter technischer und Kontrollverantwortung vorantreiben”, so Harkins. “Haben Sie eine Funktion eingerichtet, die sicherstellt, dass Anmeldedaten nicht wiederverwendet werden? Erzwingen Sie das Zurücksetzen von Passwörtern? Scannen Sie das Dark Web nach… Passwörtern, die offengelegt werden? Schauen Sie auf Shodan… nach, wo ein Fehler passiert sein könnte und eine Komponente Ihrer kritischen Infrastruktur nun gelistet ist und jeder weiß, wie man sie anpingen kann? Das sind echte Kontrollen und echte technische und Prozessschritte.”

    Dann geht es darum, die richtigen Tools zu finden, um solche Kontrollen zu verwalten. Conway sagte, dass sich kritische Infrastruktureinrichtungen angesichts des Mangels an Sicherheitspersonal “stark auf die Anbieter und Systemintegratoren verlassen müssen, um die Projekte wirklich zu leiten und sicherzustellen, dass angemessene Niveaus von Cybersicherheitsschutz und -kontrollen im Systemdesign berücksichtigt werden… Es ist wichtig, dass fundierte Entscheidungen in Bezug auf die bestehenden Betriebs- und Sicherheitsrisiken getroffen werden.”

    Mit den vorhandenen Kontrollen, die dabei helfen, die richtig bewerteten Risikofaktoren zu mindern, können kritische Infrastruktureinrichtungen dann ihre Cyber-Hygiene durch die Implementierung von Programmen zum Sicherheitsbewusstsein weiter verbessern. Idealerweise berücksichtigen solche Kurse die einzigartige Mischung aus IT, OT und IoT in kritischen Infrastrukturen.

    “Es ist absolut notwendig, sicherzustellen, dass das Training mit der Umgebung, der Kultur und den Lernzielen übereinstimmt, die für die wesentlichen Arbeitsaufgaben spezifisch sind”, sagt Conway. “Suchen Sie sich einen Schulungspartner, der die einzigartigen Anforderungen an das IT- und OT-Sicherheitsbewusstsein in einem Unternehmen versteht und die richtige Schulung für die richtigen Mitarbeiter in einer Weise gewährleisten kann, die dazu beiträgt, das Verhalten zu beeinflussen.”

    Wenn Betreiber kritischer Infrastrukturen nicht anfangen, einige dieser Maßnahmen selbst anzuwenden, ist es möglich, dass die Regierung anfängt, bestimmte Erwartungen aufzuerlegen.

    Viele Industrieunternehmen haben nicht damit begonnen, sich selbst zu regulieren und Industriestandards und Frameworks wie ISA/IEC 62443 und NIST 800 anzuwenden”, sagt Habibi. “Wenn die Gesundheit und Sicherheit der Menschen gefährdet ist, wird sich die Regierung gezwungen sehen, einzugreifen. Wir sollten davon ausgehen, dass Oldsmar den Wunsch der Regierung, dies zu tun, verstärken wird.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com