Ein unspektakulärer, aber hochriskanter Sicherheitsvorfall in Norwegen sorgt für Aufsehen: Unbekannte Angreifer haben im April ein Kontrollsystem des Staudamms Lake Risevatnet manipuliert – und das allein durch die Ausnutzung eines schwachen Passworts. Die Folge: Ventile wurden komplett geöffnet, der Wasserabfluss erhöhte sich für mehrere Stunden deutlich über den vorgeschriebenen Mindestdurchfluss. Der Angriff blieb rund vier Stunden lang unentdeckt, richtete glücklicherweise keinen physischen Schaden an und gefährdete laut Betreibern nicht die öffentliche Sicherheit. Doch der Fall zeigt erneut, wie verwundbar selbst zentrale Infrastrukturen sein können.
Der Vorfall wurde vom amerikanischen OT-Sicherheitsunternehmen Claroty auf seinem Blog öffentlich gemacht. Claroty ist auf den Schutz cyber-physischer Systeme spezialisiert und analysiert regelmäßig Schwachstellen in Industrieanlagen, Energieversorgung und der kritischen Infrastruktur.
Kein Zero-Day, sondern ein Passwort
Bei dem Angriff handelte es sich demnach nicht um einen ausgeklügelten, staatlich orchestrierten Hack – sondern schlicht um unzureichende Zugangskontrollen. Die Angreifer kompromittierten laut Claroty ein webbasiertes Steuerpanel, das für den Betrieb des Abflussventils zuständig war. Offenbar reichte ein schwaches Passwort aus, um Authentifizierungsmaßnahmen zu umgehen und direkten Zugriff auf das OT-System zu erhalten.
"Der Angriff zeigt, dass es oft nicht die hochkomplexen Angriffe sind, die Systeme gefährden – sondern einfache Versäumnisse wie schwache Passwörter oder offen erreichbare Schnittstellen", schreibt Claroty-CISO (Chief Information Security Officer) Grant Geyer in seinem Beitrag. Allein über Shodan, eine Suchmaschine für mit dem Internet verbundene Geräte, lassen sich laut Claroty weltweit mehr als 23.000 Gebäudeautomationssysteme identifizieren – viele davon ohne aktuelle Schutzmaßnahmen.
Die Warnung von Claroty lautet daher: Betreiber sollten insbesondere fernzugängliche OT-Komponenten deutlich besser absichern. Dazu gehören neben einer konsequenten Passwortpolitik auch eine Zwei-Faktor-Authentifizierung, klar definierte Zuständigkeiten und technische Schutzmaßnahmen wie Netzwerksegmentierung und Monitoring.
Aus der Lücke wird schnell ein Risiko
"Ein nicht abgesichertes Gerät im Netz ist wie eine unverschlossene Haustür“, warnt Geyer. Sobald ein Angreifer Zugriff auf ein Element wie ein Steuerungsventil erlangt, kann er sich im OT-Netz lateral ausbreiten und potenziell gravierende Schäden verursachen. Der Fall in Norwegen verlief glimpflich – hätte es sich jedoch um ein Wehr an einem Fluss oder einen Speicher für Trinkwasser gehandelt, wäre die Lage schnell ernster geworden, heißt es weiter.
Fazit: Sicherheitsgrundlagen gehören auf die Tagesordnung
Claroty fordert, dass Themen wie Fernzugriff, Authentifizierungs-Standards und Ownership für cyber-physische Systeme nicht erst nach einem Vorfall auf die Agenda kommen, sondern fester Bestandteil im Regelbetrieb sein müssen. Auch wenn nicht jede Schwachstelle zu einem Sicherheitsvorfall führe, so zeige das Beispiel Lake Risevatnet doch sehr deutlich, dass selbst kleinste Nachlässigkeiten zu erheblichen operativen Risiken führen können. (sg)
