Verwirrung beim angeblichen Wasserwerks-Hack

Nachdem noch letzte Woche eine US-Behörde einen Einbruch übers Netz für die Zerstörung einer Pumpe verantwortlich machte, wollen nun FBI und US-Heimatschutz keine Anzeichen für einen Einbruch gefunden haben.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Lesezeit: 3 Min.

Das Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) gibt Entwarnung: Der Fehler im Wasserwerk von Illinois, der zur Zerstörung einer Pumpe führte, sei doch nicht auf einen Einbruch zurückzuführen. Doch Zweifel an diesem beruhigenden Befund sind durchaus angebracht.

"Nach einer detaillierten Analyse konnten Homeland Security (DHS) und FBI keine Anzeichen für einen Cyber-Einbruch in die SCADA-Systeme des Curran-Gardner Public Water District in Springfield, Illinois finden" heißt es in einer E-Mail an die Industrial Control Systems Joint Working Group (ICSJWG). Doch die Meldung, dass ein Hacker in das Wasserwerk eingedrungen sei, kam anscheinend ebenfalls von offizieller Stelle. So erklärt der Blogger Joe Weiss, der diesen Sachverhalt an die Öffentlichkeit brachte, seine Informationen stammten vom Illinois State Terrorism and Intelligence Center - STIC.

Der Security-Blogger Brian Krebs zitiert aus diesem vertraulichen STIC-Bericht:

"Im Lauf des 8. Novembers bemerkte ein Angestellter des Wasserwerks Probleme mit dem SCADA-System. Ein IT-Service-Team checkte die Log-Dateien des SCADA-Systems und stellte fest, dass in das System eingebrochen wurde – ausgehend von einer IP-Adresse aus Russland."

Außerdem erklärte auch der Vorsitzende des betroffenen Curran-Gardner Water Districts gegenüber einem lokalen Fernsehsender, dass es Anzeichen für einen Einbruch in das SCADA-System gebe, über das Fernzugriff auf die Pumpen möglich ist (das Video dazu findet sich ebenfalls bei Krebs). Wie es zu diesen so widersprüchlichen Analysen durch offizielle Stellen kommen konnte ist Weiss ein Rätsel. Er befürchtet, dass die dadurch entstehende Verwirrung zu weiteren Verzögerungen bei der Absicherung eventuell betroffener Infrastruktur führen könnte.

Noch unklar ist, was es mit dem zweiten Einbruch bei einem Wasserwerk in Texas auf sich hat. Dabei veröffentlichte der Hacker sogar Screenshots des SCADA-Systems. Laut ICS-CERT wird dieser Vorfall derzeit noch untersucht. Doch unabhängig davon, ob es nun wirklich bereits zu Einbrüchen und sogar konkretem Vandalismus kam: Bei Experten ist unstrittig, dass es um die Sicherheit von SCADA-Systemen nicht gut bestellt ist.

Eine besonders unrühmliche Rolle in diesem Zusammenhang spielt immer wieder Siemens Simatic. Da läuft schon mal ein Telnet-Dienst mit festkodierter Nutzernamen- und Passwortkombination "basisk" oder der Netzwerkzugang wird mit dem Default-Passwort "100" versehen. Der Stuxnet-Wurm demonstrierte, wie man solche Schwächen ausnutzt: Er hangelte sich im lokalen Netz über fest programmierte Zugangsdaten für die zugrundeliegende MS-SQL-Datenbank zu WinCC-Systemen weiter. Von dort aus zerstörte er dann Uran-Anreicherungszentrifugen. (ju)