Informatik-Sicherheitslücken bei Schweizer Wasserversorgern: Hacker machten vor knapp zwei Jahren darauf aufmerksam. Spasseshalber beschafften sie sich Daten einer Zentralschweizer Wasserversorgung – allerdings keine sicherheitsrelevanten, betonten die Behörden danach.
Von einer gravierenderen Lücke im Sicherheitsnetz eines Schweizer Wasserwerkes hat nun die zuständige Meldestelle für Informationssicherung des Bundes, MELANI, erfahren.
Unterbruch der Wasserversorgung möglich
«Man hat gesehen, dass gewisse Steuerungsanlagen dieses Werks offen im Internet einsehbar waren und unsere Analysen haben ergeben, dass auch Passwörter dort festkodiert waren», sagt der stellvertretende Leiter von MELANI, Max Klaus. Konkret heisst das: Wer wollte, konnte mit einigen Informatik-Kenntnissen die Passwörter des Wasserversorgers ganz einfach auf dessen Website einsehen.
Diese Person hätte so quasi die Schalthebel des Werks übernehmen können: «Sie hätte unter Umständen die Wasserversorgung für eine gewisse Zeit unterbrechen können. Ansonsten sind wir der Auffassung, dass kein grosser Schaden entstanden wäre», erklärt Klaus.
Via Google zum Passwort
Doch wenn Menschen mit üblen Absichten Wasserwerke steuern, kann es ungemütlich werden. Die Meldestelle des Bundes nennt den Namen des betroffenen Werkes denn auch nicht – nur so viel: Es handle sich um die Versorgung einer mittelgrossen Gemeinde – und wohl auch nicht um einen Einzelfall, sagt Candid Wüest, Forscher bei der IT-Sicherheitsfirma Symantec Schweiz: «Wir sehen leider sehr häufig, dass Passwörter eingesetzt werden, die vollen Zugriff ermöglichen. Zum Teil sind dies sogar Standardpasswörter, die ab Werk gesetzt werden. Der Hacker könnte diese sogar in einem Handbuch nachlesen.»
Dabei brauche es nicht einmal übermässig viel Geschick, besonders schwach geschützte Werke oder gar ganze Anleitungen zu finden. «In den üblichen Suchmaschinen wie Google findet man Handbücher dieser Geräte. Es gibt nicht sehr viele Lieferanten. Das macht es für die Angreifer natürlich einfach», so Wüest
Infrastruktur soll besser geschützt werden
Der Branchenverband der Wasserversorger, der Schweizerische Verein des Gas- und Wasserfaches, schreibt, das Problem sei bekannt: Die Steuerung von Versorgungsbetrieben von Computern aus könne ein Risiko für Hackerangriffe darstellen. Er sei daran, Lösungen zu entwickeln – gemeinsam mit Energieversorgern, zum Beispiel Wasserkraftwerken – die übrigens in der Schweiz auch schon Opfer von Hacker-Angriffen waren.
Bei der Meldestelle MELANI sucht Max Klaus nach Erklärungen für die Sicherheitslücken: «Ich denke, das ist in vielen Fällen auch historisch gewachsen. Diese Werke gibt es schon viel länger als das Internet. Aus Wartungsgründen wird die Wartung heute oftmals über ein WLAN-Netz gemacht und leider wird manchmal die Sicherheit vernachlässigt.»
Der Bund arbeitet derzeit mit einer eigenen Cyber-Strategie daran, die Schweizer Infrastruktur besser vor Angriffen aus dem Netz zu schützen. Es gibt offenbar noch einiges zu tun – solange ein Wasserversorger seine Passwörter zur Fernsteuerung wie in diesem Fall gleich selbst zugänglich macht.
