Plattform für Wasser, Gas und Wärme
Täglich finden Tausende Angriffe auf die digitale Infrastruktur von Schweizer Institutionen statt. Längst nicht mehr sind nur Banken und Versicherungen das Ziel solcher Angriffe. KMU, Behörden und kritische Infrastrukturen werden immer öfter und auch erfolgreich angegriffen. Allein im Januar 2022 wurden das Internationale Rote Kreuz in Genf, die Stadt Yverdon-les-Bains oder die Chemiefirma CPH Opfer eines erfolgreichen Cyberangriffs.
Ging es in der Vergangenheit oft um die Zerstörung von Daten oder die Anzeige von Werbefenstern, geht es heute fast ausschliesslich um finanzielle oder politische Interessen. Allein der Markt für Lösegeldzahlungen im digitalen Raum wird auf 20 Mia. Franken [1] jährlich geschätzt, Tendenz stark steigend.
Bis zu 98% aller Cyberangriffe nutzen Social-Engineering-Methoden [2]. Dabei geht es darum, die Schwächen im menschlichen Verhalten auszunutzen, um Zugriff auf Systeme und Netzwerke zu erhalten. Die wohl bekannteste und sehr erfolgreiche Social-Engineering-Methode ist Phishing. Dabei erhalten Personen eine glaubwĂĽrdig aussehende E-Mail, die zur Eingabe von Daten wie Passwörtern, Kreditkartennummern usw. auffordern.Â
Durch die zunehmende Digitalisierung von Infrastrukturanlagen rücken auch kritische Infrastrukturanlagen wie Kläranlagen in den Fokus von cyberkriminellen Aktivitäten. Es gibt dafür mehrere Gründe:
Um zu prüfen, wie gewappnet eine Kläranlage in der Schweiz für einen möglichen Cyberangriff ist, wurde ein simulierter Angriff in der Region Zürich durchgeführt. Dabei sollten ausschliesslich menschliche Schwachstellen ausgenutzt werden, Social Engineering also. Zudem wurden, um eine möglichst realistische Situation abzubilden, Klärwerksmeister und Mitarbeiter auf der Kläranlage bis zur Schlussbesprechung nicht über die Angriffssimulation informiert.
| Angeschlossene Einwohner | 30'000 |
| Einwohnergleichwerte | 45'000 |
| Personal | 5 Angestellte |
| Organisation | Zweckverband von mehreren Gemeinden |
| Infrastruktur | Kläranlage und rund 40 Sonderbauwerke (Regenbecken, Pumpstationen, Regenüberläufe) |
Angaben zu der vom Cyberangriff betroffenen Kläranlage.
Security-Check nach IKT-Standard durch ein Abwasser-Ingenieurbüro, das laufend verschiedene Planer- und Projektierungsleistungen für die getestete Kläranlage erbringt.
Zugriff auf die IT (Büro, Verwaltung, Telefonie), operative Technologie (Sonderbauwerke, PLS / SPS, Maschinen und Geräte) sowie Webseiten-Systeme der Kläranlage.
Innerhalb eines Zeitraums von drei Monaten.
Social Engineering, also die Ausnutzung von menschlichen Schwachstellen (s. Box unten). Ausgeschlossen waren technische Angriffe, welche z. B. eine Sicherheitslücke in der Firewall oder einem Betriebssystem ausnützen.
Schriftlichkeit ĂĽber alle auszufĂĽhrenden Handlungen, aber auch Grenzen wie zum Beispiel:
Nein. Nur öffentliche Quellen können verwendet werden.
Viele echte Cyberangriffe erfolgen nach bekannten und etablierten Vorgehensweisen und verursachen einen Schaden. Ein simulierter Angriff hingegen hat keine Schadenfolge, unterscheidet sich im Ablauf jedoch nur unwesentlich von einem echten Angriff:
| Â | Simulierter Angriff | Echter Angriff |
| Verträge über den Zeitraum und Umfang des Angriffs | x |  |
| Verwaltungsrat/Präsident ist informiert | x |  |
| Verwaltungsrat/Präsident ist informiert |  |  |
| Angreifer sammelt Informationen ĂĽber das Ziel | x | x |
| Angreifer identifiziert Schwachstellen und LĂĽcken | x | x |
| Angreifer erlangt Zugriff | x | x |
| Verschlüsselung oder Zerstörung von Daten und Systemen/Forderung nach einem Lösegeld |  | x |
| Dokumentation und Debriefing | x | Â |
Vorgehensweise (von oben) eines simulierten Angriffs und Vergleich mit einem echten Angriff.
Ein simulierter Angriff setzt dort an, wo auch Black Hat Hacker starten würden: bei öffentlich zugänglichen Informationen. In diesem Prozess, OSINT genannt, werden unterschiedliche Informationsquellen verknüpft und in ihrer Gesamtheit beurteilt.
Im Fall der getesteten Kläranlage entstand so ein umfassendes Bild aus den folgenden Informationsquellen:
Basierend auf diesen Informationen wurden erste Schwachstellen identifiziert und ein Angriffsplan festgelegt. Im Folgenden sind ausgewählte erfolgreiche Angriffe beschrieben.
Mittels Google Alerts wurde der Angreifer auf eine neu ausgeschriebene Stelle bei der Kläranlage aufmerksam. Dies bot eine gute Möglichkeit, um weitere privilegierte Informationen von der Geschäftsführung zu erhalten.
In einem ersten Schritt bekundete der Angreifer telefonisch Interesse für die ausgeschriebene Klärwärterstelle und stellte Fragen zum Betrieb. Während dieses Gesprächs erwähnte der Betriebsmitarbeiter in einem Nebensatz, dass der Betriebsleiter schon bald in den Ferien sein wird. Ungewollt hat der Mitarbeiter am Telefon so das Zeitfenster für einen Angriff festgelegt. Dank Geschäftsberichten auf der Website war klar, wer der langjährige IT-Partner der Kläranlage ist. Mit den Informationen über die Abwesenheit des Betriebsleiters und des IT-Partners konnte sich der Angreifer nun eine Geschichte ausdenken, um sich Zugang zur Kläranlage zu verschaffen.
Gesagt, getan. Am ersten Ferientag des Betriebsleiters klingelte der Angreifer am Haupteingang und stellte sich wie folgt vor: «Hallo, ich bin Patrick von IT-Partner AG und komme gerade von einer Kläranlage in der Nähe. Wir haben dort ein Problem mit der VPN-Router-Konfiguration im Pumpwerk festgestellt. Mein Chef Lukas meinte, ich soll kurz bei euch vorbeischauen, nicht dass euer VPN auch aussteigt. Es dauert nur fünf Minuten.»
Dank dieses Vorwands erhielt der Angreifer ohne Zögern Zugang zum Betriebsgebäude, dem Prozessleitsystem sowie sämtlichen Servern. Dank eines weiteren Vorwands konnten zudem USB-Sticks eingesteckt, Daten kopiert sowie Software installiert werden.
Dieser Zugriff wurde erst zehn Tage später beiläufig, im Gespräch während der Kaffeepause, entdeckt. Im Ernstfall wäre dies aber einige Tage zu spät gewesen. Eine Schadsoftware hätte sich bereits im Netzwerk ausbreiten und Prozesse beeinflussen können.
Mittels einer E-Mail gab sich der Angreifer als Leiter einer anderen Kläranlage aus und bat um Auskünfte zur Rechengutentsorgung. Das Ziel war es, den Empfänger der E-Mail, in diesem Fall den Betriebsleiter, zum Öffnen eines Links auf der vermeintlich eigenen Website zu bewegen. Dieser Link enthielt ein paar unscheinbare Abweichungen, wodurch der Empfänger auf eine andere Website umgeleitet wurde. Auf dieser manipulierten Website wurden vom Angreifer gezielt Informationen gesammelt.
Vergleich von einer echten und einer gefährlichen Website. Beim unteren Link handelt es sich beim «l» um ein grossgeschriebenes «i». Der Link könnte auf einen fremden Server zeigen.
Wie vom Angreifer erhofft, wurde der Link geöffnet und er erhielt die IP-Adresse des Netzwerk-Eingangstors. Mittels eines technischen Scans wurden dann vertrauliche Informationen über die Kläranlage, das IT-System sowie das kritische OT-System bekannt. Mit den dadurch erlangten Informationen hätte die gesamte Kläranlage vom Internet und somit auch von den Substationen getrennt werden können. Im Ernstfall hätte dies eine massive Beeinträchtigung des Kläranlagenbetriebs nach sich gezogen.
Wie jeder moderne Betrieb nutzt auch die Kläranlage WLAN für eine Vielzahl von Aktivitäten. Aufgrund der gewonnenen Erkenntnisse über Mitarbeiter und Prozesse konnte der Angreifer davon ausgehen, dass das WLAN-Passwort erraten werden kann.
Basierend auf gängigen Mustern (Postleitzahl, Gemeinde, Region, Bezirk, Kanton, Name des Betriebs, Gründungsjahr) generierte der Angreifer in wenigen Stunden eine Liste mit rund 250 Millionen Passwörtern und versuchte damit den Zugang auf das WLAN-Netzwerk zu erlangen – mit Erfolg.
Bereits nach wenigen Minuten war das korrekte Passwort identifiziert und das Netzwerk geknackt. Einmal im Netzwerk, konnte der Angreifer schnell Schwachstellen bei der Telefonanlage, den Servern und auch den Zugangspunkten ins operative Netz feststellen. Mithilfe des Passworts «ara» wurde zum Beispiel der Schreibzugriff auf das Abwasser-Messdaten-System freigegeben.
Nach Abschluss der Angriffsserie wurde die Geschäftsleitung informiert und sämtliche betroffenen sowie interessierten Parteien zu einer Nachbesprechung eingeladen. Dabei ging es nicht um die Blossstellung von Mitarbeitern oder Zulieferern, noch darum, eine Misstrauenskultur bei den Mitarbeitern zu schaffen. Vielmehr ging es darum, ein Bewusstsein für die Risiken zu entwickeln sowie mögliche Vorsichtsmassnahmen zu besprechen. Um die Kläranlage in der Umsetzung zu unterstützen, wurden sämtliche Schwachstellen erläutert, auf einer Risiko-Matrix platziert und priorisiert. Daraus ergaben sich abgestufte Handlungsempfehlungen, die den Verantwortlichen der Kläranlage als Anhaltspunkte für die Verbesserung der Sicherheitsmassnahmen dienen.
Ein Vorstandsmitglied hat die Erfahrung wie folgt kommentiert: «Als Werkbetreiber der öffentlichen Hand stellen wir den Betrieb einer kritischen Infrastruktur sicher. Neben den aktuellen fachspezifischen Themen wie Elimination von Mikroverunreinigungen, Rückgewinnung von Phosphor, Abwasserwärmenutzung usw. müssen wir auch bezüglich Sicherheit laufend auf dem neusten Stand bleiben. Das Thema Cybersicherheit ist neu für uns, sicher aber ein Thema, dem wir in Zukunft noch mehr Aufmerksamkeit schenken müssen.»
Der ARA-Vorstand erklärt weiter, wieso die Simulation durchgeführt wurde: «Nachdem wir im Frühjahr 2021 eine Analyse vornehmen liessen, wollten wir die Theorie auch in der Praxis bestätigen. Aus diesem Grund haben wir im Vorstand diesen simulierten Cyberangriff extern beauftragt.»
«Wir sind sehr zufrieden mit den Ergebnissen. Wir erhielten wertvolle Hinweise auf Schwächen und wie diese verbessert werden können. Durch die erlebte Bedrohung war auch der Lerneffekt bei unseren Mitarbeitenden gross und nachhaltig. Viele der vorgeschlagenen Massnahmen wurden bereits umgesetzt, weitere sind in Planung.»
Der Schutz jeder Anlage ist einzigartig und muss individuell organisiert werden. Es gibt jedoch Massnahmen, die jederzeit einen Sinn haben und die Sicherheit sofort erhöhen:
Im April 2022 endete die Vernehmlassung des Bundes zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen. Es kann also damit gerechnet werden, dass schon bald auf Gesetzesebene Vorschriften zur Meldung von Cybervorfällen erlassen werden [3].
Der Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie in Abwasserbetrieben, basierend auf den IKT-Minimalstandards [4] des Bundesamts für wirtschaftliche Landesversorgung, ist ein guter Leitfaden, um sich mit dem Thema Cybersicherheit etwas besser vertraut zu machen. Wichtig dabei ist auch, die unterschiedlichen Massnahmen regelmässig durch Angriffssimulationen überprüfen zu lassen. Dies hilft, um sich kontinuierlich weiterzuentwickeln und im Fall der Fälle gerüstet zu sein.
[1] Herjavec Group (2019): Official Annual Cybercrime Report
[2] https://purplesec.us/resources/cyber-security-statistics/
[3] Bundesrat (2022): Medienmitteilung: Vernehmlassung zur EinfĂĽhrung einer Meldepflicht fĂĽr Cyberangriffe eröffnetÂ
[4] BWL (2021): Minimalstandard fĂĽr die Sicherheit der Informations- und Kommunikationstechnologie in AbwasserbetriebenÂ
(D)DoS, Distributed) Denial-of-Service Attack
Angriff von vielen verteilten Rechnern auf Computersysteme mit dem erklärten Ziel, deren Verfügbarkeit zu stören.
IT (Informationstechnologie)
IT-Umgebung, die fĂĽr den administrativen Betrieb eingesetzt wird.
OT (operative Technologie)
Computer, Steuerungsanlagen und Maschinen, die für den täglichen Betrieb eingesetzt werden.
Malware
Computerprogramme, die entwickelt wurden, um – aus Sicht des Opfers – unerwünschte und gegebenenfalls schädliche Funktionen auszuführen.
Ransomware
Schadsoftware, die Daten verschlüsselt und nur gegen Zahlung eines Lösegelds (engl. ransom) wieder zugänglich macht. Lösegeld muss üblicherweise in Kryptowährungen beglichen werden.
Social Engineering
Zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen (z. B. zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen).
OSINT (Open Source Intelligence)
Sammeln von Informationen aus öffentlichen Quellen. Dazu gehören Webseiten, soziale Medien, geografische Informationssysteme, in der Vergangenheit gehackte und dadurch veröffentlichte Informationen.
White Hat Hacker
Manchmal auch als «ethische» oder «gute Hacker» bezeichnet. Sie testen Computersysteme oder -netze, um deren Sicherheitsmängel zu ermitteln, damit sie Empfehlungen zur Verbesserung abgeben können.
Grey Hat Hacker
Mischung aus Black Hat und White Hat Hacker. Graue Hacker suchen oft nach Schwachstellen in einem System ohne die Erlaubnis oder das Wissen des Eigentümers. Wenn sie Probleme finden, melden sie diese dem Eigentümer und verlangen möglicherweise eine Gebühr für die Behebung des Problems.
Black Hat Hacker
Kriminelle, die mit schädlicher Absicht in Computer und Netzwerke eindringen.
Google Alert
Automatische Benachrichtigung, sobald für gewählte Websites oder Begriffe neue Inhalte gefunden werden.
Resilienz
Der Begriff lässt sich auch mit Anpassungsfähigkeit umschreiben. Resilienz ist ein Prozess, in dem Personen auf Probleme und Veränderungen mit Anpassung ihres Verhaltens reagieren.
OSINT
Das Aufspüren von öffentlich verfügbaren Informationen, die verwendet werden können, um neue Erkenntnisse zu gewinnen.
Phishing & Spear Phishing
Abgeleitet aus dem englischen fishing (fischen) geht es darum, nach vertraulichen Informationen zu angeln. Während das klassische Phishing an eine grosse Anzahl Personen versendet wird, werden beim Spear Phishing gezielt eine oder wenige Personen angegriffen.
Impersonating
Sich als jemand anderen ausgeben, um Informationen, Zugriffe oder Zutritte zu erhalten.
Credential Stuffing
Menschen neigen dazu, Passwörter mehrfach zu verwenden. Bei Credential Stuffing werden anderswo gestohlene Passwörter gegen einen Zugang getestet.
«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.
Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.
Kommentare (0)