t-online - Nachrichten für Deutschland
Such IconE-Mail IconMenü Icon

Menü Icont-online - Nachrichten für Deutschland
Such Icon
HomeDigitalAktuelles

Hacker-Angriff: Die Legende vom großen Hack aufs Wasserwerk


Die Legende vom großen Hack

Von spiegel-online
02.12.2011Lesedauer: 4 Min.
Fließendes Wasser: Können Hacker die Versorgung via Internet lahmlegen?Vergrößern des BildesFließendes Wasser: Können Hacker die Versorgung via Internet lahmlegen? (Quelle: imago-images-bilder)
Auf Facebook teilenAuf x.com teilenAuf Pinterest teilen
Auf WhatsApp teilen

Die Aufregung war groß, diverse US-Behörden ermittelten. Russische Hacker hätten ein amerikanisches Wasserwerk angegriffen und dort eine Pumpe zerstört, behauptete eine Regierungsstelle. Nun wird klar: Den Hack gab es nie. Nur eine völlig legale Fernwartung aus Russland.

Das Ganze klang wirklich dramatisch. In einem Wasserwerk im US-Staat Illinois war eine Pumpe durchgebrannt. Von einer aus Russland stammenden IP-Adresse aus war zuvor auf die Rechnersysteme des Wasserwerks zugegriffen worden. Flugs wurde aus dem Zusammenfallen der Ereignisse eine Kausalkette gemacht: Eine lokale Behörde berichtete von einem Hackerangriff auf kritische Infrastrukturen, das FBI und das Heimatschutzministerium nahmen Ermittlungen auf.

"Ich hätte das alles mit einem einzigen Telefonat aufklären können."

Wenige Tage später gaben die Ermittler ostentativ Entwarnung: Es gebe keine Belege für einen Hack, auch nicht für die Behauptung, andernorts seien Passwörter und Zugangsdaten zu einer sogenannten Scada-Steuerungsanlage für das Wasserwerk entwendet worden. Einen illegalen Fernzugriff aus Russland habe es ebenfalls nicht gegeben.

Nun stellt sich heraus: Einen Zugriff aus Russland gab es durchaus. Er war nur nicht unberechtigt, sondern völlig in Ordnung. Der Gründer eines IT-Dienstleistungsunternehmens hatte im Urlaub eine Fernwartung an dem Steuerungssystem durchgeführt, und zwar Monate vor dem Ausfall der Pumpe. Im Gespräch mit "Wired" erklärte Jim Mimlitz, Gründer von Navionics Research, der das Kontrollsystem selbst mitinstalliert hatte: "Ich hätte das alles mit einem einzigen Telefonat aufklären können."

Niemand rief den Mann an, dessen Name in den Logfiles stand

Doch niemand rief Mimlitz an, obwohl offenbar über seinen Account auf das Scada-System des Wasserwerks zugegriffen worden war. Scada steht für Supervisory Control and Data Acquisition System. Solche Steuereinheiten werden weltweit in Industrieanlagen, Kraftwerken und anderswo eingesetzt, um komplexe Maschinerie per Computer zu steuern. Auch der Stuxnet-Wurm, der das iranische Atomprogramm empfindlich schädigte, zielte letztlich auf die Manipulation solche rScada-Steuereinheiten. Im Fall Stuxnet wurden sie dazu gebracht, die Drehzahl iranischer Uranzentrifugen wieder und wieder zu ändern. So sollten diese zerstört werden, ohne dass Spuren zurückblieben.

Mimlitz erklärte "Wired" nun, er habe, als er vergangenen Juni mit seiner Familie in Russland im Urlaub weilte, einen Anruf von einem Mitarbeiter des Wasserwerkbetreibers erhalten. Der Anrufer bat ihn, einige Datensätze auf dem Steuerrechner des Scada-Systems zu begutachten. Mimlitz nahm den Anruf auf seinem Handy entgegen und erwähnte nicht, dass er sich gerade in Russland aufhielt. Er nutzte seine Fernwartungszugangsdaten, um sich an Ort und Stelle ins System einzuloggen und der Bitte nachzukommen. In den Logdateien, die das Ereignis dokumentieren, taucht "Wired" zufolge Mimlitz' Name neben der russischen IP-Adresse auf. Man sei wohl einfach davon ausgegangen, dass er sicher nicht in Russland gewesen sei, sagt Mimlitz jetzt.

Cyber-Einbruch diagnostiziert

Am 10. November veröffentlichte ein örtliches Sicherheitszentrum, das die Anti-Terror-Bemühungen von Polizei, Heimatschutz, FBI und anderen Behörden koordinieren soll, einen Bericht mit dem Titel "Cyber-Einbruch in Bezirks-Wassersystem". Darin wurde eine Verbindung zwischen dem Fernzugriff aus Russland fünf Monate zuvor und der kaputtgegangenen Pumpe hergestellt. Sogar die Behauptung, dass die Pumpe von Russland aus immer wieder ein- und ausgeschaltet worden sei, um sie zum Durchbrennen zu bringen, stand darin. Das klang dann doch sehr nach Stuxnet.

Nun gibt es Streit darüber, wer für den alarmistischen und offenbar völlig unsinnigen Bericht verantwortlich ist. Eine Sprecherin der Illinois State Police sagte "Wired", ihre Behörde sei nicht schuld. "Der Bericht wurde von einer Reihe von Behörden angefertigt, darunter das Heimatschutzministerium, und wir haben das gewissermaßen nur unterstützt." Das Heimatschutzministerium widersprach und erklärte, der Bericht sei nicht, wie das bei den eigenen Erzeugnissen die Regel sei, von sechs verschiedenen Büros abgezeichnet worden. Der Bericht könne also nicht vom Heimatschutzministerium stammen.

Sind Scada-Systeme trotzdem verwundbar?

Als der Bericht schließlich über das Blog eines IT-Sicherheitsexperten seinen Weg in die Öffentlichkeit fand und einen medialen Sturm auslöste, war Mimlitz sehr erstaunt. Schließlich kam er zu dem Schluss, dass er selbst wohl der vermeintliche russische Hacker gewesen sein musste. Nun sind sich alle Beteiligten einig, dass der Bericht nie hätte in Umlauf kommen dürfen. Zumal die Logdateien der Pumpe Mimlitz zufolge zeigen, dass das Scada-System rein gar nichts mit der Fehlfunktion der Pumpe zu tun hatte.

Joe Weiss, der Blogger, der den ursprünglichen Bericht in die Öffentlichkeit gebracht hatte, ist jetzt schockiert: "Wenn man den Informationen eines solchen gemeinsamen Abwehrzentrums nicht trauen kann, wozu ist es dann überhaupt gut?", fragte er im Gespräch mit "Wired" rhetorisch.

Der Sprecherin des Abwehrzentrums zufolge ist man derzeit allerdings nicht primär damit beschäftigt, herauszufinden, wie der fehlerhafte Bericht überhaupt zustande kam. Man interessiert sich mehr dafür, wie Weiss ihn bekommen konnte: "Wir sind sehr besorgt über das Durchsickern brisanter Informationen."

Passwörter mit drei Buchstaben

Vor allem aber bleibt die Frage: Wie sicher sind die amerikanischen Infrastrukturen wirklich? Kurz nachdem erste Berichte über den angeblicher Hacker-Angriff auf das Wasserwerk in Illinois publik wurden, meldete sich ein Hacker, der sich selbst als pr0f bezeichnet. Seinen Schilderungen zufolge gelang es ihm, angespornt durch die Presseberichte, mühelos, selbst in das Scada-System eines Wasserwerks in South Houston einzudringen. Zum Beweis veröffentlichte er Screenshots, die das von ihm übernommene System zeigen sollen. Seinen Erläuterungen zufolge seien die Systeme von simplen Drei-Buchstaben-Passwörtern geschützt gewesen.

Zu diesem Vorfall gibt sich das verantwortliche IT-Sicherheitszentrum ICS-Cert in einer E-Mail einsilbig. Man unterstütze das FBI bei seinen Untersuchungen in dieser Sache, hieß es da nur. Weiter ist man auf der Suche nach dem Nachahmer offenbar noch nicht gekommen.

Ein Sicherheitsexperte des Unternehmens Sophos kommentierte in einem Blogeintrag, die Gefahr sei durchaus real - auch wenn der konkrete Fall offenbar keine Substanz habe: "Es gibt Versorger, die im Augenblick mit Scada-Systemen arbeiten, die mit dem Internet verbunden sind. Sie fordern Cyber-Hacks der gleichen Art, wie sie aus dem Wasserwerk in Springfield ursprünglich berichtet wurden, geradezu heraus."

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingAnzeigen

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

t-online - Nachrichten für Deutschland


TelekomCo2 Neutrale Website