Angebliche Attacke auf US-Wasserwerk: Die Legende vom großen Hack

Die Aufregung war groß, diverse US-Behörden ermittelten. Russische Hacker hätten ein amerikanisches Wasserwerk angegriffen und dort eine Pumpe zerstört, behauptete eine Regierungsstelle. Nun wird klar: Den Hack gab es nie. Nur eine völlig legale Fernwartung aus Russland.

Fließendes Wasser: Können Hacker die Versorgung via Internet lahmlegen? Zur Großansicht
DPA

Fließendes Wasser: Können Hacker die Versorgung via Internet lahmlegen?

Das Ganze klang wirklich dramatisch. In einem Wasserwerk im US-Staat Illinois war eine Pumpe durchgebrannt. Von einer aus Russland stammenden IP-Adresse aus war zuvor auf die Rechnersysteme des Wasserwerks zugegriffen worden. Flugs wurde aus dem Zusammenfallen der Ereignisse eine Kausalkette gemacht: Eine lokale Behörde berichtete von einem Hackerangriff auf kritische Infrastrukturen, das FBI und das Heimatschutzministerium nahmen Ermittlungen auf.

Wenige Tage später gaben die Ermittler ostentativ Entwarnung: Es gebe keine Belege für einen Hack, auch nicht für die Behauptung, andernorts seien Passwörter und Zugangsdaten zu einer sogenannten Scada-Steuerungsanlage für das Wasserwerk entwendet worden. Einen illegalen Fernzugriff aus Russland habe es ebenfalls nicht gegeben.

Nun stellt sich heraus: Einen Zugriff aus Russland gab es durchaus. Er war nur nicht unberechtigt, sondern völlig in Ordnung. Der Gründer eines IT-Dienstleistungsunternehmens hatte im Urlaub eine Fernwartung an dem Steuerungssystem durchgeführt, und zwar Monate vor dem Ausfall der Pumpe. Im Gespräch mit "Wired" erklärte Jim Mimlitz, Gründer von Navionics Research, der das Kontrollsystem selbst mitinstalliert hatte: "Ich hätte das alles mit einem einzigen Telefonat aufklären können."

Niemand rief den Mann an, dessen Name in den Logfiles stand

Doch niemand rief Mimlitz an, obwohl offenbar über seinen Account auf das Scada-System des Wasserwerks zugegriffen worden war. Scada steht für Supervisory Control and Data Acquisition System. Solche Steuereinheiten werden weltweit in Industrieanlagen, Kraftwerken und anderswo eingesetzt, um komplexe Maschinerie per Computer zu steuern. Auch der Stuxnet-Wurm, der das iranische Atomprogramm empfindlich schädigte, zielte letztlich auf die Manipulation solche rScada-Steuereinheiten. Im Fall Stuxnet wurden sie dazu gebracht, die Drehzahl iranischer Uranzentrifugen wieder und wieder zu ändern. So sollten diese zerstört werden, ohne dass Spuren zurückblieben.

Mimlitz erklärte "Wired" nun, er habe, als er vergangenen Juni mit seiner Familie in Russland im Urlaub weilte, einen Anruf von einem Mitarbeiter des Wasserwerkbetreibers erhalten. Der Anrufer bat ihn, einige Datensätze auf dem Steuerrechner des Scada-Systems zu begutachten. Mimlitz nahm den Anruf auf seinem Handy entgegen und erwähnte nicht, dass er sich gerade in Russland aufhielt. Er nutzte seine Fernwartungszugangsdaten, um sich an Ort und Stelle ins System einzuloggen und der Bitte nachzukommen. In den Logdateien, die das Ereignis dokumentieren, taucht "Wired" zufolge Mimlitz' Name neben der russischen IP-Adresse auf. Man sei wohl einfach davon ausgegangen, dass er sicher nicht in Russland gewesen sei, sagt Mimlitz jetzt.

Cyber-Einbruch diagnostiziert

Am 10. November veröffentlichte ein örtliches Sicherheitszentrum, das die Anti-Terror-Bemühungen von Polizei, Heimatschutz, FBI und anderen Behörden koordinieren soll, einen Bericht mit dem Titel "Cyber-Einbruch in Bezirks-Wassersystem". Darin wurde eine Verbindung zwischen dem Fernzugriff aus Russland fünf Monate zuvor und der kaputtgegangenen Pumpe hergestellt. Sogar die Behauptung, dass die Pumpe von Russland aus immer wieder ein- und ausgeschaltet worden sei, um sie zum Durchbrennen zu bringen, stand darin. Das klang dann doch sehr nach Stuxnet.

Nun gibt es Streit darüber, wer für den alarmistischen und offenbar völlig unsinnigen Bericht verantwortlich ist. Eine Sprecherin der Illinois State Police sagte "Wired", ihre Behörde sei nicht schuld. "Der Bericht wurde von einer Reihe von Behörden angefertigt, darunter das Heimatschutzministerium, und wir haben das gewissermaßen nur unterstützt." Das Heimatschutzministerium widersprach und erklärte, der Bericht sei nicht, wie das bei den eigenen Erzeugnissen die Regel sei, von sechs verschiedenen Büros abgezeichnet worden. Der Bericht könne also nicht vom Heimatschutzministerium stammen.

Sind Scada-Systeme trotzdem verwundbar?

Als der Bericht schließlich über das Blog eines IT-Sicherheitsexperten seinen Weg in die Öffentlichkeit fand und einen medialen Sturm auslöste, war Mimlitz sehr erstaunt. Schließlich kam er zu dem Schluss, dass er selbst wohl der vermeintliche russische Hacker gewesen sein musste. Nun sind sich alle Beteiligten einig, dass der Bericht nie hätte in Umlauf kommen dürfen. Zumal die Logdateien der Pumpe Mimlitz zufolge zeigen, dass das Scada-System rein gar nichts mit der Fehlfunktion der Pumpe zu tun hatte.

Joe Weiss, der Blogger, der den ursprünglichen Bericht in die Öffentlichkeit gebracht hatte, ist jetzt schockiert: "Wenn man den Informationen eines solchen gemeinsamen Abwehrzentrums nicht trauen kann, wozu ist es dann überhaupt gut?", fragte er im Gespräch mit "Wired" rhetorisch.

Der Sprecherin des Abwehrzentrums zufolge ist man derzeit allerdings nicht primär damit beschäftigt, herauszufinden, wie der fehlerhafte Bericht überhaupt zustande kam. Man interessiert sich mehr dafür, wie Weiss ihn bekommen konnte: "Wir sind sehr besorgt über das Durchsickern brisanter Informationen."

Passwörter mit drei Buchstaben

Vor allem aber bleibt die Frage: Wie sicher sind die amerikanischen Infrastrukturen wirklich? Kurz nachdem erste Berichte über den angeblicher Hacker-Angriff auf das Wasserwerk in Illinois publik wurden, meldete sich ein Hacker, der sich selbst als pr0f bezeichnet. Seinen Schilderungen zufolge gelang es ihm, angespornt durch die Presseberichte, mühelos, selbst in das Scada-System eines Wasserwerks in South Houston einzudringen. Zum Beweis veröffentlichte er Screenshots, die das von ihm übernommene System zeigen sollen. Seinen Erläuterungen zufolge seien die Systeme von simplen Drei-Buchstaben-Passwörtern geschützt gewesen.

Zu diesem Vorfall gibt sich das verantwortliche IT-Sicherheitszentrum ICS-Cert in einer E-Mail einsilbig. Man unterstütze das FBI bei seinen Untersuchungen in dieser Sache, hieß es da nur. Weiter ist man auf der Suche nach dem Nachahmer offenbar noch nicht gekommen.

Ein Sicherheitsexperte des Unternehmens Sophos kommentierte in einem Blogeintrag, die Gefahr sei durchaus real - auch wenn der konkrete Fall offenbar keine Substanz habe: "Es gibt Versorger, die im Augenblick mit Scada-Systemen arbeiten, die mit dem Internet verbunden sind. Sie fordern Cyber-Hacks der gleichen Art, wie sie aus dem Wasserwerk in Springfield ursprünglich berichtet wurden, geradezu heraus."

cis

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Viel interessantere Frage
Emmi 01.12.2011
*****ZITAT ANFANG********** Der Sprecherin des Abwehrzentrums zufolge ist man derzeit allerdings nicht primär damit beschäftigt, herauszufinden, wie der fehlerhafte Bericht überhaupt zustandekam. Man interessiert sich mehr dafür, wie Weiss ihn bekommen konnte: "Wir sind sehr besorgt über das Durchsickern brisanter Informationen." Vor allem aber bleibt die Frage: Wie sicher sind die amerikanischen Infrastrukturen wirklich? ***********ZITAT ENDE********* Die WIRKLICH interessante Frage ist, wie verhindert werden kann, dass, wenn etwas ähnliches mal mit einer Anlage passiert, wo Menschenleben dranhängen, die US von A dann von einem "Angriff" auf ihr Land ausgehen und zum Gegenschlag (nuklear?) ausholen...
2. titel
irgendeinxbeliebigernam 01.12.2011
Was lernt man daraus? NICHT im Urlaub arbeiten, verdammt!
3. Was wird sich noch entpuppen?
Arkardian-Feuermarck 01.12.2011
Die WIRKLICH interessante Frage ist, wie verhindert werden kann, dass, wenn etwas ähnliches mal mit einer Anlage passiert, wo Menschenleben dranhängen, die US von A dann von einem "Angriff" auf ihr Land ausgehen und zum Gegenschlag (nuklear?) ausholen...[/QUOTE] Das mag man sich gar nicht vorstellen, obwohl wir ja alle aus der Vergangenheit gelernt haben und wissen, wie die USA auf so was reagiert. Mit "sinnlosem" Krieg, Rache und Täuschung! Täuschung nicht als Reaktion, sondern eher als Aktion.
4. dieses Problem....
derlabbecker 01.12.2011
... lässt sich ganz einfach verhindern: Hängt wichtige Systeme einfach nicht ins Internet! Was hat die Steuerung eines Wasserwerks im Internet zu suchen? Klar, Fernwartung ist toll, besonders über Internet, geht von überall auf der Welt, und, besonders toll, kann prima ein billiger Inder machen. Aber es gibt Systeme die gehören einfach nicht ins Internet gehängt, ganz einfach.
5. ...
Crom 01.12.2011
Zitat von derlabbeckerKlar, Fernwartung ist toll, besonders über Internet, geht von überall auf der Welt, und, besonders toll, kann prima ein billiger Inder machen. Aber es gibt Systeme die gehören einfach nicht ins Internet gehängt, ganz einfach.
Klar, wenn der Experte im Urlaub ist, ein Notfall eintritt und deswegen die Wasserversorgung mehrere Stunden ausfällt, weil man nicht von außerhalb auf das System kommen würde, wären solche Leute wie Sie doch die ersten, die rufen: "Wie kann man heutzutage ein System nicht fremdwarten lassen". Schon einmal überlegt, dass eben ein Zugriff von außerhalb auch zusätzliche Sicherheit bieten kann?
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 9 Kommentare
  • Zur Startseite
Fotostrecke
Begriffsfindung: Wer sind eigentlich Hacker?


Anzeige
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.