Plattform für Wasser, Gas und Wärme
Fachartikel
29. August 2022

Digitalisierung & Sicherheit

Simulierter Cyberangriff auf ARA

Eine Angriffssimulation ist ein starkes und wirkungsvolles Instrument, um die Cybersicherheit einer Kläranlage zu überprüfen. Die daraus gewonnenen Erkenntnisse helfen, Massnahmen zur Erhöhung der Sicherheit umzusetzen und die Mitarbeitenden nachhaltig für Sicherheitsthemen zu sensibilisieren.
Pascal Reichmuth 

Täglich finden Tausende Angriffe auf die digitale Infrastruktur von Schweizer Institutionen statt. Längst nicht mehr sind nur Banken und Versicherungen das Ziel solcher Angriffe. KMU, Behörden und kritische Infrastrukturen werden immer öfter und auch erfolgreich angegriffen. Allein im Januar 2022 wurden das Internationale Rote Kreuz in Genf, die Stadt Yverdon-les-Bains oder die Chemiefirma CPH Opfer eines erfolgreichen Cyberangriffs.

Früher Zerstörung, heute Erpressung

Ging es in der Vergangenheit oft um die Zerstörung von Daten oder die Anzeige von Werbefenstern, geht es heute fast ausschliesslich um finanzielle oder politische Interessen. Allein der Markt für Lösegeldzahlungen im digitalen Raum wird auf 20 Mia. Franken [1] jährlich geschätzt, Tendenz stark steigend.

Bis zu 98% aller Cyberangriffe nutzen Social-Engineering-Methoden [2]. Dabei geht es darum, die Schwächen im menschlichen Verhalten auszunutzen, um Zugriff auf Systeme und Netzwerke zu erhalten. Die wohl bekannteste und sehr erfolgreiche Social-Engineering-Methode ist Phishing. Dabei erhalten Personen eine glaubwürdig aussehende E-Mail, die zur Eingabe von Daten wie Passwörtern, Kreditkartennummern usw. auffordern. 

Cybersicht Kläranlage?

Durch die zunehmende Digitalisierung von Infrastrukturanlagen rücken auch kritische Infrastrukturanlagen wie Kläranlagen in den Fokus von cyberkriminellen Aktivitäten. Es gibt dafür mehrere Gründe:

  • In der Regel sind sie von der öffentlichen Hand getragen, was sie finanziell interessant macht.
  • Sie weisen ein komplexes technisches Umfeld mit vielen möglichen Angriffsflächen auf.
  • Im Vergleich mit anderer kritischer Infrastruktur stehen sie selten im öffentlichen oder politischen Rampenlicht.


Um zu prüfen, wie gewappnet eine Kläranlage in der Schweiz für einen möglichen Cyberangriff ist, wurde ein simulierter Angriff in der Region Zürich durchgeführt. Dabei sollten ausschliesslich menschliche Schwachstellen ausgenutzt werden, Social Engineering also. Zudem wurden, um eine möglichst realistische Situation abzubilden, Klärwerksmeister und Mitarbeiter auf der Kläranlage bis zur Schlussbesprechung nicht über die Angriffssimulation informiert.

Angeschlossene Einwohner 30'000
Einwohnergleichwerte 45'000
Personal 5 Angestellte
Organisation Zweckverband von mehreren Gemeinden

Infrastruktur Kläranlage und rund 40 Sonderbauwerke (Regenbecken,
Pumpstationen, Regenüberläufe)

Angaben zu der vom Cyberangriff betroffenen Kläranlage.

Umfang des simulierten Angriffs
Vorleistungen

Security-Check nach IKT-Standard durch ein Abwasser-Ingenieurbüro, das laufend verschiedene Planer- und Projektierungsleistungen für die getestete Kläranlage erbringt.

Zielsetzung

Zugriff auf die IT (Büro, Verwaltung, Telefonie), operative Technologie (Sonderbauwerke, PLS / SPS, Maschinen und Geräte) sowie Webseiten-Systeme der Kläranlage.

Dauer

Innerhalb eines Zeitraums von drei Monaten.

Methoden

Social Engineering, also die Ausnutzung von menschlichen Schwachstellen (s. Box unten). Ausgeschlossen waren technische Angriffe, welche z. B. eine Sicherheitslücke in der Firewall oder einem Betriebssystem ausnützen.

Vertragliche Abmachungen

Schriftlichkeit über alle auszuführenden Handlungen, aber auch Grenzen wie zum Beispiel:

  • Die privaten Geräte der Mitarbeitenden sind tabu.
  • Der operative Betrieb soll nicht beeinträchtigt werden.
  • Keine Angriffe, welche es Dritten vereinfachen könnte, auf die Anlage zuzugreifen.
Privilegierter Zugang zu internen Informationen

Nein. Nur öffentliche Quellen können verwendet werden.

So funktioniert ein Cyberangriff

Viele echte Cyberangriffe erfolgen nach bekannten und etablierten Vorgehensweisen und verursachen einen Schaden. Ein simulierter Angriff hingegen hat keine Schadenfolge, unterscheidet sich im Ablauf jedoch nur unwesentlich von einem echten Angriff:

  Simulierter Angriff Echter Angriff
Verträge über den Zeitraum und Umfang des Angriffs x  
Verwaltungsrat/Präsident ist informiert x  
Verwaltungsrat/Präsident ist informiert    
Angreifer sammelt Informationen über das Ziel x x
Angreifer identifiziert Schwachstellen und Lücken x x
Angreifer erlangt Zugriff x x
Verschlüsselung oder Zerstörung von Daten und Systemen/Forderung nach einem Lösegeld   x
Dokumentation und Debriefing x  

Vorgehensweise (von oben) eines simulierten Angriffs und Vergleich mit einem echten Angriff.

ABLAUF DES SIMULIERTEN ANGRIFFS

Ein simulierter Angriff setzt dort an, wo auch Black Hat Hacker starten würden: bei öffentlich zugänglichen Informationen. In diesem Prozess, OSINT genannt, werden unterschiedliche Informationsquellen verknüpft und in ihrer Gesamtheit beurteilt.

Im Fall der getesteten Kläranlage entstand so ein umfassendes Bild aus den folgenden Informationsquellen:

Dokumente wie Geschäftsberichte, Statuten oder Reglemente
  • Hinweise auf Lieferketten und Partner
  • Hinweise zu Maschinen und Prozessen
  • Hinweise zu Mitarbeitern und Verantwortlichkeiten
Zeitungsbeiträge und Websites Dritter
  • anstehende Projekte (z. T. auch aus den Budgets der angeschlossenen Gemeinden)
  • Stelleninserate
Facebook, Instagram, Online-Foren
  • Personalien inkl. Geburtsdaten und Adressen
  • Telefonnummern und E-Mail-Adressen
  • private Interessen und politische Gesinnungen


Basierend auf diesen Informationen wurden erste Schwachstellen identifiziert und ein Angriffsplan festgelegt. Im Folgenden sind ausgewählte erfolgreiche Angriffe beschrieben.

1. Angriff: voller Zugang zum Prozessleitsystem in zwei Minuten

Mittels Google Alerts wurde der Angreifer auf eine neu ausgeschriebene Stelle bei der Kläranlage aufmerksam. Dies bot eine gute Möglichkeit, um weitere privilegierte Informationen von der Geschäftsführung zu erhalten.

In einem ersten Schritt bekundete der Angreifer telefonisch Interesse für die ausgeschriebene Klärwärterstelle und stellte Fragen zum Betrieb. Während dieses Gesprächs erwähnte der Betriebsmitarbeiter in einem Nebensatz, dass der Betriebsleiter schon bald in den Ferien sein wird. Ungewollt hat der Mitarbeiter am Telefon so das Zeitfenster für einen Angriff festgelegt. Dank Geschäftsberichten auf der Website war klar, wer der langjährige IT-Partner der Kläranlage ist. Mit den Informationen über die Abwesenheit des Betriebsleiters und des IT-Partners konnte sich der Angreifer nun eine Geschichte ausdenken, um sich Zugang zur Kläranlage zu verschaffen.

Gesagt, getan. Am ersten Ferientag des Betriebsleiters klingelte der Angreifer am Haupteingang und stellte sich wie folgt vor: «Hallo, ich bin Patrick von IT-Partner AG und komme gerade von einer Kläranlage in der Nähe. Wir haben dort ein Problem mit der VPN-Router-Konfiguration im Pumpwerk festgestellt. Mein Chef Lukas meinte, ich soll kurz bei euch vorbeischauen, nicht dass euer VPN auch aussteigt. Es dauert nur fünf Minuten.»

Dank dieses Vorwands erhielt der Angreifer ohne Zögern Zugang zum Betriebsgebäude, dem Prozessleitsystem sowie sämtlichen Servern. Dank eines weiteren Vorwands konnten zudem USB-Sticks eingesteckt, Daten kopiert sowie Software installiert werden.

Dieser Zugriff wurde erst zehn Tage später beiläufig, im Gespräch während der Kaffeepause, entdeckt. Im Ernstfall wäre dies aber einige Tage zu spät gewesen. Eine Schadsoftware hätte sich bereits im Netzwerk ausbreiten und Prozesse beeinflussen können.

2. Angriff: unfreiwilliger Komplize

Mittels einer E-Mail gab sich der Angreifer als Leiter einer anderen Kläranlage aus und bat um Auskünfte zur Rechengutentsorgung. Das Ziel war es, den Empfänger der E-Mail, in diesem Fall den Betriebsleiter, zum Öffnen eines Links auf der vermeintlich eigenen Website zu bewegen. Dieser Link enthielt ein paar unscheinbare Abweichungen, wodurch der Empfänger auf eine andere Website umgeleitet wurde. Auf dieser manipulierten Website wurden vom Angreifer gezielt Informationen gesammelt.

Vergleich von einer echten und einer gefährlichen Website. Beim unteren Link handelt es sich beim «l» um ein grossgeschriebenes «i». Der Link könnte auf einen fremden Server zeigen.

Wie vom Angreifer erhofft, wurde der Link geöffnet und er erhielt die IP-Adresse des Netzwerk-Eingangstors. Mittels eines technischen Scans wurden dann vertrauliche Informationen über die Kläranlage, das IT-System sowie das kritische OT-System bekannt. Mit den dadurch erlangten Informationen hätte die gesamte Kläranlage vom Internet und somit auch von den Substationen getrennt werden können. Im Ernstfall hätte dies eine massive Beeinträchtigung des Kläranlagenbetriebs nach sich gezogen.

3. Angriff: ein öffnendes Geheimnis

Wie jeder moderne Betrieb nutzt auch die Kläranlage WLAN für eine Vielzahl von Aktivitäten. Aufgrund der gewonnenen Erkenntnisse über Mitarbeiter und Prozesse konnte der Angreifer davon ausgehen, dass das WLAN-Passwort erraten werden kann.

Basierend auf gängigen Mustern (Postleitzahl, Gemeinde, Region, Bezirk, Kanton, Name des Betriebs, Gründungsjahr) generierte der Angreifer in wenigen Stunden eine Liste mit rund 250 Millionen Passwörtern und versuchte damit den Zugang auf das WLAN-Netzwerk zu erlangen – mit Erfolg.

Bereits nach wenigen Minuten war das korrekte Passwort identifiziert und das Netzwerk geknackt. Einmal im Netzwerk, konnte der Angreifer schnell Schwachstellen bei der Telefonanlage, den Servern und auch den Zugangspunkten ins operative Netz feststellen. Mithilfe des Passworts «ara» wurde zum Beispiel der Schreibzugriff auf das Abwasser-Messdaten-System freigegeben.

Ergebnisse

Handlungsbedarf, Empfehlungen

Nach Abschluss der Angriffsserie wurde die Geschäftsleitung informiert und sämtliche betroffenen sowie interessierten Parteien zu einer Nachbesprechung eingeladen. Dabei ging es nicht um die Blossstellung von Mitarbeitern oder Zulieferern, noch darum, eine Misstrauenskultur bei den Mitarbeitern zu schaffen. Vielmehr ging es darum, ein Bewusstsein für die Risiken zu entwickeln sowie mögliche Vorsichtsmassnahmen zu besprechen. Um die Kläranlage in der Umsetzung zu unterstützen, wurden sämtliche Schwachstellen erläutert, auf einer Risiko-Matrix platziert und priorisiert. Daraus ergaben sich abgestufte Handlungsempfehlungen, die den Verantwortlichen der Kläranlage als Anhaltspunkte für die Verbesserung der Sicherheitsmassnahmen dienen.

ARA-Vorstand über den Angriff

Ein Vorstandsmitglied hat die Erfahrung wie folgt kommentiert: «Als Werkbetreiber der öffentlichen Hand stellen wir den Betrieb einer kritischen Infrastruktur sicher. Neben den aktuellen fachspezifischen Themen wie Elimination von Mikroverunreinigungen, Rückgewinnung von Phosphor, Abwasserwärmenutzung usw. müssen wir auch bezüglich Sicherheit laufend auf dem neusten Stand bleiben. Das Thema Cybersicherheit ist neu für uns, sicher aber ein Thema, dem wir in Zukunft noch mehr Aufmerksamkeit schenken müssen.»

Beweggründe für den Cyberangriff

Der ARA-Vorstand erklärt weiter, wieso die Simulation durchgeführt wurde: «Nachdem wir im Frühjahr 2021 eine Analyse vornehmen liessen, wollten wir die Theorie auch in der Praxis bestätigen. Aus diesem Grund haben wir im Vorstand diesen simulierten Cyberangriff extern beauftragt.»

Wirkung

«Wir sind sehr zufrieden mit den Ergebnissen. Wir erhielten wertvolle Hinweise auf Schwächen und wie diese verbessert werden können. Durch die erlebte Bedrohung war auch der Lerneffekt bei unseren Mitarbeitenden gross und nachhaltig. Viele der vorgeschlagenen Massnahmen wurden bereits umgesetzt, weitere sind in Planung.»

Schützen Sie Ihre kritische Infrastruktur!

Der Schutz jeder Anlage ist einzigartig und muss individuell organisiert werden. Es gibt jedoch Massnahmen, die jederzeit einen Sinn haben und die Sicherheit sofort erhöhen:

  • Die Zwei-Faktor-Authentifizierung soll wenn immer möglich aktiviert werden.
  • Software-, System- und Firmware-Upgrades sind zeitnah auszuführen.
  • Interne Daten sowie persönliche Informationen der Mitarbeitenden sollen auf der Website reduziert oder entfernt werden.
  • Für Fragen der IT-Sicherheit sollen geeignete externe Fachleute beigezogen werden.
  • Existierende IT-Partner sollten nicht mit der Überprüfung der Cybersicherheit beauftragt werden (IT-Partner = Buchhalter, IT-Sicherheit = Revisor).

Neue Gesetze in der Schweiz

Im April 2022 endete die Vernehmlassung des Bundes zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen. Es kann also damit gerechnet werden, dass schon bald auf Gesetzesebene Vorschriften zur Meldung von Cybervorfällen erlassen werden [3].

IKT-Minimalstandard

Der Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie in Abwasserbetrieben, basierend auf den IKT-Minimalstandards [4] des Bundesamts für wirtschaftliche Landesversorgung, ist ein guter Leitfaden, um sich mit dem Thema Cybersicherheit etwas besser vertraut zu machen. Wichtig dabei ist auch, die unterschiedlichen Massnahmen regelmässig durch Angriffssimulationen überprüfen zu lassen. Dies hilft, um sich kontinuierlich weiterzuentwickeln und im Fall der Fälle gerüstet zu sein.

Bibliographie

[1] Herjavec Group (2019): Official Annual Cybercrime Report
[2] https://purplesec.us/resources/cyber-security-statistics/
[3] Bundesrat (2022): Medienmitteilung: Vernehmlassung zur Einführung einer Meldepflicht für Cyberangriffe eröffnet 
[4] BWL (2021): Minimalstandard für die Sicherheit der Informations- und Kommunikationstechnologie in Abwasserbetrieben 

Glossar


(D)DoS, Distributed) Denial-of-Service Attack

Angriff von vielen verteilten Rechnern auf Computersysteme mit dem erklärten Ziel, deren Verfügbarkeit zu stören.


IT (Informationstechnologie)

IT-Umgebung, die für den administrativen Betrieb eingesetzt wird.


OT (operative Technologie)

Computer, Steuerungsanlagen und Maschinen, die für den täglichen Betrieb eingesetzt werden.


Malware

Computerprogramme, die entwickelt wurden, um – aus Sicht des Opfers – unerwünschte und gegebenenfalls schädliche Funktionen auszuführen.


Ransomware

Schadsoftware, die Daten verschlüsselt und nur gegen Zahlung eines Lösegelds (engl. ransom) wieder zugänglich macht. Lösegeld muss üblicherweise in Kryptowährungen beglichen werden.


Social Engineering

Zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen (z. B. zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen).


OSINT (Open Source Intelligence)

Sammeln von Informationen aus öffentlichen Quellen. Dazu gehören Webseiten, soziale Medien, geografische Informationssysteme, in der Vergangenheit gehackte und dadurch veröffentlichte Informationen.


White Hat Hacker

Manchmal auch als «ethische» oder «gute Hacker» bezeichnet. Sie testen Computersysteme oder -netze, um deren Sicherheitsmängel zu ermitteln, damit sie Empfehlungen zur Verbesserung abgeben können.


Grey Hat Hacker

Mischung aus Black Hat und White Hat Hacker. Graue Hacker suchen oft nach Schwachstellen in einem System ohne die Erlaubnis oder das Wissen des Eigentümers. Wenn sie Probleme finden, melden sie diese dem Eigentümer und verlangen möglicherweise eine Gebühr für die Behebung des Problems.


Black Hat Hacker

Kriminelle, die mit schädlicher Absicht in Computer und Netzwerke eindringen.


Google Alert

Automatische Benachrichtigung, sobald für gewählte Websites oder Begriffe neue Inhalte gefunden werden.


Resilienz

Der Begriff lässt sich auch mit Anpassungsfähigkeit umschreiben. Resilienz ist ein Prozess, in dem Personen auf Probleme und Veränderungen mit Anpassung ihres Verhaltens reagieren.

Social-Engineering-Methoden


OSINT

Das Aufspüren von öffentlich verfügbaren Informationen, die verwendet werden können, um neue Erkenntnisse zu gewinnen.


Phishing & Spear Phishing

Abgeleitet aus dem englischen fishing (fischen) geht es darum, nach vertraulichen Informationen zu angeln. Während das klassische Phishing an eine grosse Anzahl Personen versendet wird, werden beim Spear Phishing gezielt eine oder wenige Personen angegriffen.


Impersonating

Sich als jemand anderen ausgeben, um Informationen, Zugriffe oder Zutritte zu erhalten.


Credential Stuffing

Menschen neigen dazu, Passwörter mehrfach zu verwenden. Bei Credential Stuffing werden anderswo gestohlene Passwörter gegen einen Zugang getestet.

Kommentar erfassen

Kommentare (0)

e-Paper

«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen bisher erschienen Ausgaben von A&G.

Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienen Ausgaben frei zugänglich.

Die «gazette» gibt es auch als E-Paper. Sämtliche bisher erschienen Ausgaben sind frei zugänglich.