Update 11.2.2021: Mittlerweile haben die Behörden Informationen dazu vorgelegt, wie der Angriff auf die Trinkwasserversorgung möglich wurde. Demnach hat sich der Angreifer Zugriff auf die Software für die Trinkwassersteuerung über Teamviewer verschafft. Und jetzt beginnen die Probleme:
- Die bewährte Fernzugriffssoftware war auf einem Rechner mit Windows 7installiert. Auf diesem und auch auf alle anderen Rechnern der Wasserversorgung lief Windows 7 32 Bit. Dafür stellt Microsoft seit Januar 2020 keine Sicherheits-Updates mehr bereit, sofern man nicht einen speziellen Wartungsvertrag ( Windows 7 Extended Security Updates, ESUs) mit Microsoft abgeschlossen hat. Davon ist hier aber nicht die Rede, die PCs der Trinkwasserversorgen waren also seit über einem Jahr ohne Sicherheits-Updates.
- Zudem wurde auf allen diesen Rechnern das identische Passwort für den Fernzugriff verwendet.
- Alle diese Rechner waren anscheinend direkt mit dem Internet verbunden, ohne dass eine Firewall dazwischen geschaltet war.
Ein Sicherheitsexperte äußerte aber auch die Vermutung, dass der Angriff von einem verärgerten Mitarbeiter ausgegangen sein könnte. Update Ende
Oldsmar ist eine Stadt in Florida mit nicht ganz 14.000 Einwohnern. Am 5. Februar 2021 um 13.30 Uhr Ortszeit bemerkte ein Mitarbeiter des Wasserwerks, wie sich der Mauszeiger auf seinem Überwachungsbildschirm plötzlich bewegte und das Menü für die Wasserbehandlung öffnete und darin Einstellungen vornahm. Ein bisher unbekannter Angreifer hatte laut der auf Sicherheitsthemen spezialisierten Nachrichtenseite Bleeping Computer den vorhandenen Teamviewerzugang der Wasserwerke genutzt, um sich Zugang auf die Trinkwassersteuerung zu verschaffen. Dass der Angriff über einen offensichtlich unzureichend abgesicherten Teamviewerzugang erfolgte, sagte der zuständige Sheriff in einem Interview mit Reuters.
Der Hacker veränderte über den Fernzugriff für kurze Zeit die Dosierung der Aufbereitungschemikalien im Wasserwerk und erhöhte die Konzentration von Natriumhydroxid (NaOH, Ätznatron) von den üblichen 100 Teilen pro Million auf 11.100 Teile pro Million – also auf mehr als das 100-fache des Normalwerts. Das beobachtete der IT-Mitarbeiter in Echtzeit. Nachdem der Angreifer sich wieder ausgeloggt hatte, machte der IT-Mitarbeiter diese Änderung sofort wieder rückgängig.
Bei dem Vorfall soll niemand verletzt worden sein. Selbst wenn der IT-Mitarbeiter die Manipulation nicht bemerkt hatte, hätten Warnsensoren im Trinkwasser die Erhöhung des Laugenanteils bemerkt und Alarm geschlagen, beruhigen die Behörden. Zudem würde es über einen Tag dauern, bis das aufbereitete Wasser die Ausgabestellen erreiche. Es wäre also genügend Zeit geblieben um die Bevölkerung zu warnen, wie der zuständige Sheriff beruhigt .
Natriumhydroxid wird in geringen Mengen dem Trinkwasser zugesetzt, um dessen Säuregehalt zu senken und Metalle zu entfernen. Das soll beispielsweise Korrosion in den Leitungen verhindern. Doch in höheren Konzentration ist es gefährlich für Menschen, die das Wasser trinken. Die Folgen wären die gleichen wie beim Trinken einer (verdünnten) Lauge.
Derzeit untersuchen Polizei und FBI sowie der Geheimdienst den Vorfall.
Teamviewer ist eine leistungsfähige und zuverlässige Fernzugriffssoftware. Doch wie jeder Zugang muss auch der Teamviewerzugang ausreichend abgesichert werden. Privatanwender dürfen Teamviewer kostenlos verwenden, professionelle Nutzer müssen eine kostenpflichtige Lizenz erwerben.
Update 12:10 Uhr: Stellungnahme von Teamviewer
PC-WELT bat Teamviewer um eine Stellungnahme. Diese bekamen wir prompt: “Teamviewer sind die US-Medienberichte über einen unautorisierten Fernzugriff auf die Wasseraufbereitungsanlage in Oldsmar bekannt. Wir beobachten die Situation sehr genau. Teamviewer liegen jedoch keine Hinweise vor, dass unsere Software oder Plattform kompromittiert wurde. Als global führender Anbieter von Konnektivitätslösungen haben wir höchste Sicherheitsmaßnahmen im Einsatz und bieten modernste Authentifizierungsmechanismen an. TeamViewer steht selbstverständlich bereit, die Behörden in den Ermittlungen zu unterstützen, z.B. wie die Cyberkriminellen möglicherweise an Login-Daten gelangt sind, die ausschließlich geräteseitig eingestellt und verschlüsselt werden. Generell verurteilt TeamViewer jegliches missbräuchliches Verhalten auf seiner Plattform.” Update und Zitat Ende
Tipp: So bekommen Sie Teamviewer relativ günstig