American Water, das größte börsennotierte Wasser- und Abwasserunternehmen der Vereinigten Staaten, war kürzlich von einem Cybersicherheitsvorfall betroffen, der das Unternehmen dazu zwang, wichtige Systeme, darunter auch seine Kundenabrechnungsplattform, vom Netz zu nehmen. Während die Untersuchungen des Unternehmens noch andauern, wachsen die Bedenken hinsichtlich der anhaltenden Schwachstellen im Wassersektor, der zunehmend zum Ziel von Cyberangriffen wird.
Der Vorfall verdeutlicht die kritischen Infrastrukturrisiken, mit denen die Branche seit langem konfrontiert ist. Obwohl das Wasserversorgungsunternehmen bestätigt hat, dass sein Betrieb und die Wasserqualität nicht beeinträchtigt wurden, unterstreicht die Abschaltung des Abrechnungssystems und des Kundenportals von American Water die kritische Schnittstelle zwischen Schwachstellen in der Betriebstechnik (OT) und der Informationstechnologie (IT) bei wesentlichen Dienstleistungen.
Wasser- und Abwassersysteme in den USA sind für die öffentliche Gesundheit und die Umwelt von entscheidender Bedeutung, leiden jedoch unter chronischer Unterfinanzierung, veralteter Infrastruktur und einer zunehmenden Angriffsfläche. Die Abhängigkeit von OT-Systemen, von denen viele nicht über moderne Sicherheitsvorkehrungen verfügen, hat diese Versorgungsunternehmen besonders anfällig für Cyber-Bedrohungen gemacht.
Laut einem Bericht der CISA haben pro-russische Hacktivisten zunehmend industrielle Steuerungssysteme (ICS) in Wasserversorgungsunternehmen ins Visier genommen, wobei sie häufig Standardpasswörter, ungesicherte Remote-Zugriffspunkte und andere Schwachstellen in der Cybersicherheit ausnutzen.
Wasserversorgungssysteme zeichnen sich dadurch aus, dass sie zur Steuerung kritischer Funktionen wie Aufbereitungsprozesse und Verteilung auf komplexe Netzwerke von ICS angewiesen sind. Diese Systeme wurden ursprünglich nicht unter Berücksichtigung der Cybersicherheit entwickelt, was einen Flickenteppich von Schutzmaßnahmen verursacht hat, die den heutigen Bedrohungen nicht mehr gewachsen sind.
Angreifer, insbesondere staatliche Akteure, betrachten Wasserversorgungsunternehmen als wertvolle Ziele, da sie die zivile Infrastruktur stören und allgemeine Panik auslösen können. Aufgrund ihrer unzureichenden Sicherheitsvorkehrungen sind Wasserversorgungssysteme zudem leichter zu kompromittieren. Insgesamt machen die Schwachstellen des Wassersektors ihn zu einem wichtigen Ziel für Gegner, die entweder finanzielle Gewinne erzielen oder geopolitischen Druck ausüben wollen.
Die Entscheidung von American Water, den Cyberangriff über eine 8-K-Meldung offenzulegen, unterstreicht seine Rolle als kritische Infrastruktur und die mit diesem Status verbundenen regulatorischen Anforderungen. Der 2022 Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) schreibt vor, dass Unternehmen mit kritischer Infrastruktur Cybervorfälle innerhalb von 72 Stunden nach ihrer Entdeckung an die CISA melden müssen. Dies ist Teil einer umfassenderen Initiative der US-Regierung, um eine zeitnahe Meldung und Reaktion auf Cyberbedrohungen zu gewährleisten, die sich gegen wichtige Dienste richten.
Gemäß CIRCIA sind Unternehmen verpflichtet, nicht nur Bundesbehörden wie CISA, sondern auch die Öffentlichkeit zu benachrichtigen, insbesondere wenn Dienstunterbrechungen oder Datenschutzverletzungen Auswirkungen auf Verbraucher haben. In diesem Fall dient die 8-K-Meldung von American Water sowohl als rechtliche als auch als öffentliche Bekanntmachung, da die Securities and Exchange Commission (SEC) börsennotierte Unternehmen verpflichtet, wesentliche Ereignisse zu melden, die sich auf ihre Finanzlage auswirken könnten.
Dieser Benachrichtigungsprozess ist für die Aufrechterhaltung des öffentlichen Vertrauens in kritische Dienste entscheidend. Während American Water der Öffentlichkeit versicherte, dass die Wasserqualität und die Betriebsprozesse nicht beeinträchtigt seien, zeugt die Transparenz bei der Offenlegung des Cyberangriffs von dem verschärften regulatorischen Umfeld, in dem Betreiber kritischer Infrastrukturen heute agieren.
Der Wassersektor unterliegt, wie viele andere kritische Infrastruktursektoren auch, einem Framework freiwilliger und verbindlicher Cybersicherheitsstandards. Im Jahr 2023 unternahm die US-Umweltschutzbehörde (EPA) den Versuch, im Rahmen der Durchsetzung des Gesetzes über sicheres Trinkwasser (Safe Water Drinking Act) verbindliche Cybersicherheitsaudits für Wasserversorgungsunternehmen einzuführen.
Diese Audits dienten dazu, die Cybersicherheitslage von Versorgungsunternehmen zu bewerten, von denen viele unter Stress standen, grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und Netzwerksegmentierung zu implementieren. Rechtliche Herausforderungen aus mehreren Bundesstaaten haben jedoch die vollständige Umsetzung dieser Vorgaben verzögert, und die regulatorischen Rahmenbedingungen befinden sich weiterhin im Wandel.
Die CISA hat außerdem umfassende Leitlinien zur Sicherung von ICS- und OT-Systemen im Wasser- und Abwassersektor herausgegeben. Diese Leitlinien, die in den sektorübergreifenden Cybersicherheits-Leistungszielen (CPGs) dargelegt sind, enthalten Empfehlungen zur Verringerung der Gefährdung kritischer Systeme durch das Internet, zur Durchsetzung strenger Passwortrichtlinien und zur Sicherstellung, dass veraltete Industriegeräte ersetzt oder sicher verwaltet werden.
Die zunehmende Häufigkeit von Cyberangriffen auf den Wassersektor hat eine breitere nationale Diskussion über die Notwendigkeit strengerer Vorschriften und branchenweiter Standards ausgelöst. Als Reaktion darauf hat die Biden-Regierung betont, wie wichtig es ist, die Widerstandsfähigkeit der Wasserversorgungssysteme durch Cybersicherheitsschulungen, den Austausch von Informationen über Bedrohungen und Investitionen in Sicherheitstechnologien zu stärken.
Der Cyberangriff auf American Water verdeutlicht die Schwachstellen, die den Wasser- und Abwassersektor weiterhin beeinträchtigen, insbesondere an der Schnittstelle zwischen IT und OT. Angesichts der anhaltenden Bedrohungen durch staatliche Akteure und Hacktivisten-Gruppen muss die Wasserwirtschaft dringend ihre Cybersicherheit verbessern.
Die Transparenz von American Water bei der Meldung des Vorfalls und die Zusammenarbeit mit der CISA und den Strafverfolgungsbehörden haben einen notwendigen Präzedenzfall für andere Anbieter kritischer Infrastrukturen geschaffen. Angesichts der sich ständig weiterentwickelnden Cybersicherheitsvorschriften müssen Wasserversorger der Cyberhygiene Priorität einräumen, Best Practices von Bundesbehörden übernehmen und sich auf unvermeidliche zukünftige Angriffe vorbereiten.