Kanadas nationale Cyber-Agentur hat eine Warnung an Organisationen herausgegeben, die für lebenswichtige Infrastrukturen verantwortlich sind, und sie aufgefordert, nach einer Reihe von Vorfällen mit industriellen Steuerungssystemen, die über das Internet zugänglich sind, zusätzliche Sicherheitsmaßnahmen zu ergreifen, einschließlich einer obligatorischen Zwei-Faktor-Authentifizierung. Das Canadian Centre for Cyber Security (Cyber Centre) und die Royal Canadian Mounted Police (RCMP) erhielten kürzlich Berichte über unbefugten Zutritt zu mehreren Einrichtungen, darunter eine Wasseraufbereitungsanlage, ein Öl- und Gasunternehmen und ein landwirtschaftlicher Standort.
In einem Fall kam es in einer Wasseranlage zu manipulierten Druckwerten, die zu einer Verschlechterung des Betriebs führten. Ein weiterer Vorfall betraf ein Öl- und Gasunternehmen, bei dem die Manipulation einer automatischen Tankanzeige Fehlalarme auslöste. In einem dritten Fall griffen Hacker in die Temperatur- und Feuchtigkeitskontrollen in einem Getreidetrocknungssilo ein, was zu unsicheren Bedingungen hätte führen können, wenn sie nicht sofort entdeckt worden wären. Diese Ereignisse unterstreichen die Tatsache, dass Angreifer auch dann physische Risiken oder Reputationsschäden verursachen können, wenn kritische Infrastrukturen in Betrieb bleiben.
Die advisory Veröffentlichung des Canadian Centre for Cyber Security hebt hervor, dass sich die Angreifer offenbar auf den opportunistischen Zugriff auf Geräte verlassen, die direkt im Internet sichtbar sind, darunter speicherprogrammierbare Steuerungen (SPS), Remote Terminal Units (RTUs), Mensch-Maschine-Schnittstellen (HMIs), SCADA-Systeme (Supervisory Control and Data Acquisition) und Gebäudemanagementsysteme. In dem Dokument wird betont, dass zwar kein spezifischer staatlich geförderter Akteur identifiziert wurde, diese Hacktivisten-Kampagnen jedoch zunehmend auf die physische Infrastruktur abzielen, um Störungen, soziale Beunruhigung oder Reputationsschäden zu verursachen.
Da industrielle Steuerungssysteme heute häufig mit dem Internet verbunden sind, um Fernzugriff, Überwachung oder Anbietersupport zu ermöglichen, stellen sie ein verlockendes Ziel für Bedrohungsakteure dar. Das Cyber Centre warnt davor, dass bei der Konzeption und dem Einsatz vieler dieser Systeme ursprünglich keine Priorität auf Cybersicherheit gelegt wurde, was bedeutet, dass Standard- oder schwache Anmeldeinformationen, exponierte Dienste und ein Mangel an Netzwerksegmentierung nach wie vor vorherrschend sind. Sobald auf diese Systeme zugegriffen wird, können sie manipuliert oder als Dreh- und Angelpunkt für andere operationelle Netzwerke verwendet werden.
Als Reaktion auf diese Vorfälle empfiehlt die Behörde den Eigentümern der Infrastruktur, sofortige Maßnahmen zu ergreifen. Dazu gehört die Durchführung einer vollständigen Bestandsaufnahme aller über das Internet zugänglichen ICS-Geräte und die Beurteilung, ob sie überhaupt exponiert bleiben sollten. Wenn eine direkte Gefährdung nicht ausgeschlossen werden kann, wird Unternehmen empfohlen, ein virtuelles privates Netzwerk mit Zwei-Faktor-Authentifizierung für den Fernzugriff zu implementieren, Intrusion Prevention- und Detection-Tools einzusetzen, regelmäßige Penetrationstests durchzuführen und ein kontinuierliches Schwachstellenmanagement aufrechtzuerhalten. Kommunen und kleinere Versorgungsunternehmen, denen es an formeller Aufsicht über die Cybersicherheit mangelt, werden dringend aufgefordert, sich mit den Dienstanbietern abzustimmen und zu bestätigen, dass die vom Anbieter verwalteten Geräte sicher konfiguriert und während ihres gesamten Lebenszyklus gewartet werden.
In einer der spezifischen Empfehlungen wird die Rolle der Zwei-Faktor-Authentifizierung (2FA) für den Fern- und Verwaltungszugriff auf Infrastruktursysteme hervorgehoben. Durch die Forderung nach einer zweiten Verifizierungsmethode, die über das Passwort hinausgeht, können Unternehmen das Risiko eines unbefugten Zugriffs durch Diebstahl von Anmeldeinformationen oder Phishing erheblich reduzieren. Die Warnung des Cyber Centers stellt 2FA als grundlegende, aber wichtige Kontrolle beim Schutz kritischer Infrastrukturnetzwerke in den Mittelpunkt.
Unternehmen, die lebenswichtige Dienstleistungen erbringen, sind heute einer erhöhten Gefährdung ausgesetzt, da Infrastrukturkomponenten zunehmend miteinander verbunden sind und die Vermischung von Informationstechnologie und operativen Technologienetzwerken zugenommen hat. Die Kompromittierung eines Geräts kann zu einem breiteren Systemzugriff, einer potenziellen Unterbrechung des Dienstes oder sicherheitskritischen Vorfällen führen. Experten sagen, dass physische Sicherheit mit Cybersicherheit verwoben wird, wenn Wasserdruck, Kraftstoffstand oder Umgebungsbedingungen von Angreifern manipuliert werden.
In der Warnung wird auch betont, dass Hacktivisten nicht nur auf finanziellen Gewinn abzielen, sondern auch nach Sichtbarkeit streben, das Vertrauen untergraben oder öffentliche Unruhe stiften können. Durch Angriffe auf mit dem Internet verbundene Geräte in der Energie-, Landwirtschafts- oder Wasserwirtschaft können die Angreifer ein Zeichen setzen und gleichzeitig großflächige Zerstörungen vermeiden, was wiederum die unmittelbare Erkennung verringern kann. Diese Taktiken unterstreichen die Notwendigkeit einer wachsamen Überwachung sowohl ungewöhnlicher technischer Ereignisse als auch von abnormalem physischem Anlagenverhalten.
Als Ergebnis dieser Empfehlung werden Kanadas Infrastrukturbetreiber und kommunale Organisationen aufgefordert, ihre Sicherheitshaltung zu überprüfen, Fernzugriffsprotokolle zu überprüfen, sicherzustellen, dass Verwaltungskonten gesperrt sind, und nach Möglichkeit eine Multi-Faktor-Authentifizierung anzuwenden. Das Cyber Center betont, dass Zugriffskontrollen und -überwachung nur dann effektiv sind, wenn sie durch Governance, Incident-Response-Planung und eine klare Koordination zwischen IT- und operativen Technologieteams unterstützt werden.
Obwohl die Warnung die Vorfälle keiner bestimmten Nation oder Gruppe zuschreibt, spiegelt sie den breiteren globalen Trend wider, dass Akteure, die versuchen, exponierte Betriebssysteme auszunutzen, auf die Infrastruktur abzielen. Diese Entwicklungen haben in allen Sektoren, darunter Wasser, Lebensmittel, Fertigung und Energie, erneut Aufmerksamkeit erregt. Die kanadische Regierung nutzt diesen Moment, um Organisationen dazu zu bewegen, die Cybersicherheit der Infrastruktur als ein Problem der öffentlichen Sicherheit und der nationalen Resilienz zu behandeln.
Zusammenfassend lässt sich sagen, dass die Warnung des Cyber-Centers von den Infrastrukturanbietern als Handlungsaufforderung verstanden werden sollte. Angesichts mehrerer bereits gemeldeter Vorfälle und der zunehmenden Konnektivität industrieller Systeme war das Risikobild noch nie so dringlich wie heute. Zwei-Faktor-Authentifizierung, Fernzugriffskontrollen, Inventarisierung exponierter Geräte und integrierte Anbieteraufsicht sind grundlegende Schritte zum Schutz der nationalen Sicherheit und der Servicekontinuität in Kanadas kritischen Sektoren.