Bei einem Cyberangriff auf einen norwegischen Staudamm haben Unbekannte die Wasserdurchlass-Ventile des Bauwerks über mehrere Stunden unbemerkt geöffnet. Der Vorfall am Risevatnet-Stausee im Südwesten Norwegens ereignete sich bereits im April, wie jetzt durch den Sicherheitsdienstleister Claroty bekannt wurde. Die Angreifer hätten sich über ein schwaches Passwort Zugang zu den Kontrollsystemen verschafft. Die Manipulation blieb den Angaben zufolge vier Stunden lang unentdeckt.

Das Kontrollpanel des Staudamms sei per Web einfach zugänglich gewesen. Es steuere die Mindestdurchfluss-Ventile des Damms. Nach erfolgreicher Authentifizierung konnten die Angreifer die Sicherheitskontrollen umgehen und direkten Zugriff auf die Operational Technology (OT)-Umgebung erlangen. Die Manipulation führte dazu, dass alle Ventile vollständig geöffnet wurden, wodurch sich der Wasserabfluss um 497 Liter pro Sekunde über den vorgeschriebenen Mindestdurchfluss erhöhte. Schäden seien durch den Vorfall nicht entstanden.

Vorfall ist eine Warnung

Claroty weist anhand des Beispiels aber auf die Angreifbarkeit kritischer Infrastrukturen hin. Der Vorfall, hinter dem laut norwegischen Medienberichten russische Hacker vermutet werden, sei eine Art Warnschuss. Erhebungen zufolge seien Tausende Gebäudeautomatisierungssysteme im Internet ohne ausreichende Schutzmaßnahmen erreichbar. Angreifer könnten so zum Beispiel in Krankenhäusern die Klimaanlage abschalten.

Der Vorfall verdeutliche die Notwendigkeit von geeigneten Schutzmaßnahmen. So dürften kritische Infrastrukturen nicht nur mittels eines einfachen Passworts geschützt werden, sondern müssten mindestens per Multi-Faktor-Authentifizierung abgesichert sein. Auch die direkte Erreichbarkeit aus dem Web sei zu hinterfragen. Zudem sei es nötig, die Systeme ständig zu überprüfen, um Eindringlinge und Manipulationen so schnell wie möglich zu erkennen.