Sicherheitsforscher von WaterISAC haben zahlreiche Human-Machine Interfaces (HMIs) in US-amerikanischen Wasserinfrastrukturen entdeckt, die ohne Authentifizierung über das öffentliche Internet zugänglich sind. Diese HMIs steuern zentrale Funktionen wie Wasserfluss, Pumpenbetrieb oder chemische Dosierung. In vielen Fällen wurden Standardkonfigurationen verwendet, es fehlte an geeigneten Firewalls, und die Systeme waren über Suchmaschinen auffindbar. Diese Offenlegung ermöglicht es unbefugten Personen, Systemprozesse einzusehen oder im schlimmsten Fall zu manipulieren. WaterISAC warnt vor Risiken unbeabsichtigter Störungen ebenso wie gezielter Angriffe, die die öffentliche Sicherheit und den Betrieb lebenswichtiger Dienste gefährden könnten.
Analyse unserer Experten:
Die ungesicherte Veröffentlichung von HMIs für kritische Wassersysteme im Internet stellt einen klaren Verstoß gegen grundlegende IT-Sicherheitsprinzipien dar. Der Einsatz von Standardkonfigurationen und das Fehlen von Netzwerksegmentierung oder Firewall-Schutz erleichtern unautorisierten Zugriff erheblich. Die öffentliche Indexierung solcher Systeme über Suchmaschinen erzeugt ein unnötiges Risiko und zeugt von Missachtung bewährter ICS/SCADA-Sicherheitsrichtlinien. Diese Systeme steuern essenzielle öffentliche Dienstleistungen. Ihre ungesicherte Bereitstellung erhöht das Potenzial für Betriebsstörungen – sei es durch Fahrlässigkeit oder gezielte Angriffe.
Zum vollständigen Artikel.
