Die jüngste Warnung eines breiten Bündnisses amerikanischer Sicherheitsbehörden zeigt das Ausmaß der Bedrohung: Iranisch verbundene APT-Gruppen (Advanced Persistent Threats) führen gezielte Kampagnen gegen Steuerungsanlagen durch, die in kritischen Infrastruktursektoren zum Einsatz kommen. Die Angreifer haben es gezielt auf Rockwell/Allen-Bradley PLCs (Speicherprogrammierbare Steuerungen) abgesehen, die noch direkt mit dem Internet verbunden sind.
Die Angriffe sind nicht neu, aber die Intensität und Koordination sind besorgniserregend. Bereits im November 2023 hatten die mit dem Iranischen Revolutionsgarden (IRGC) verbundenen CyberAv3ngers mindestens 75 Unitronics-Geräte in amerikanischen Wasser- und Abwassersystemen kompromittiert. Jetzt deutet die aktuelle Warnung darauf hin, dass die Kampagnen ausgeweitet wurden und auch andere Hersteller im Fokus stehen.
Was macht diese Angriffe besonders gefährlich? Die Hacker konzentrieren sich nicht nur auf das Stehlen von Daten. Stattdessen zielen sie auf operative Disruption ab – sie manipulieren die auf HMI- und SCADA-Displays angezeigten Daten und können so Fehlentscheidungen bei Operatoren hervorrufen. Das macht die Angriffe zu einer potenziellen physischen Gefahr für die Infrastruktur und letztlich für Bürger und Wirtschaft.
Die Warnung nennt konkrete Schutzmaßnahmen, die sowohl für amerikanische als auch deutsche Betreiber relevant sind: Das Trennen von PLCs vom Internet oder ihre Sicherung durch Firewalls steht an erster Stelle. Ebenso wichtig sind Firmware-Updates, die Deaktivierung ungenutzer Authentifizierungsmechanismen und die Implementierung von Multi-Faktor-Authentifizierung. Netzwerk-Monitoring auf verdächtige Aktivitäten, insbesondere auf Datenverkehr von ausländischen Hosting-Providern, ist essentiell.
Deutsche kritische Infrastrukturen, besonders in den Bereichen Wasser, Energie und öffentliche Dienste, nutzen vielfach die gleichen Steuerungssysteme wie ihre amerikanischen Pendants. Eine ähnliche Anfälligkeit muss hier angenommen werden. Für Betreiber solcher Anlagen sollte die amerikanische Warnung zum Anlass genommen werden, ihre Netzwerk-Sicherheit überprüfen zu lassen und obsolete, direkt Internet-verbundene Geräte zu identifizieren.
Das Bedrohungsszenario wird zusätzlich dadurch verschärft, dass die FBI auch iranische Akteure warnt, die das Messenger-System Telegram für Malware-Attacken missbrauchen und über das Ministerium für Geheimdienste (MOIS) operieren. Die Eskalation ist real – und sie betrifft nicht nur Amerika.