Die Warnung der US-Behörden folgt auf Hinweise auf laufende Angriffe gegen internetexponierte ATGs in den Vereinigten Staaten. In ihrer gemeinsamen Mitteilung erklären die Behörden, ihnen seien bösartige Aktivitäten gegen diese Systeme bekannt. Eine Zuordnung zu einer bestimmten Gruppe enthält das Papier nicht. Der Bericht verweist jedoch darauf, dass es im vergangenen Monat Meldungen über Angriffe auf Tankmesssysteme an Tankstellen in den USA gab, die lose mit dem Iran in Verbindung gebracht wurden.

ATGs zählen eher zu den einfachen industriellen Systemen: Sensoren erfassen Füllstände in Tanks, Anzeigen bereiten die Werte auf, und übergeordnete SCADA-Systeme ermöglichen die Fernüberwachung. Gerade diese unscheinbare Rolle macht sie nicht harmlos. Nach Einschätzung der Behörden könnten kompromittierte Systeme manipulierte Messwerte liefern oder Steuerungsfunktionen von Pumpen und anderen Komponenten verändern. Ebenso könnten Warnmeldungen bei anomalen Tankzuständen ausfallen.

Wie stark das Problem auf die USA konzentriert ist, zeigen aktuelle Scans der Shadowserver Foundation. Nach der gemeinsamen Warnung suchte Shadowserver breit nach ATGs, die offen im Web erreichbar sind. Der Großteil der zunächst entdeckten Systeme erwies sich als Honeypots. Nach deren Herausfilterung entfielen die meisten tatsächlich auffindbaren Geräte auf ein einziges Land: Zum Zeitpunkt der Veröffentlichung zählte Shadowserver 909 öffentlich erreichbare Systeme in den USA. Dahinter folgten Kanada mit 30, Australien mit 22 sowie Großbritannien und Brasilien mit jeweils vier.

Trotz dieser hohen Zahl ist die Lage laut Dark Reading gegenüber früheren Jahren etwas besser geworden. Vor einem Jahrzehnt berichtete das Medium, dass landesweit fast 6.000 ATGs über das Web erreichbar waren.

Dass solche Systeme oft verwundbar sind, hat strukturelle Gründe. Industrielle Geräte dieser Art sind auf langen Betrieb im Feld und hohe Verlässlichkeit ausgelegt, nicht auf Sicherheitsfunktionen. Viele laufen deshalb mit älteren, ungepatchten Softwareständen und Legacy-Stacks. Sicherheitssoftware lässt sich auf diesen Geräten meist nicht sinnvoll betreiben.

Wie gravierend die Schwachstellen ausfallen können, zeigte vor einigen Jahren eine Untersuchung von Bitsight. Die Forscher fanden damals sieben kritische Zero-Day-Schwachstellen in sechs verbreiteten Modellen. Darunter waren Befehlseinschleusungen mit einem CVSS-Wert von 10 von 10, mehrere Umgehungen der Authentifizierung sowie fest einprogrammierte Zugangsdaten.

Die wichtigste Empfehlung der US-Regierung ist daher zugleich die naheliegendste: ATGs sollen aus dem offenen Internet entfernt werden. Andrew Ginter, Vizepräsident für industrielle Sicherheit bei Waterfall Security Solutions, sagt, er habe früher geglaubt, der erste Schritt eines Sicherheitsprogramms für Betriebstechnik sei Segmentierung mit Firewalls. Inzwischen sehe er das anders: Zuerst müssten Geräte und Mensch-Maschine-Schnittstellen aus dem Internet verschwinden — und zwar „auf Notfallbasis“.

Falls ein ATG ausnahmsweise dennoch online bleiben müsse, empfiehlt Ginter maximale Härtung: automatische Updates, lange Passwörter und durchgehende Verschlüsselung. Die Behörden raten außerdem zu strenger Absicherung von Zugangsdaten, zum Einspielen von Patches und zur genauen Überwachung unbefugter Netzwerkzugriffe. Auf einer übergeordneten Ebene verweist Ginter auf „cyberinformierte Technik“ mit analogen und anderen „nicht hackbaren“ digitalen Schutzmaßnahmen. Als Beispiele nennt er Überdruck- und Schwimmerventile zur Vorbeugung gefährlicher Tankzustände sowie unidirektionale Gateways, die verhindern sollen, dass schädliche Informationen selbst besonders anfällige Geräte erreichen.