Nach Angaben der Stadtverwaltung wurde der betroffene Server vom Netz genommen. Anschließend liefen die Abläufe rund 16 Stunden lang im manuellen Betrieb, der häufige Kontrollen der Wasserstandsanzeigen vor Ort umfasste.
“Während dieses Vorfalls hatten wir zwei Ziele: sicherzustellen, dass unser Wasser sicher bleibt, und dafür zu sorgen, dass in allen Wasserspeichern der korrekte Druck gehalten wird. Beide Ziele wurden dank des rechtzeitigen Eingreifens aller beteiligten Abteilungen erreicht”, heißt es in der Mitteilung der Stadt.
Pressesprecherin Jennifer Kleen erklärte, es habe keine direkte Geldforderung und keinen Kontakt über die Bildschirmnachricht hinaus gegeben. Zur Frage, ob sich die Tätergruppe identifiziert habe, verwies sie auf das FBI: Das Schreiben befinde sich nun in dessen Gewahrsam und werde Teil möglicher Ermittlungen. Das FBI äußerte sich auf Anfrage nicht.
Der Vorfall fügt sich in eine breitere Entwicklung ein. Wasserversorger sehen sich nach Darstellung von Recorded Future News seit rund zwei Jahren einer Welle von Cyberangriffen durch Cyberkriminelle und staatlich gesteuerte Gruppen ausgesetzt – begünstigt unter anderem durch fehlende Mittel für Sicherheitsmaßnahmen. Während einzelne Bundesstaaten Förderung und zugleich strengere Cybersicherheitsvorgaben anstreben, hatten Lobbygruppen der Wasserbranche bundesweite Bestrebungen für grundlegende Cybersicherheitsregeln zuvor bekämpft.
An Bedeutung gewonnen hat das Thema durch staatlich gesteuerte Kampagnen aus dem Iran und China, die in den vergangenen zwei Jahren auf den Wassersektor zielten. Behördenvertreter und Sicherheitsfachleute äußerten hinter vorgehaltener Hand Sorge über eine mögliche Zunahme von Angriffen aus dem Iran. Hintergrund ist, dass mit dem Korps der Islamischen Revolutionsgarden verbundene Hackergruppen für eine Kampagne gegen US-Wasserversorger in den Jahren 2023 und 2024 verantwortlich gemacht wurden.
Dabei handelte es sich überwiegend um Verunstaltungen der Betriebstechnik. Behördenvertreter warnten jedoch seinerzeit, die Angreifer könnten ihren Zugriff auf die Geräte nutzen, um sich tieferen Zugang auf Netzwerkebene zu verschaffen – mit der Möglichkeit, physische Schäden an der Ausrüstung anzurichten oder Schlimmeres.
