Hold My BIA: Vergiftet oder erfroren – Welche ist die KRITISchste Dienstleistung?
Zurzeit lohnt aus dem Gesichtspunkt KRITIS ein langer und tiefer Blick in die USA, wo sich innerhalb kürzester Zeit zwei Szenarien ereigneten, die einige jüngst noch als Panikmache bezeichnet hätten: Während dieser Tage ein Wintereinbruch in Texas und Umgebung Millionen von Haushalten von der Stromversorgung abschneidet, konnte Anfang Februar ein Angriff auf die Wasseraufbereitung in Florida abgewehrt werden, der potenziell das Trinkwasser der Kleinstadt Oldsmar hätte vergiften können.
Aus Security-Sicht scheint vor allem der zweite Fall interessant, aber es macht durchaus Sinn, beide im Vergleich anzuschauen. In der texanischen Katastrophe kommen mindestens vier Dinge zusammen: Unsere wohlbekannte Abhängigkeit vom Strom als der Grund-kDL (kritische Dienstleistung) des Informationszeitalters, die ebenfalls wohlbekannt wackelige Infrastruktur in diesem Bereich in den USA und anderswo, die Zunahme der Volatilität in komplexen Systemen, die wir zu sehr aus dem Gleichgewicht bringen (Stichwort Klimawandel) sowie möglicherweise auch ein stückweit der Hochmut lokaler Machthabender, zu meinen, das eigene Grid besser getrennt vom Rest des Landes betreiben zu können – so viel Föderalismus gibt es nicht einmal bei uns. Trotzdem müssen wir zugeben, dass es nicht möglich ist, eine Infrastruktur gegen jedes „Black Swan“-Risiko abzusichern. Oder sollte Nigeria jetzt schneesichere Kraftwerke bauen? Die Notfallbehandlung im südlichen US-Bundesstaat scheint wiederum, soweit sich das aus der Ferne beurteilen lässt, durchwachsen zu laufen.
Oldsmar hingegen scheint Stoff für Horrorfilme zu bieten: Ganze Kleinstadt ausgelöscht durch böse Terror-Hacker! Also fast! Dabei wird hier eher umgekehrt ein Schuh draus: Dass auch im Bereich Wasser Fernwartung inzwischen die Regel ist und Teamviewer und Co. nicht allerorten sicher konfiguriert sind, hat sich herumgesprochen. Insofern war das Szenario erwartbar – und wurde auch erwartet und entsprechend behandelt. Auf IT-Ebene ist der Angriff zwar geglückt, wurde aber umgehend detektiert (durch Admin) und wäre auch sonst aufgefallen, bevor ein Schaden hätte entstehen können (durch Technik und Prozesse). Aus Sicherheitssicht also ein nützlicher Wakeup-Call oder wenigstens Reminder – aber der unfreiwillige Red-Teaming-Test wurde in jeder Hinsicht bravourös bestanden.
Also doch den Blick wieder nach Texas: Wir müssen auch in der IT aufpassen, dass wir uns in möglichst wenige Situationen hineinmanövrieren, wo die Komplexität außen steigt (Was ist unser „Klimawandel“?*), während wir innen zu viel Energie mit Altlasten („technical debt“) binden. Auch das wird immer wieder einmal schiefgehen – siehe diese Digests der letzten Jahre – aber wir sollten die Gesamttrajektorie im Blick behalten.
https://www.wired.com/story/oldsmar-florida-water-utility-hack/
* Siehe z. B. Lesetipp “Security, Moore’s law, and the anomaly of cheap complexity”.