Der Nationale Sicherheitsrat stellte kürzlich fest, dass US-amerikanische Anbieter kritischer Infrastrukturen bei der Abwehr von Cyberangriffen nachlässig vorgehen, und wies darauf hin, dass bei einem kürzlich mit dem Iran in Zusammenhang stehenden Angriff auf ein US-amerikanisches Wasserunternehmen Anfang dieses Monats grundlegende schwache Sicherheitslücken bei Passwörtern ausgenutzt wurden. Der Sicherheitsausschuss sagte, er wisse auch von den jüngsten Eingriffen in US-Infrastruktureinrichtungen, darunter Wasser- und Energieversorgungsunternehmen in mehreren Bundesstaaten, durch Hacker, die mit dem Militär feindlicher Nationen in Verbindung stehen.
Keiner der Angriffe im Zusammenhang mit dem Iran oder China hatte Berichten zufolge Auswirkungen auf kritische Systeme oder verursachte Störungen.
Anne Newberg, stellvertretende nationale Sicherheitsberaterin für Cyber- und neue Technologien, sagte gegenüber Fast Company: „Wir sehen, dass Unternehmen und kritische Dienste einer zunehmenden Anzahl von Cyber-Bedrohungen durch böswillige Kriminelle und Nationalstaaten ausgesetzt sind. Vor diesen jüngsten Hacks hatte das Weiße Haus Infrastrukturanbieter aufgefordert, ihre Cyber-Abwehrsysteme zu aktualisieren, aber „nach den jüngsten Erfolgen bei kriminellen Cyberangriffen zu urteilen, muss eindeutig mehr getan werden“, sagte sie … Landesweit nutzen mindestens 11 verschiedene Unternehmen Geräte von Unitronics gefährdet, darunter unter anderem sechs örtliche Wasserversorger, mindestens eine Apotheke, ein Wassersportzentrum und ein Weingut.
Bundesbehörden sagten, einige der kompromittierten Geräte seien mit dem offenen Internet verbunden und hätten dann ihr Standardpasswort auf „1111“ gesetzt, was es Hackern erleichtert, sie zu finden und sich Zugang zu verschaffen. Newberg sagte, dass die Behebung dieser Probleme „keinen Cent kostet“ und „das sind grundlegende Dinge, von denen wir wirklich wollen, dass die Unternehmen sie dringend erledigen“.
Cybersicherheitsexperten sagen jedoch, dass die Angriffe auf ein größeres Problem hinweisen: weit verbreitete Schwachstellen in der Technologie, die die physische Infrastruktur antreibt. Gary Perkins, Chief Information Security Officer beim Cybersicherheitsunternehmen CISO Global, sagte, ein Großteil der Hardware sei vor dem Aufkommen des Internets entwickelt worden und dass sie zwar mit digitalen Fähigkeiten nachgerüstet wurde, aber immer noch „über keine angemessenen Sicherheitskontrollen verfügt“.
Darüber hinaus legen viele Infrastrukturen Wert auf „betriebliche Benutzerfreundlichkeit gegenüber Sicherheit“, da viele Anbieter häufig Zugriff auf dieselbe Ausrüstung benötigen, sagte Andy Thompson, Cybersicherheitsexperte bei CyberArk. Aber es macht es Angreifern auch leicht, diese Systeme auszunutzen: Frei verfügbare Netzwerktools ermöglichen es jedem, eine Liste der mit dem öffentlichen Internet verbundenen Hardware zu erstellen, beispielsweise Unitronics-Geräte, die von Wasserversorgern verwendet werden. „Es sollte zur Standardpraxis werden, keinen einfachen Zugang zu kritischer Infrastruktur über das Internet zu haben“, sagte Thompson.