← Wissen

// Security

Oldsmar Wasserwerk

Wie ein Fernzugang zum Wasserwerk Oldsmar zum Lehrstück über Fernwartungs-Sicherheit wurde.

Oldsmar (2021): über einen schlecht gesicherten Fernzugang wurde die Chemie-Dosierung eines Wasserwerks verstellt, ein Operator bemerkte es und stellte sie sofort zurückFernzugriffFernwartungWasserwerkLeitrechner (HMI)DosierungNatronlaugeAufbauEin Wasserwerk: Der Leitrechner (HMI) steuert die Chemie-Dosierung,unter anderem die Zugabe von Natronlauge zur pH-Regulierung.
Tempo:

Schritt 1 von 6

Ein Wasserwerk: Der Leitrechner (HMI) steuert die Chemie-Dosierung, unter anderem die Zugabe von Natronlauge zur pH-Regulierung.

In 30 Sekunden

Im Februar 2021 meldete das kleine Wasserwerk der Stadt Oldsmar in Florida einen beunruhigenden Vorfall: Ein Operator (Anlagenbediener) habe live gesehen, wie sich auf seinem Bildschirm der Mauszeiger von selbst bewegte und den Sollwert für Natronlauge, einen Stoff zur pH-Regulierung, von rund 100 auf rund 11'000 ppm (parts per million, ein Mass für die Konzentration im Wasser) hochsetzte, also ein mehr als hundertfacher Sprung. Laut den ersten Berichten geschah dies über eine gemeinsam genutzte Fernwartungs-Software mit schwachen Zugangskontrollen. Der Operator stellte den Wert sofort zurück, und zusätzliche Alarme und Kontrollen hätten die Änderung ohnehin abgefangen, bevor Wasser gefährlich geworden wäre. Es kam niemand zu Schaden. Wichtig: Spätere Untersuchungen relativierten die Hacker-These stark, einige Verantwortliche sprachen von einem möglichen Bedienfehler statt einem Angriff von aussen. Unabhängig davon, was genau passierte, wurde der Fall zum weltweiten Lehrstück dafür, wie riskant schlecht gesicherte Fernzugänge in der kritischen Versorgung sind.

Was geschah

Jahr

2021

Ziel

Ein kommunales Trinkwasserwerk der Kleinstadt Oldsmar im US-Bundesstaat Florida, das rund 15'000 Menschen versorgte.

Der Angriffsweg

  1. Eintrittspunkt: Auf dem Leitrechner des Werks lief eine Fernwartungs-Software, die den Zugriff von aussen über das Internet erlaubte, abgesichert nur durch ein geteiltes, schwaches Passwort.
  2. Zugang: Über diese Verbindung landete jemand direkt auf der Bedienoberfläche (HMI, Human Machine Interface), also genau dem Bildschirm, mit dem sonst die Mitarbeiter die Wasseraufbereitung steuern.
  3. Ziel: Auf der Bedienoberfläche liess sich der Sollwert für die Natronlauge-Dosierung verändern, also der Zielwert, den die Anlage automatisch ansteuert, und damit ein sicherheitsrelevanter Wert.
  4. Wirkung: Der Sollwert wurde kurzzeitig von rund 100 auf rund 11'000 ppm hochgesetzt, ein mehr als hundertfacher Sprung.
  5. Entdeckung: Ein Operator sah die Cursor-Bewegung und den veränderten Wert live am Bildschirm und korrigierte ihn sofort.
  6. Ergebnis: Zusätzliche Alarme und Kontrollen hätten die Änderung ohnehin gestoppt, das Wasser wurde nie gefährlich.

Auswirkung

Es entstand kein realer Schaden: Das aufbereitete Wasser erreichte nie eine gefährliche Zusammensetzung, und niemand wurde verletzt. Der Vorfall löste jedoch weltweit grosse Aufmerksamkeit aus und wurde zum Symbol für die Verwundbarkeit der Wasserversorgung. Spätere Untersuchungen, unter anderem durch das FBI, konnten die ursprüngliche Hacker-These nicht klar bestätigen, und Verantwortliche zogen einen Bedienfehler als Erklärung in Betracht. Der bleibende Effekt war ein Weckruf für den gesamten Versorgungssektor, Fernzugänge ernster zu nehmen.

So schützt du dich

Fernzugänge grundsätzlich absichern: individuelle Konten statt geteilter Passwörter und überall Zwei-Faktor-Authentifizierung (ein zweiter Nachweis zusätzlich zum Passwort, etwa ein Einmal-Code auf dem Handy).
Fernwartung nur bei konkretem Bedarf und überwacht freischalten, danach wieder deaktivieren, statt sie dauerhaft offen zu lassen.
Kritische Einstellwerte automatisch überwachen: Das System soll bei einem unrealistischen Sprung, etwa dem Verhundertfachen einer Chemikalien-Dosierung, sofort Alarm schlagen und die Änderung blockieren, statt sie einfach zu übernehmen.
Mechanische und prozessuale Sicherungen einbauen, die auch dann greifen, wenn die Software eine gefährliche Vorgabe erhält.
Alle Zugriffe und Änderungen lückenlos protokollieren, damit im Ernstfall nachvollziehbar ist, wer wann was getan hat.

Fakten

Jahr
Februar 2021
Betroffener Sektor
Kritische Infrastruktur, Trinkwasserversorgung
Angriffsart (laut Berichten)
Unbefugter Fernzugriff über Fernwartungs-Software
Zuschreibung
Ungeklärt, Angriff von aussen oder Bedienfehler nie eindeutig belegt
Betroffene Technik
HMI-Leitrechner der Wasseraufbereitung
Ausmass
Natronlauge-Sollwert kurz von ~100 auf ~11'000 ppm
Schaden
Kein realer Schaden, sofort korrigiert
Besonderheit
Hacker-These später stark relativiert, evtl. Bedienfehler

Im Detail

Was an jenem Tag geschah

An einem Freitag im Februar 2021 sass ein Operator vor der Bedienoberfläche (der sogenannten HMI, kurz für Human Machine Interface, dem Bildschirm, über den Menschen eine industrielle Anlage steuern und überwachen) des Wasserwerks von Oldsmar, einer Kleinstadt in Florida. Laut seiner Schilderung bewegte sich plötzlich der Mauszeiger wie von Geisterhand und öffnete Einstellungen der Wasseraufbereitung.

In wenigen Sekunden wurde der Sollwert für Natronlauge (chemisch Natriumhydroxid) drastisch verändert, von rund 100 auf rund 11'000 ppm. Das ist ein mehr als hundertfacher Wert; ppm steht für parts per million, ein gängiges Mass für die Konzentration eines Stoffes im Wasser. Natronlauge dient in kleinen Mengen dazu, den pH-Wert des Wassers zu regulieren, ist in hoher Konzentration aber ätzend. Der Operator setzte den Wert sofort wieder zurück.

Wichtig für die Einordnung: Selbst ohne dieses schnelle Eingreifen wäre das Wasser nicht sofort gefährlich geworden. Zwischen einer Sollwert-Änderung und dem fertigen Trinkwasser liegen weitere Kontrollen, Alarme und Zeitpuffer. Genau diese gestaffelten Sicherungen sind der Grund, warum niemand zu Schaden kam.

Warum der Fall mit Vorsicht zu lesen ist

Die erste Erzählung war dramatisch: ein Unbekannter, der über eine gemeinsam genutzte Fernwartungs-Software mit schwachen Zugangskontrollen in den Leitrechner eindringt und versucht, das Trinkwasser zu vergiften. Diese Version ging um die Welt und prägte das Bild des Vorfalls.

Spätere Untersuchungen, unter anderem eine mehrmonatige Prüfung durch das FBI, konnten die Hacker-These jedoch nicht eindeutig belegen. Verantwortliche der Stadt äusserten später sogar, es könnte sich um einen Bedienfehler gehandelt haben, also um einen Mitarbeitenden, der versehentlich Werte veränderte. Was genau passierte, ist bis heute nicht abschliessend geklärt.

Für einen Lern-Hub ist gerade diese Unsicherheit lehrreich. Man muss einen Vorfall nicht dramatisieren, um daraus zu lernen. Ob Angriff von aussen oder Fehler von innen: In beiden Fällen zeigt sich, dass ein einzelner Rechner mit direktem Durchgriff auf sicherheitskritische Werte ein Risiko ist, das man technisch und organisatorisch entschärfen muss.

Die eigentliche Schwachstelle: der Fernzugang

Unabhängig von der genauen Ursache liegt die zentrale Lehre beim Thema Fernzugang. Fernwartungs-Software ist in der Industrie sehr verbreitet und oft sinnvoll, weil Fachleute Anlagen aus der Ferne betreuen können. Gefährlich wird sie, wenn sie dauerhaft offen steht, mit geteilten Zugangsdaten arbeitet und keinen zweiten Sicherheitsfaktor verlangt.

Ein geteiltes Passwort bedeutet, dass niemand mehr genau weiss, wer sich eigentlich anmeldet. Genau das erschwerte im Fall Oldsmar auch die spätere Aufklärung. Individuelle Konten und Zwei-Faktor-Authentifizierung, also ein zusätzlicher Nachweis neben dem Passwort, etwa ein Einmal-Code auf dem Handy, hätten hier einen grossen Unterschied gemacht.

Für Geschäftsführung und Betrieb heisst das: Fernzugänge gehören inventarisiert, zeitlich begrenzt freigeschaltet und überwacht. Kein Zugang sollte dauerhaft und unbeaufsichtigt auf einen Rechner zeigen, der kritische Prozesse steuert.

Was du konkret mitnimmst

Die gute Nachricht des Falls Oldsmar ist, dass die Sicherheitsphilosophie funktioniert hat. Der aufmerksame Mensch am Bildschirm und die dahinterliegenden Alarme und Kontrollen bildeten mehrere Verteidigungslinien. Dieses Prinzip, mehrere unabhängige Schutzschichten hintereinander, in der Fachsprache Defense-in-Depth genannt, sorgte dafür, dass kein einzelner Fehler und kein einzelner Eingriff allein zur Katastrophe führen konnte. Es ist übertragbar auf jede Anlage.

Für kleine Werke und Betriebe ist die zweite Botschaft ermutigend: Die wirksamsten Massnahmen sind keine teuren Spezialprodukte, sondern solide Grundlagen. Zwei-Faktor-Authentifizierung, individuelle Konten, das Abschalten unnötiger Fernzugänge, Grenzwert-Alarme und lückenlose Protokolle sind mit überschaubarem Aufwand umsetzbar.

Und schliesslich lohnt sich eine nüchterne Haltung. Nicht jeder Zwischenfall ist ein raffinierter Cyberangriff, und nicht jede Schlagzeile stimmt in allen Details. Wer Sicherheit ernst nimmt, plant für beides vor: für den Angreifer von aussen und für den Fehler von innen. Beide adressierst du mit denselben soliden Massnahmen.

Weiterführend