US-Behörden warnen den Wassersektor vor aktiven iranischen Cyberangriffen

Die US-Umweltschutzbehörde (EPA), FBI, CISA, NSA, Energieministerium und US Cyber Command veröffentlicht a gemeinsame Beratungwas dies bestätigt Mit dem Iran verbundene Advanced Persistent Threat (APT)-Akteure nutzen aktiv mit dem Internet verbundene Geräte der Betriebstechnik (OT). Wasser- und Abwassersysteme, die ausdrücklich als primäres Ziel identifiziert wurden.

Die Angriffe konzentrieren sich auf speicherprogrammierbare Steuerungen (SPS), hergestellt von Rockwell Automation/Allen-Bradley. Die seit mindestens März 2026 bestätigten Einbrüche haben zum Löschen von Konfigurationen, Sensormanipulationen und Störungen der Kontrollanzeigen geführt, auf die Betreiber zur Überwachung ihrer Systeme angewiesen sind – was in einigen Fällen zu Betriebsunterbrechungen und finanziellen Verlusten geführt hat.

Die Methode ist besonders besorgniserregend: Angreifer greifen mit legitimer Programmiersoftware auf exponierte SPS zu und geben sich so quasi als autorisierte Benutzer aus. Sobald sie drinnen sind, können sie ändern, was die Bediener auf ihren Bildschirmen sehen, und so das Personal möglicherweise über den tatsächlichen Stand der Behandlungs- oder Verteilungsprozesse irreführen.

Die Behörden bringen die Aktivität mit mit dem Iran verbundenen APT-Akteuren in Verbindung, die zuvor mit CyberAv3ngers in Verbindung standen, einer mit dem Korps der Islamischen Revolutionsgarden (IRGC) des Iran verbundenen Gruppe, die 2023 eine ähnliche Kampagne gegen die US-Wasserinfrastruktur durchführte. In der Stellungnahme wird darauf hingewiesen, dass die Angriffe wahrscheinlich als Reaktion auf die zunehmenden Spannungen zwischen dem Iran, den Vereinigten Staaten und Israel eskaliert sind.

„Cyberangriffe auf Trink- und Abwassersysteme bedrohen direkt die öffentliche Gesundheit und die Widerstandsfähigkeit der Gemeinschaft“, sagte der stellvertretende EPA-Administrator Jeffrey A. Hall. „Ein einziger Verstoß kann die Behandlung unterbrechen oder Verunreinigungen einschleusen, Geräte beschädigen und das Vertrauen der Öffentlichkeit untergraben.“

Die Versorgungsunternehmen werden aufgefordert, sofort zu handeln: Der wichtigste Schritt besteht darin, SPS aus der direkten Internetpräsenz zu entfernen und Weiterleitung jeglichen Fernzugriffs über ein sicheres Gateway. Unternehmen sollten außerdem Protokolle auf verdächtigen Datenverkehr auf OT-assoziierten Ports überprüfen, eine Multifaktor-Authentifizierung implementieren und Offline-Backups von SPS-Konfigurationen durchführen.

Die EPA betont, dass Verbesserungen der Cybersicherheit häufig verfahrenstechnische und nicht hardwarebasierte Änderungen mit sich bringen, sodass sie auch für Versorgungsunternehmen mit begrenzten Ressourcen erreichbar sind. Kostenlose Bewertungen und technische Unterstützung erhalten Sie unter www.epa.gov/cyberwater.