Eine aktuelle gemeinsame Warnung der Cybersecurity and Infrastructure Security Agency (CISA), des FBI, der NSA und des US-Energieministeriums hat ergeben, dass über 900 automatische Tanküberwachungssysteme (ATG) in den USA online exponiert und anfällig für Cyberangriffe sind. Diese ATG-Systeme, die für die Fernüberwachung von Kraftstoffen und Chemikalien in Lagertanks – einschließlich Bestandsverwaltung, Leckerkennung und Einhaltung gesetzlicher Vorschriften, insbesondere an Tankstellen und in industriellen Umgebungen – entscheidend sind, stellen ein ernstes Risiko für die Betriebssicherheit und die Kontinuität wesentlicher Dienste in kritischen Infrastrukturen dar.
Die Bundesbehörden haben kritische Infrastrukturorganisationen ausdrücklich gewarnt und darauf hingewiesen, dass böswillige Akteure diese Geräte aktiv ins Visier nehmen, um deren Einstellungen mittels Befehlsausführungsangriffen zu ändern. Diese Angriffe nutzen verschiedene Schwachstellen aus, darunter festcodierte Anmeldeinformationen, Authentifizierungs-Bypässe, SQL-Injections, Fehler bei der Ausführung von Betriebssystembefehlen und Schwachstellen bei der Privilegieneskalation. Die Überwachung von Shadowserver bestätigte die Exposition von über 1.000 ATG-Systemen weltweit, wobei die überwiegende Mehrheit (909 Geräte) in den Vereinigten Staaten liegt, was das Ausmaß der Bedrohung hervorhebt. Eine Kompromittierung kann die Deaktivierung von Systemwarnungen umfassen, wodurch das Risiko von Leckagen, Geräteausfällen und dauerhaften Schäden an den Systemen steigt.
Diese Warnung reiht sich ein in eine Reihe besorgniserregender Vorfälle. Im Mai wies ein CNN-Bericht darauf hin, dass iranische Hacker internetfähige ATG-Systeme an US-Tankstellen kompromittiert hatten. Obwohl sich die Angreifer in diesen Fällen darauf beschränkten, die Display-Anzeigen zu manipulieren, wirft dies ernsthafte Bedenken hinsichtlich der Fähigkeit auf, kritische Sicherheitsfunktionen wie die automatische Leckerkennung zu behindern. Im April hatte außerdem eine weitere US-Warnung staatlich unterstützte iranische Hacker mit gezielten Angriffen auf Rockwell Automation/Allen-Bradley SPS-Geräte seit März 2026 in Verbindung gebracht, die finanzielle Verluste und Betriebsunterbrechungen in industriellen Infrastrukturen verursachten, wobei 74,6 % dieser Systeme in den Vereinigten Staaten online exponiert waren.
Für Unternehmen, die im Bereich kritischer Infrastrukturen tätig sind, auch indirekt durch die Verarbeitung personenbezogener Daten, unterstreichen diese Ereignisse die dringende Notwendigkeit, die Sicherheit der operativen Technologien (OT) zu stärken. Eine Kompromittierung von Systemen wie ATGs kann erhebliche Auswirkungen haben, die über physische Schäden hinausgehen und die Integrität der Betriebsdaten und potenziell der damit verbundenen personenbezogenen Daten beeinträchtigen. Obwohl DSGVO und NIS2 in diesem Kontext nicht explizit für ATG-Systeme genannt werden, sind die Grundsätze der Cybersicherheit und des Schutzes kritischer Infrastrukturen von grundlegender Bedeutung. Die Nichteinhaltung dieser Grundsätze kann zu schwerwiegenden Betriebsunterbrechungen, Reputationsschäden und rechtlichen Konsequenzen führen, selbst bei Fehlen einer direkten Datenschutzverletzung, aufgrund der Auswirkungen auf die allgemeine Sicherheit.
Die CISA und die anderen Behörden haben wesentliche praktische Empfehlungen gegeben. Organisationen werden dringend aufgefordert, den Fernzugriff auf ATG-Systeme aus dem Internet so schnell wie möglich einzuschränken, indem sie einen kontrollierten Zugriff über Firewalls, VPNs oder Zugriffssteuerungslisten (ACLs) implementieren. Es ist außerdem unerlässlich, Standardpasswörter durch robuste Anmeldeinformationen zu ersetzen, alle verfügbaren Sicherheitsupdates umgehend anzuwenden, die Systeme ständig auf unautorisierte Änderungen zu überwachen und, wo möglich, eine Multi-Faktor-Authentifizierung (MFA) zu implementieren. Diese Maßnahmen sind entscheidende Schritte, um OT-Systeme vor laufenden Angriffen und für die Widerstandsfähigkeit
Zum Originalartikel auf BleepingComputer ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
