### Die Schwachstelle enthüllt Automatische Tankfüllstandsanzeigen (ATG-Systeme) sind elektronische Überwachungsgeräte, die Füllstände in Lagertanks aus der Ferne verfolgen und Bestandsverwaltung, Erkennung von Umweltschäden und Einhaltung gesetzlicher Vorschriften automatisieren. Sie sind häufig an Tankstellen zu finden, aber auch in Industrieanlagen für die Lagerung von Chemikalien unerlässlich. Am Dienstag gaben die Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit dem FBI, der NSA, dem Department of Energy und anderen US-Regierungspartnern eine gemeinsame Warnung heraus, die Organisationen der kritischen Infrastruktur vor laufenden Cyberangriffen auf im Internet exponierte ATG-Systeme warnt. ### Taktiken der Angreifer und potenzielle Auswirkungen Bundesbehörden enthüllten, dass Bedrohungsakteure verschiedene Sicherheitslücken ausnutzen, darunter hartkodierte Anmeldedaten, Umgehung von Authentifizierungen, SQL-Injection, Ausführung von Betriebssystembefehlen und Schwachstellen bei der Eskalation von Berechtigungen. Diese Schwachstellen ermöglichen es Angreifern, ATG-Systeme zu kompromittieren und Einstellungen durch Befehlsausführung zu ändern. „Die jüngsten bösartigen Cyberaktivitäten, die von den verfassenden Organisationen beobachtet wurden – die die US-Regierung noch keinem staatlichen Akteur oder einer Bedrohungsgruppe zuordnen konnte – beinhalten, dass Cyberbedrohungsakteure im Internet exponierte ATG-Systeme kompromittieren und diese anschließend durch Befehlsausführung modifizieren“, warnte die gemeinsame Mitteilung. CISA warnte, dass erfolgreiche Kompromittierungen dazu führen könnten, dass Angreifer Systemwarnungen deaktivieren, was das Risiko unentdeckter Lecks, Geräteausfälle und sogar dauerhafter Schäden an Tanksystemen erhöht. ### Weitreichende Exposition bestätigt Zur Bestätigung der Warnung von CISA berichtete der Internet-Sicherheitswächter Shadowserver, dass bis zum 05.06.2026 weltweit über 1.000 ATG-Systeme online exponiert waren, davon allein 909 Geräte in den Vereinigten Staaten. Shadowserver fügte ATG-Systeme zu seinen Berichten über zugängliche ICS hinzu und bemerkte: „Wir haben das Scannen von automatischen Tankfüllstandsanzeigen (ATG-Systemen) in unsere Berichte über zugängliche ICS aufgenommen, wobei am 05.06.2026 1061 IPs (auf Port 10001/tcp) erfasst wurden. Dies geschah, nachdem die überwiegende Mehrheit, die Honeypots zu sein scheint (einschließlich der Ports 8001/9001), aussortiert wurde.“  ### Die iranische Verbindung Diese Warnung folgt einem CNN-Bericht vom Mai, der Vorfälle detailliert beschrieb, bei denen iranische Hacker angeblich internetverbundene ATG-Systeme an mehreren US-Tankstellen kompromittiert hatten. Diese Gruppen haben eine Geschichte der gezielten Angriffe auf Kraftstoffmanagementsysteme und andere industrielle Steuerungstechnologien. Angreifer nutzten schwache oder nicht vorhandene Passwörter aus, um Anzeigewerte zu manipulieren, obwohl die tatsächlichen Kraftstoffstände unverändert blieben. Obwohl diese spezifischen Vorfälle keinen physischen Schaden verursachten, verdeutlichen sie das Potenzial zur Störung der automatisierten Leckerkennung und anderer Sicherheitsfunktionen. Im April verband eine weitere gemeinsame Warnung von US-Bundesbehörden iranische, staatlich unterstützte Hacker mit Angriffen auf Rockwell Automation/Allen-Bradley PLC-Geräte seit März 2026, die zu finanziellen Verlusten und Betriebsunterbrechungen führten. Das Cybersicherheitsunternehmen Censys berichtete später, dass 74,6 % (3.891 Hosts) solcher exponierten industriellen Steuerungssysteme weltweit in den Vereinigten Staaten ansässig waren. ### Dringende Abhilfemaßnahmen Organisationen der kritischen Infrastruktur wird dringend empfohlen, den Fernzugriff auf ATG-Systeme aus dem Internet sofort zu beschränken. Die Implementierung eines kontrollierten Zugriffs über Firewalls, VPNs oder Zugriffskontrolllisten ist entscheidend. Weitere wichtige Schritte umfassen den Austausch von Standardpasswörtern durch starke, eindeutige Anmeldedaten, die zeitnahe Anwendung von Sicherheitsupdates, die kontinuierliche Überwachung von Systemen auf unbefugte Änderungen und die Bereitstellung von Multi-Faktor-Authentifizierung, wo immer möglich.