### Bundesbehörden schlagen Alarm wegen Kompromittierung von ATG-Systemen Eine gemeinsame Mitteilung der **Cybersecurity and Infrastructure Security Agency (CISA)**, des **Federal Bureau of Investigation (FBI)**, der **National Security Agency (NSA)**, des **Department of Energy (DOE)**, der **Environmental Protection Agency (EPA)**, der **Transportation Security Administration (TSA)**, des **Department of Transportation (DOT)** und des **U.S. Department of Agriculture (USDA)** warnt vor aktiven Cyberbedrohungen, die auf **automatische Tankfüllstandsanzeigesysteme (ATG)** abzielen. Diese Systeme sind entscheidend für die Überwachung von Speichertankparametern wie Kraftstoffständen, Temperatur und Leckerkennung in den Sektoren **Energie**, **Chemie**, **Lebensmittel und Landwirtschaft** sowie **Transportsysteme**. Die Mitteilung betont, dass Cyberbedrohungsakteure öffentlich zugängliche ATG-Systeme aktiv kompromittieren und diese durch Befehlsausführung modifizieren. Obwohl keine spezifische Nation oder Bedrohungsgruppe zugewiesen wurde, deuten die beobachteten Taktiken, Techniken und Verfahren (TTPs) auf eine ausgeklügelte und anhaltende Bedrohung hin. ### Verständnis der Bedrohungslandschaft Angreifer nutzen verschiedene Schwachstellen aus, um unbefugten Zugriff und Kontrolle über ATG-Systeme zu erlangen: * **Umgehung der Authentifizierung und hartcodierte Anmeldeinformationen**: Bedrohungsakteure umgehen Authentifizierungsmechanismen und nutzen Standard- oder hartcodierte Anmeldeinformationen aus, um auf die Geräteverwittungsschnittstellen zuzugreifen. * **Ausführung von Betriebssystembefehlen und SQL-Injection**: Diese Techniken ermöglichen es Angreifern, beliebigen Code auszuführen und zugrunde liegende Datenbanken zu manipulieren, wodurch sie umfassende Kontrolle erlangen. * **Privilegienerweiterung**: Nach Erlangung des anfänglichen Zugriffs erweitern Bedrohungsakteure ihre Privilegien, um die vollständige Administratorsteuerung über die Geräteanwendung und das Betriebssystem zu erreichen. ### Mögliche operative und sicherheitstechnische Auswirkungen Eine erfolgreiche Kompromittierung eines ATG-Systems kann schwerwiegende Folgen haben, die dem legitimen physischen Zugriff auf die Systemkonsole ähneln. Bedrohungsakteure könnten: * **Systemattribute ändern**: Dazu gehören Netzwerkeinstellungen, Produktkennungen, Tankvolumina und Pumpensteuerungen, was zu operativem Chaos führt. * **Betriebliche Fehlfunktionen verschlimmern**: Falsch funktionierende Komponenten könnten eine "Denial of View"-Bedingung für Tankfüllstände verursachen und möglicherweise dauerhafte Schäden am Tanksystem verursachen. * **Systemwarnungen deaktivieren**: Das Unterdrücken kritischer Warnungen verringert die Fähigkeit eines Betreibers, Probleme zu erkennen und zu beheben, und erhöht das Risiko von Umwelt- oder physischen Gefahren wie Lecks oder Relaisausfällen erheblich. ### Dringende Abhilfemaßnahmen Die verfassenden Organisationen fordern ATG-Besitzer und -Betreiber dringend auf, die folgenden Sicherheitsmaßnahmen sofort umzusetzen: 1. **Öffentliche Internetexposition eliminieren**: **Setzen Sie ATG-Serienanschlüsse** (z. B. Standard-TCP-Port 8001, 9001 oder 10001) oder andere anwendbare Weboberflächen **auf keinen Fall direkt dem Internet aus**. Wenn Fernzugriff unerlässlich ist, beschränken Sie ihn mithilfe einer Firewall, einer Zugriffssteuerungsliste (ACL) oder eines virtuellen privaten Netzwerks (VPN). 2. **Sicherheit von Anmeldeinformationen erzwingen**: Ändern Sie sofort alle Standardpasswörter und implementieren Sie starke, eindeutige Sicherheitscodes und Administratoranmeldeinformationen für alle Schnittstellen. Implementieren Sie, wo immer möglich, phishing-resistente **Multifaktor-Authentifizierung (MFA)**. Kontaktieren Sie Ihren ATG-Dienstleister, wenn Sie mit diesen Verfahren nicht vertraut sind. 3. **Patches anwenden**: Arbeiten Sie mit zertifizierten ATG-Dienstleistern zusammen, um die Einhaltung zu überprüfen, Software zu aktualisieren und die neuesten Sicherheitspatches von Herstellern anzuwenden. 4. **Überwachen und Melden**: Überwachen Sie Netzwerke aktiv auf unbefugten Zugriff. * Aktivieren Sie die Protokollierung, Überwachung und Protokollprüfung auf Expositionen von ATG-Geräteschnittstellen, unbefugte Verbindungen, verdächtige Alarme, Änderungen von Alarmgrenzwerten, Änderungen von Tankbezeichnungen und andere Systemänderungen. * Melden Sie vermutete Vorfälle umgehend über das [Portal](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting) der **CISA**. 5. **Drittanbieter-Dienstleister einbeziehen**: Stellen Sie sicher, dass Ihre Drittanbieter-Dienstleister die primären Abhilfemaßnahmen zur Reduzierung von Cyberbedrohungen für **Operational Technology (OT)** übernehmen, wie von **CISA**, **FBI**, **EPA** und **DOE** dargelegt. ### Zusätzliche Ressourcen und Berichterstattung Für eine tiefere Auseinandersetzung mit der Sicherung von **OT** und **Industrial Control Systems (ICS)** sollten Organisationen Folgendes prüfen: * Das Fact Sheet der **CISA**, des **FBI**, der **EPA** und des **DOE** zu [Primary Mitigations to Reduce Cyber Threats to Operational Technology](https://www.cisa.gov/sites/default/files/2025-05/fact-sheet-primary-mitigations-to-reduce-cyber-threats-to-operational-technology-508c.pdf). * Informationen zu Schwachstellen, die ATG-Systeme betreffen, wie z. B. [Critical Vulnerabilities Discovered in Automated Tank Gauge Systems](https://www.bitsight.com/blog/critical-vulnerabilities-discovered-automated-tank-gauge-systems). * Die Webseite von **CISA** zu [Internet Exposure Reduction Guidance](https://www.cisa.gov/resources-tools/resources/exposure-reduction) zur Identifizierung und Entfernung von im Internet zugänglichen Assets. * Die [Secure connectivity principles for Operational Technology (OT)](https://www.ncsc.gov.uk/sites/default/files/documents/ncsc-secure-connectivity-for-operational-technology.pdf) des NCSC. US-Organisationen werden ermutigt, verdächtige oder kriminelle Aktivitäten im Zusammenhang mit diesen Bedrohungen zu melden: * **CISA**: Kontaktieren Sie das 24/7 Operations Center der CISA über [[email protected]](mailto:[email protected]) oder 888-282-0870. Geben Sie Details wie Datum, Uhrzeit, Ort, Art der Aktivität, betroffene Parteien, Ausrüstung und einen Ansprechpartner an. Weitere Informationen unter [Voluntary Cyber Incident Reporting](https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia/voluntary-cyber-incident-reporting). * **FBI**: Reichen Sie eine Beschwerde beim Internet Crime Complaint Center (**IC3**) unter [www.ic3.gov](https://www.ic3.gov/) ein. Fügen Sie die Vorfalldetails wie oben angegeben hinzu. * **EPA**: Kontaktieren Sie das Office of National Security der EPA unter [[email protected]](mailto:[email protected]). * **DOE**: Entitäten mit Meldepflichten sollten die festgelegten Verfahren befolgen. Für andere Anfragen im Energiesektor kontaktieren Sie [[email protected]](mailto:[email protected]).