HMI-Schwachstellen in Venedig: Eine tiefgehende Analyse des San-Marco-Pumpenvorfalls
Prayukth K V
Ein bedeutender Cybervorfall im Zusammenhang mit OT-Infrastruktur, der sich in den vergangenen Wochen ereignet hat, blieb weitgehend unbemerkt. Die Kompromittierung der Hochwasserschutzpumpen am Markusplatz in Venedig, die Ende März/Anfang April erfolgte, unterstreicht einen entscheidenden tektonischen Wandel. Sophistizierte Angriffe auf OT beschränken sich nicht mehr auf digitale Störungen, sondern zielen zunehmend auf physische Auswirkungen in der realen Welt. Hoffen wir, dass dies nicht künftig zum Normalfall wird. Diese Entwicklung signalisiert zudem eine wesentliche Verschiebung der Prioritäten von Angreifern, wobei OT-Systeme nun fest im Fadenkreuz von Hacktivisten und staatlich unterstützten Akteuren stehen.
Der Bedrohungsakteur, in diesem Fall unter angenommenen Namen wie „Infrastructure Destruction Squad“ oder „Dark Engine“ aktiv, hat behauptet, administrativen Zugriff auf das System erlangt zu haben. Nach Angaben der Gruppe hätten sie „Verteidigungen deaktivieren und Küstengebiete überfluten“ können und damit einen digitalen Eindringversuch in eine potenzielle physische Katastrophe verwandelt. Laut dem neuesten Update des Bedrohungsakteurs wurden sie vom Netzwerk ausgeschlossen.
Im heutigen Blogbeitrag führen wir eine detaillierte Analyse dieses Vorfalls durch und heben zentrale Aspekte hervor, die möglicherweise übersehen wurden. Wir empfehlen außerdem Maßnahmen, mit denen sich solche Eindringversuche verhindern lassen.
Wie immer: Bevor wir fortfahren, vergessen Sie bitte nicht, unseren vorherigen Blogbeitrag zur East-West-Traffic-Überwachung in OT zu lesen, um die Anforderungen von NERC CIP-015 zu erfüllen hier.
Historie dieses Vorfalls
Gemäß durch Telegram-Logs validierter Shieldworkz-Recherche begann der Einbruch irgendwann Ende März (möglicherweise um den 18. herum), als Angreifer Zugriff auf die Steueroberfläche des Anti-Überflutungssystems erlangten (konkret das hydraulische Pumpsystem, das verhindert, dass Venedig unter Wasser gerät). In der ersten Aprilwoche begannen die Hacker, Belege des Zugriffs zu teilen, darunter Screenshots von Bedienfeldern, Systemlayouts und Ventilzuständen. Sie behaupteten, die Fähigkeit zur Verhinderung von Überschwemmungen unter Kontrolle zu haben, und boten sogar vollständigen Root-Zugriff gegen eine Gegenleistung von 600 US-Dollar an (später auf 650 $ erhöht).
Hier ist die Chronologie dieses Vorfalls
Phase | Datum | Ereignis |
Initialzugriff | Ende März 2026 (um den 18. März) | Die Angreifer durchbrechen die Steueroberfläche des Sistema di Riduzione Rischio Allagamento. |
Persistenz und Aufklärung | Erste Aprilwoche 2026 | Angreifer kartieren Ventile, pneumatische Sensoren und HMI-Layouts; die Veröffentlichung von Beweismaterial auf Telegram beginnt. |
Regierungsprüfung | Nach Ostern 2026 | Italienische Behörden führen „neue Kontrollen“ und Gerätetests durch. Die Tests erscheinen zunächst „positiv“ (sicher). |
Die „Botschaft“ | 12. April 2026 | Der Bedrohungsakteur legt offen, dass er während der Tests im Netzwerk verblieben ist und sich bewusst dagegen entschieden hat, die Stadt zu überfluten. |
Monetarisierung | 13. April 2026 | Voller Root-Zugriff auf das Pumpensystem wird in 5 Underground-Foren für 600 $ zum Verkauf angeboten. |
Hypothese zum Gegenspieler
Akteur: Infrastructure Destruction Squad (Dark Engine).
Ursprung/Zugehörigkeit: mandarinsprachig (Beiträge auf Chinesisch). Der niedrige Preis (600 $) deutet auf eine staatlich unterstützte „Pre-Positioning“-Einheit oder auf einen „Hacktivist-for-hire“ hin, die bzw. der eine Operation ausführt, die als Tat niederrangiger Krimineller getarnt ist. Geld ist hier definitiv nicht die Motivation. Der chinesische Bedrohungsakteur APT 41 ist dafür bekannt, mehrere Frontorganisationen und Affiliates zu betreiben, um die glaubhafte Abstreitbarkeit aufrechtzuerhalten.
Motivation: Strategische Signalwirkung. Das Ziel war nicht die Zerstörung (zumindest kurzfristig nicht), sondern zu beweisen, dass chinesische Bedrohungsakteure Zugriff auf kritische Infrastruktur erlangen können. Genau das sollte belegt werden.
In einem weiteren Beitrag behaupteten die mutmaßlichen Hacker, sie handelten angeblich mit edlen Absichten (wo haben wir das schon einmal gehört?). Sie erklärten, ihr Ziel sei es gewesen, Schwachstellen in der Art und Weise offenzulegen, wie die Sicherheit kritischer Infrastrukturen gemanagt werde, und politischen Druck aufzubauen, um diese Lücken zu schließen (das sagten sie tatsächlich). Wenn das Ziel so edel war, warum sollten sie Root-Zugriff für 600 US-Dollar verkaufen? Die Gruppe erklärte, der genannte niedrige Betrag solle zeigen, wie einfach und günstig es ist, Zugriff auf ein System zu erlangen, das anschließend für Unfug missbraucht werden kann. Das ist eine neue Stufe des Herumspielens.
Diese Behauptung zerfällt, wenn man ihr jüngstes Update (am 12. April veröffentlicht) auf Telegram liest. Laut diesem Update behauptete die Gruppe, ein Tool entwickelt zu haben, das sie gegen Energieunternehmen einsetzen will (Screenshot beigefügt). Außerdem haben sie Italien gegenüber eine konkrete Drohung ausgesprochen.
Screenshot aus dem Telegram-Kanal der Gruppe.
Hier ist die Nachricht, die das Infrastructure Destruction Squad im Telegram-Kanal veröffentlicht hat, als es den Angriff ankündigte.
„Wir verkünden das Hacken des Systems: SISTEMA DI RIDUZIONE RISCHIO ALLAGAMENTO (Flood Risk Reduction System), das dem italienischen Ministerium für Infrastruktur und Verkehr gehört. Wir haben die vollständige Kontrolle über das System übernommen. Politisches Ziel: Die Verwundbarkeit der kritischen Infrastruktur Italiens offenzulegen. Die Kontrolle dieses Systems ermöglicht das Deaktivieren von Fluttoren, die Überflutung von Küstengebieten und politische Erpressung der italienischen Regierung. Verkaufsangebot: Wir gewähren vollständigen Root-Zugriff auf das Steuerungssystem. Der Preis beträgt 600 USD für jede Partei, die Zugriff erwerben möchte.“
Es ist zu beachten, dass die konkrete für die Pumpen zuständige Stelle das Provveditorato per le Opere Pubbliche del Triveneto (ist, das dem Ministerium für Infrastruktur und Verkehr untersteht).
Gemäß dem Infrastructure Destruction Squad hatte ein Sicherheitsteam der Wasserbehörde von Venedig einige Tests durchgeführt, um den Einbruch zu validieren, konnte dies jedoch nicht tun. Nach jüngsten Aktualisierungen des Ministeriums (Stand 12. April) wurde zwar „anomaler Datenverkehr“ erkannt, jedoch nicht das Ausmaß der Persistenz , das die Angreifer über den Webserver des HMI erreicht hatten. Das Ministerium stellte daher klar, dass die Erkennung erfolgreich war, der Umfang des Einbruchs jedoch unterschätzt wurde.
Im neuesten, heute früher veröffentlichten Update sagte die Gruppe: „Haha, die italienischen Behörden haben uns aus dem Netzwerk geworfen. Haha, keine Sorge, wir werden Angriffe starten. Halt den Mund.“ Folgt man diesem Update, scheint die Wasserbehörde von Venedig die Kontrolle zurückerlangt zu haben.
Über die Infrastruktur
Das Pumpsystem scheint Teil des MOSE-Projekts zu sein (italienisch: Modulo Sperimentale Elettromeccanico, wörtlich „Experimentelles elektromechanisches Modul“), das dazu dient, die Stadt Venedig in Italien und die venezianische Lagune vor Überschwemmungen zu schützen. Laut Wikipedia handelt es sich dabei im Wesentlichen um eine Reihe mobiler Tore auf dem Meeresboden der Zufahrten von Lido, Malamocco und Chioggia, die angehoben werden können, um die venezianische Lagune bei Hochwasser vorübergehend von der Adria abzuriegeln. „Zusammen mit anderen Maßnahmen wie Küstenbefestigungen, der Erhöhung von Uferkanten sowie der Pflasterung und Verbesserung der Lagune ist MOSE darauf ausgelegt, Venedig und die Lagune vor Gezeiten von bis zu 3 Metern (9,8 ft) zu schützen. Seit 2023 werden die Fluttore bei vorhergesagten Gezeiten von mehr als 1,30 Metern angehoben.“
Bei normalen Gezeiten sind die Tore mit Wasser gefüllt und liegen auf dem Meeresboden. Wenn Hochwasser vorhergesagt wird, wird das Wasser in diesen Toren durch Einpressen von Druckluft entfernt, wodurch die Tore über die Hochwasserhöhe angehoben werden. Dadurch entsteht eine Barriere, die die Lagune vom Meer trennt. Sobald die Hochwasserphase vorbei ist, wird Wasser zurück in die Tore gepumpt und die Luft ausgestoßen. So sinken die Tore wieder auf den Meeresboden.
Die Kosten für dieses einzigartige Projekt: 8 Milliarden US-Dollar.
Sie können das gesamte System in Aktion anhand eines ästhetisch animierten Bildes hier sehen.
Was ist also schiefgelaufen?
Für Fachkräfte der Operational Technology (OT)-Sicherheit geht die Auswirkung dieses Vorfalls weit über die Schlagzeilen und operativen Komplexitäten hinaus. Für uns geht es um die Verwundbarkeit moderner, zweckorientierter Systeme, die es Städten und Kommunen ermöglichen, effizient zu arbeiten und Bürgerdienste ohne Unterbrechung bereitzustellen. Schwachstellen in diesen kritischen Systemen können von Angreifern ausgenutzt werden, um Hochrisikosituationen zu erzeugen, die die öffentliche Sicherheit und Gesundheit bedrohen (und Regierungen potenziell in Geiselhaft nehmen).
Die Behauptung, Hacker hätten ein erhebliches Maß an Kontrolle über die Pumpen erlangt, die Venedigs Hochwasserschutz steuern, unterstreicht ein mehr oder weniger wiederkehrendes Versagen beim Schutz von Industrial Control Systems (ICS). Anders als bei klassischen IT-Einbrüchen, bei denen häufig der Diebstahl von Daten das Ziel ist, zielen diese Angriffe auf den Prozessregelkreis. Ziel ist es, entweder die Systemvariablen oder -parameter zu kontrollieren oder das System weit außerhalb seines vorgesehenen Betriebsbereichs arbeiten zu lassen.
Wie haben sie Zugriff erlangt?
Betrachten wir zunächst, wie solche Szenarien häufig ablaufen, um zu verstehen, wie Bedrohungsakteure typischerweise Zugriff auf kritische Infrastruktur erlangen. Der primäre Angriffsvektor ist selten ein ausgefeilter, mehrstufiger Exploit, der ins Netzwerk eingeschleust wird. Stattdessen umfasst er typischerweise:
Nicht authentifizierte Human-Machine Interfaces (HMIs): Viele Pumpstationen nutzen bekanntermaßen webbasierte HMIs für die Fernüberwachung. Wenn diese von Suchmaschinen indexiert werden und keine robuste Authentifizierung besitzen, sind sie ein offenes Einfallstor.
Schwachstellen auf Protokollebene: Legacy-Protokolle wie Modbus oder S7 wurden für Zuverlässigkeit, nicht für Sicherheit entwickelt. Ihnen fehlt native Verschlüsselung; das bedeutet, dass jeder, der Netzwerkzugriff erlangt, Befehle direkt in die Programmable Logic Controllers (PLCs) einspeisen kann.
Exponiertes VNC und Remote Desktop Protocol (RDP): Angreifer können Software zur Bildschirmfreigabe nutzen, die nach einer Wartungssitzung aktiv gelassen wurde, und so buchstäblich das Steuer der Steuerungssoftware übernehmen.
Es ist möglich, dass bei diesem Angriff ein exponiertes HMI verwendet wurde.
Allerdings ist zwischen „Zugriff“ und „Kontrolle“ zu unterscheiden. Hacktivisten teilen häufig Screenshots von HMI-Bedienfeldern, um eine vollständige Kontrolle zu behaupten. Auch wenn sie möglicherweise eine einzelne Pumpe schalten oder einen Parameterwert ändern können, liegt die eigentliche Gefahr in einem Kaskadeneffekt. Durch schnelles Takten von Pumpen (ein „Hunting“-Zustand) kann ein Angreifer mechanische Ermüdung oder sogar elektrische Überspannungen verursachen und die Hardware damit selbst dann außer Betrieb setzen, wenn der digitale Einbruch bereits geschlossen ist.
Die Eindringkette
Der exponierte Rand: Der Gegenspieler entdeckte eine dem Internet zugewiesene IP-Adresse, die mit dem hydraulischen System Venedigs verbunden war, wahrscheinlich durch automatisiertes Scannen (Shodan/Censys).
Credential Stuffing: Ausnutzung bekannter Standardpasswörter für gängige industrielle Gateways oder geleakter Ministeriums-Zugangsdaten.
HMI-Manipulation: Einmal eingedrungen, löste das „Squad“ keine Alarme aus. Es beobachtete das System während der Hochwassersaison, um die Logik der pneumatischen Ventile zu verstehen.
Die Täuschungslücke: Während der „Osterprüfungen“ der italienischen Regierung blieben die Angreifer inaktiv oder manipulierten die auf den SCADA-Bildschirmen dargestellten Daten, sodass die „Prüfungen“ einen „sicheren“ Status lieferten.
Öffentliche Offenlegung: Um die Bloßstellung zu maximieren, warteten sie bis nach der Erklärung der Stadt, dass das System sicher sei, um den Beweis ihrer anhaltenden Präsenz zu veröffentlichen.
Zuordnung zum MITRE ATT&CK-Framework
Taktik | Technik-ID | Name | Anwendung auf den Vorfall |
Initial Access | T0822 | Internetzugängliches Gerät | Wurde verwendet, um die hydraulischen Steueroberflächen direkt zu erreichen. |
Persistence | T0889 | Programm ändern | Mögliche Änderung der PLC-Logik, um Systemneustarts/-tests zu überstehen. |
Discovery | T0843 | Programm-Upload | Exfiltration von Systemlayouts und Ventilkonfigurationen. |
Inhibit Response | T0831 | Manipulation of Control | Die Fähigkeit, Fluttore zu deaktivieren oder manuelle Pumpenstarts zu übersteuern. |
Impair Process | T0821 | Damage to Property | (Mögliches) beabsichtigtes Ziel, die Piazza San Marco zu überfluten. |
Der geopolitische Hintergrund
Solche Ereignisse passieren nicht im luftleeren Raum. Pro-russische oder antiwestliche Hacktivisten-Gruppen haben zunehmend europäische Infrastruktur ins Visier genommen (Beispiel: wiederholte Angriffe auf polnische kritische Infrastruktur). Indem die Angreifer einen so ikonischen Ort wie San Marco treffen, erzielen sie eine massive psychologische Wirkung, die die technische Komplexität des Hacks bei Weitem übersteigt.
Wie bereits erwähnt, weist dieser Vorfall klare Indikatoren auf, die mit der Beteiligung eines staatlich unterstützten Akteurs vereinbar sind.
Warum Venedig, oder vielmehr warum Italien?
In den vergangenen Jahren hat Italien seine Beziehung zu China neu ausgerichtet. Es ist aus der Belt and Road Initiative ausgestiegen und hat seine Regeln zur Investitionsprüfung im Rahmen seines „Golden-Power“-Mechanismus verschärft. Italien hat Übernahmen in mehreren strategischen Sektoren wie Halbleitern, Robotik und Telekommunikation blockiert oder begrenzt. Solche Maßnahmen haben auf höchster Ebene der chinesischen Regierung Aufmerksamkeit erregt, und derartige Eindringversuche können eine strategische Signalwirkung entfalten (ähnlich wie wir es bei den Angriffen auf Polen gesehen haben, bei denen Russland versuchte, geopolitische Punkte zu sammeln).
Es ist möglich, dass der Angriff von einer chinesischen Gruppe mit umfangreichen Verbindungen zum Ministerium für Staatssicherheit Chinas ausgeführt wurde. Das übermittelte strategische Signal könnte in etwa wie folgt lauten:
Wie viel kostet es, Venedig zu überfluten? 600 $
Chinesische Bedrohungsakteure können europäische kritische Infrastruktur kompromittieren
Bei Shieldworkz gehen wir davon aus, dass China bald einen diplomatischen Schritt unternehmen könnte, der lose mit diesem Vorfall in Verbindung gebracht werden kann. Wenn dieser Schritt korrekt interpretiert wird, legt er das wahre Motiv hinter diesem Vorfall offen. Das chinesische APT-Handbuch betont den Einsatz verdeckter Signale, um das Umfeld zu beeinflussen, bevor die eigentliche Absicht offenbart wird.
Die regulatorische Notwendigkeit: Mehr als nur „gute Absichten“
In der aktuellen geopolitischen Lage, in der mehrere Konflikte aktiv sind, ist die Aufrechterhaltung eines „Basisniveau“-Sicherheitsniveaus rechtlich und operativ nicht mehr ausreichend. Die NIS2-Richtlinie in Europa hat die Anforderungen für Einrichtungen, die Wasser- und Hochwasserschutzsysteme betreiben, deutlich verschärft und das minimale Sicherheitsniveau kritischer Infrastrukturen in großen Schritten angehoben.
Compliance ist nun an operationale Resilienz und Governance-Reife gekoppelt. Das bedeutet, dass Sicherheit bereits in die Inbetriebnahmephase jedes maritimen oder kommunalen Projekts „eingebaut“ werden muss. Wenn eine Pumpstation modernisiert wird, ist die Sicherheit ihrer Ferntelemetrie genauso wichtig wie die Leistung ihrer Motoren.
Die To-do-Liste für OT-Sicherheit
Um zu verhindern, dass Ihre Infrastruktur zu einer Trophäe für Hacktivisten wird, befolgen Sie diese priorisierte technische Checkliste:
Implementieren Sie „Zero Trust“ für den Fernzugriff: Entfernen Sie alle direkten Internetverbindungen zu PLC oder HMI. Verwenden Sie einen abgesicherten Jump Server mit Multi-Faktor-Authentifizierung (MFA) als einzigen Zugang zum OT-Umfeld.
Prüfen Sie Standard- und/oder geleakte Zugangsdaten: Führen Sie einen systematischen Abgleich aller Feldgeräte durch. Stellen Sie sicher, dass keine Sensoren, Gateways oder Steuerungen werkseitige Benutzernamen oder Passwörter verwenden.
Deaktivieren Sie unnötige Dienste: Schalten Sie Telnet, HTTP (verwenden Sie HTTPS) und alle Erkennungsprotokolle auf den PLCs aus, die für den unmittelbaren Prozess nicht erforderlich sind.
Netzwerk-Mikrosegmentierung: Isolieren Sie das San-Marco-Steuerungsnetzwerk (oder ein gleichwertiges) vom breiteren Netzwerk der kommunalen Verwaltung. Der Datenverkehr zwischen diesen Zonen sollte durch eine industrielle Firewall mit Deep Packet Inspection (DPI) strikt gefiltert werden.
Systemprotokollierung und Monitoring aktivieren: Stellen Sie sicher, dass jeder an eine Pumpe gesendete „Start/Stop“-Befehl auf einem separaten, manipulationssicheren Server protokolliert wird. Ungewöhnliche Aktivitäten – etwa wenn eine Pumpe um 3:00 Uhr morgens geschaltet wird – sollten eine sofortige physische Inspektion auslösen.
Manuelle Fallbacks validieren: Testen Sie regelmäßig die Fähigkeit des Personals, die Fluttore oder Pumpen im Modus „Local Manual“ zu betreiben. Wenn das digitale System kompromittiert ist, muss Ihr Team die Stadt mit physischen Übersteuerungen trocken halten können.
Führen Sie regelmäßige Risikobewertungen auf Basis von IEC 62443 durch: Um OT-Sicherheitslücken zu identifizieren und zu beheben sowie zu verhindern, dass solche Lücken ausgenutzt werden
Interessieren Sie sich für die Bewertung Ihrer HMI-Exposition oder möchten Sie Ihr OT-Risiko kennenlernen? Sprechen Sie mit unseren IEC 62443-Experten in einer kostenlosen Beratung.
Zusätzliche Ressourcen
Leitfaden zur Behebung, um solche OT-Sicherheitsvorfälle zu verhindern
Leitfaden zur Behebung von NIS2-Sicherheitslücken
Playbook zur Behebung von PLC-Sicherheitslücken (gemäß der neuesten CISA-Leitlinie)
So implementieren Sie IEC 62443-Kontrollen
Bitte kontaktieren Sie uns, wenn Sie Fragen haben.
Eine weitere Aktualisierung aus dem Telegram-Kanal des Infrastructure Destruction Squad.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Wie Ransomware-Angriffe industrielle Systeme beeinträchtigen
Team Shieldworkz
NERC-CIP-Anforderungen für Energieversorgungsunternehmen erklärt
Team Shieldworkz
Was ist eine speicherprogrammierbare Steuerung (SPS) und warum wird sie in der Industrie eingesetzt?
Team Shieldworkz
Sicherheitsleitfaden für SCADA-Systeme: Stärkung industrieller Schutzmaßnahmen mit NIST und IEC 62443
Team Shieldworkz
Der Gentlemen-RaaS-Vorfall: Was das Leak über moderne cyberkriminelle Operationen offenbart
Shieldworkz Team für Bedrohungsforschung
OT-Netzwerksegmentierung, die in industriellen Umgebungen tatsächlich funktioniert
Team Shieldworkz
