Site Logo

Cyberangriff von Colonial Pipeline offenbart die wirtschaftlichen Auswirkungen von Ransomware

Themen:
12. Mai. 2021
|
Stefan Schachinger

Die Serie schwerwiegender Cybersecurity-Angriffe im Jahr 2021 hält weiterhin an. Nur wenige Monate nach einem schweren Angriff auf die US-Wasserversorgung wurden erneut kritische Infrastrukturen getroffen, diesmal wurde die Colonial Pipeline angegriffen und ist derzeit außer Betrieb. Weitere Details sind zurzeit nicht bekannt und werden voraussichtlich nicht veröffentlicht, bis die Situation behoben wurde.

Hackern gelang es, sich Zugang zum Netzwerk von Colonial zu verschaffen, um in der Folge Daten zu stehlen und zu verschlüsseln. Als Vorsichtsmaßnahme beschloss Colonial, die Pipeline abzustellen, um Schlimmeres zu verhindern. Derzeit verfügbaren Informationen zufolge seien keine Pipeline-Kontrollsysteme direkt betroffen. So lässt sich mutmaßen, dass der Angriff ausschließlich den administrativen Bereich des Unternehmens getroffen hat. Falls die für die Durchführung von Betriebsabläufen erforderliche Technologie nicht ordnungsgemäß von IT-Systemen getrennt ist, besteht ein gewisses Risiko, dass diese ohnehin anfälligen Systeme infolge einer unzureichender Netzwerktrennung ebenfalls in Mitleidenschaft gezogen werden.

Laut internationalen Nachrichtenagenturen soll die Hacker-Gruppe DarkSide oder eine verbündete Gruppe hinter dem Angriff stecken. Obwohl DarkSide sich auf seiner Website gewissermaßen als moderner Robin Hood für Cybersecurity darstellt, macht die Vorgehensweise der Gruppe deutlich, dass es sich um eine professionelle kriminelle Organisation handelt. Wenngleich Mitglieder der Gruppe seit dem Angriff erklärt haben, es sei nicht ihr Ziel gewesen, Probleme zu verursachen, erweckt diese Antwort einen wenig überzeugenden Eindruck.

Es gibt eine Vielzahl von möglichen Angriffsvektoren für Angriffe dieser Art. Am wahrscheinlichsten handelte es sich um einen E-Mail-basierten Angriff. Dies ist nach wie vor der häufigste Angriffsvektor und eine überaus effektive Methode für das Targeting von IT-Systemen. Es ist jedoch ebenso denkbar, dass es sich um eine Art Social-Engineering-Angriff gehandelt haben könnte. Im Rahmen von OT-Systemen stellen unsichere Remote-Zugriffe ein gängiges Problem dar. Den zurzeit bekannten Informationen nach zu urteilen, ist jedoch unwahrscheinlich, dass im Falle von Colonial Pipeline ein solcher Angriff vorliegt. Dennoch zeigen andere jüngere Vorfälle, darunter der Angriff auf die Wasserversorgung in Oldsmar im US-Bundesstaat Florida, wie effektiv diese Methode sein kann.

Wirtschaftliche Auswirkungen des Angriffs


Wenn kritische Infrastruktur getroffen wird und Millionen von Ölfässern in der Folge per Lkw transportiert werden müssen, bringt dies erhebliche Konsequenzen mit sich. Nachdem die Pipeline seit nunmehr sechs Tagen außer Betrieb ist, lässt sich in vielen südöstlichen Staaten eine Verschärfung der Kraftstoffknappheit beobachten. Im Gegensatz zu den weniger schwerwiegenden Sicherheitsvorfällen, die sich kürzlich zugetragen haben, zieht ein Ausfall der größten Pipeline in den USA erhebliche und lang anhaltende Auswirkungen auf die Wirtschaft nach sich. Pro Tag wären 13.000 mittelgroße Treibstofftanker notwendig, um den Stillstand der Pipeline zu kompensieren – das Ergebnis werden zweifelsohne steigende Treibstoffpreise und ein verlangsamtes Wirtschaftswachstum sein.

Im Hinblick auf die damit einhergehenden Auswirkungen lässt sich der Vorfall mit der Suezkanal-Blockade vergleichen. Die meisten Cyberangriffe haben in der Regel keine Auswirkungen auf das öffentliche Leben oder, wenn doch, nur in geringem geografischen Ausmaße. In diesem Fall ist hingegen mit weitreichenderen und weitaus deutlicheren Folgen zu rechnen – ein Beweis dafür, dass das Thema Cybersicherheit in OT-Umgebungen zunehmend an Bedeutung gewinnt. Nicht viele Angriffe auf traditionelle IT-Systeme hätten derartig schwerwiegende Auswirkungen auf die Wirtschaft.

Schadenskontrolle nach einem Ransomware-Angriff


Obwohl Colonial Pipeline für die Behebung des Problems sowohl die Unterstützung von Sicherheitsexperten als auch von Strafverfolgungsbehörden angefordert hat, hat die DarkSide-Gruppierung gedroht, die gestohlenen Daten zu veröffentlichen, sodass das Unternehmen sich möglicherweise trotzdem gezwungen sieht, das geforderte Lösegeld zu zahlen. Die Bereinigung interner Systeme nach einem Ransomware-Angriff ist entscheidend, um verbleibende Schwachstellen zu beheben, die ansonsten erneut ausgenutzt werden könnten. Ein funktionstüchtiges Backup ist in diesem Fall die letzte Verteidigungsmaßnahme. Aus diesem Grund empfehlen wir die Verwendung zweier Backup-Systeme, die gänzlich von den Produktionssystemen getrennt sind. In letzter Zeit drohen jedoch immer mehr Hacker, die hinter Ransomware-Angriffen stecken, die Daten ihrer Opfer im Internet zu veröffentlichen. Die Zeiten, in denen Daten lediglich verschlüsselt wurden, scheinen vorbei zu sein. Wie Unternehmen in einer solchen Situation reagieren, hängt davon ab, wie vertraulich die entwendeten Daten sind.

Die Segmentierung zwischen IT- und OT-Systemen sowie die Mikrosegmentierung innerhalb des OT-Netzwerks ist ein wichtiger Grundbaustein, der die Eindämmung eines Angriffs ermöglicht, falls ein Unternehmen Opfer von bösartiger Software wird. Dabei sollte man nicht vergessen, dass es zahlreiche verschiedene Angriffsvektoren gibt: Remote-Zugriff, E-Mails, infizierte Geräte von Servicetechnikern und mehr. Bedenken Sie außerdem, dass auch Social-Engineering-Angriffe, bei denen Menschen ins Visier von Angreifern geraten, schwerwiegende Folgen haben können.

Unternehmen täten darüber hinaus gut daran, eine mehrstufige Verteidigungsstrategie mit mehreren technischen Hürden zu implementieren, um Angreifer und bösartige Software abzuwehren. Sicherheit ist stets eine Kombination aus einer Vielzahl von technischen und organisatorischen Maßnahmen. Für Unternehmen in kritischen Infrastrukturen und Branchen, in denen selbst kurzzeitige Ausfälle erhebliche Schäden verursachen können, ist Cybersecurity eine Art Versicherung, die weitaus weniger kostspielig ist als ein potenzieller Angriff.

Schützen Sie Ihr Unternehmen vor Ransomware-Angriffen.

Stefan Schachinger

Stefan Schachinger ist Product Manager, Network Security – IoT/OT/ICS. Er arbeitet seit 2013 mit dem Barracuda-Team in Innsbruck zusammen. Vernetzen Sie sich hier mit ihm auf LinkedIn.

Verwandte Beiträge:
Vertrauen mit Zero Trust aufbauen
Vertrauen mit Zero Trust aufbauen
 The third pillar to well-architected AWS cloud security - NetSec (Network Security)
The third pillar to well-architected AWS cloud security - NetSec (Network Security)
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
AppSec News Roundup: Docker, WordPress, bruteforce attacks, and more
The alphabet soup of cloud protection
The alphabet soup of cloud protection