Infrastruktur unter Beschuss

Vor nicht allzu langer Zeit sahen wir Bilder im Internet von Menschen, die an Tankstellen Schlange standen, und die Nachrichten meldeten, dass den Flughäfen bald das Kerosin ausgehen könnte. Während große Teile der Bevölkerung Cyber-Angriffe früher als etwas Abstraktes ohne wirkliche Auswirkungen wahrgenommen haben, ist ein Cyber-Angriff dieses Mal zu einem realen Angriff und zu einem echten Problem für die Gesellschaft geworden.

Colonial Pipeline war natürlich nicht der erste erfolgreiche Angriff auf eine kritische Infrastruktur, aber eine Auswirkung in dieser Dimension in einer so großen geografischen Region – der gesamten Ostküste der USA – in der Heimat von Big Tech, das ist neu und besorgniserregend. Verglichen mit den direkten Kosten und Auswirkungen auf die Wirtschaftsleistung ist das gezahlte Lösegeld von 5 Millionen USD ein geringer Betrag.

Den schnellen und einfachen Erfolg im Visier

Die genauen Details der Angriffsmethode in diesem bestimmten Fall sind noch nicht bekannt. Aber es ist klar geworden, dass es sich nicht um einen hoch entwickelten technischen Angriff handelte, der von langer Hand auf militärischer Ebene geplant war. Sowohl die Hacker-Organisation Darkside als auch ihr Ransomware-Angebot oder Ransomware-as-a-Service (RaaS) sind seit Mitte des Jahres 2020 bekannt.

Medienberichten zufolge, wurden die Pipeline oder ihre Kontrollsysteme nicht direkt angegriffen. Wahrscheinlich ist der Angriff von den IT-Systemen in Büros ausgegangen und hat dort das Abrechnungssystem infiziert, das für den uneingeschränkten Betrieb einer Pipeline unerlässlich ist.

Es ist nicht bekannt, ob es Anreize oder Hinweise von ausländischen Regierungsorganisationen für diesen Angriff gab, aber es ist sicher, dass Computer mit einer russischen oder osteuropäischen Systemsprache nicht von Darkside angegriffen werden.

Wenn die weltweiten Medien einen Betreiber kritischer Infrastruktur betrachten und darauf warten, dass dieser sich entscheidet, ob er das Lösegeld zahlt oder für einen schwer abzuschätzenden Zeitraum mit erheblichen Einschränkungen im öffentlichen Leben konfrontiert wird, ist die Entscheidung klar. Der doppelte Erpressungsansatz, bei dem Daten nicht nur verschlüsselt werden, sondern dem Opfer auch gleichzeitig mit deren Veröffentlichung gedroht wird, erhöht auch den Druck. Es bleibt die Frage, ob es wirklich ein gezielter Angriff war oder nur eine offene Schwachstelle aufgedeckt wurde.

Traditionelle Angriffsvektoren

Die beliebteste Angriffsmethode ist immer noch E-Mail. Die Erfolgschancen sind gut und – selbst, wenn der Angriff scheitert – drohen dem Angreifer keine Konsequenzen.Natürlich funktionieren Angriffe, die auf E-Mails basieren, besser, wenn Cyberkriminelle vorbereitet sind. Weit verbreitete Phishing-E-Mails mit generischen Inhalten haben eine geringere Erfolgschance als gezielte und gut vorbereitete Angriffe. Im letzten Jahr erwies sich COVID-19 als perfekter Aufhänger für Phishing-E-Mails. Vor allem ist es wichtig, dass der Empfänger das Gefühl hat, persönlich angesprochen zu werden, sei es aus Neugier oder wegen finanzieller Versprechen usw. Wenn jemand auf einen böswilligen Link klickt, wird in der Regel eine Software heruntergeladen und die Dinge nehmen ihren unangenehmen Lauf.

In Operational Technology (OT)-Netzwerken, zum Beispiel in der Industrie, Produktion oder Infrastruktur, sind Fernwartungszugriffe häufig ein Problem. Eine große Anzahl von Mitarbeitenden und externen Servicetechnikern muss aus den unterschiedlichsten Gründen auf Geräte zugreifen, wofür sehr oft verschiedene Methoden verwendet werden. Erst kürzlich gab es einen kritischen Vorfall bei einem Wasserversorgungsunternehmen in Florida, bei dem der Fernwartungszugriff zur Manipulation von sicherheitsrelevanten Einstellungen missbraucht werden konnte.

Die Angriffsmethoden unterscheiden sich und es gibt viele verschiedene Möglichkeiten, in ein fremdes Netzwerk einzudringen. Das Problem von OT-Netzwerken ist, dass sie flach und offen und die Geräte anfällig sind. Das bedeutet, dass sich Angreifer oder Malware, die einen Weg in das Netzwerk gefunden haben, ungehindert verbreiten können.

Erfolgreiche Verteidigung

Um industrielle Netzwerke erfolgreich zu schützen, sind strukturierte Security-Maßnahmen notwendig. Das Beispiel Colonial Pipeline zeigt, dass IT- und OT-Systeme inzwischen eng miteinander verbunden sind und dass hier Abhängigkeiten bestehen, die einen entsprechenden Schutz beider Seiten erfordern. Wenn ein Angriff auf ein Abrechnungssystem oder ein traditionelles ERP-System einen großen Ausfall verursacht, zeigt dies ein hohes Maß an Systeminteraktion, wie es wahrscheinlich in vielen ähnlichen Unternehmen zu finden wäre. Der Luftspalt zwischen IT und OT existiert nicht mehr und beide Seiten müssen entsprechend geschützt werden.

Zu den Schutzmaßnahmen gehören technische und organisatorische Maßnahmen ebenso wie Mitarbeiterschulungen und User Awareness. Eine umfassende E-Mail-Sicherheitssuite sollte auf jeden Fall Teil einer Lösung sein, da dies der häufigste Angriffsvektor ist. Aber auch bei der besten technischen Lösung muss man immer davon ausgehen, dass noch etwas durchschlüpfen könnte. Aus diesem Grund müssen auch die Mitarbeitenden so geschult werden, dass sie einen Angriffsversuch erkennen können.  E-Mails sind nicht der einzige Weg in ein Unternehmen. Fernwartungszugriffe sind ein großes Risiko, besonders in industriellen Netzwerken. Statt einer Vielzahl verschiedener Fernzugriffslösungen von verschiedenen Anbieten sollte eine standardisierte Methode bereitgestellt werden, die einfach zu bedienen und umfassend gesichert ist. Eine Mehrfaktor-Authentifizierung ist obligatorisch und der Fernwartungszugriff sollte auch zeitlich gesteuert sein. Sollte eine Malware oder ein Angreifer trotzdem noch in das Netzwerk eindringen, ist Segmentierung der Schlüssel zum Schutz davor, dass sich der Angriff sich auf die Ressourcen des Unternehmens ausbreitet.Physische Angriffsvektoren wie Social Engineering oder USB-Sticks und Malware auf Mobilgeräten müssen ebenfalls berücksichtigt werden. Daher sollten Organisationen immer davon ausgehen, dass Security-Maßnahmen am Perimeter irgendwie überwunden oder umgangen werden können.

Segmentierung trennt das IT-Netzwerk der Büros von der Betriebstechnologie und innerhalb des OT-Netzwerks wird die Kontrollebene von der Prozessebene getrennt. Legitime Verbindungen sind erlaubt, aber so weit wie möglich eingeschränkt und werden mit Security der nächsten Generation wie Antivirus, IPS und Advanced Threat Protection auf bösartige Inhalte überprüft. Um eine horizontale Ausbreitung zu verhindern – wie zum Beispiel von einem Computer zu einem anderen – werden einzelne oder kleine Gruppen von Assets durch Mikro-Segmentierung voneinander isoliert. Durch die zusätzliche Verwendung von Anomalieerkennung können verdächtige Aktivitäten im Netzwerkverkehr erkannt und automatisch in den Firewalls blockiert werden. Auf diese Weise kann im Falle eines Verstoßes zumindest eine Eindämmung erreicht werden.

Schutzmaßnahmen müssen daher immer vielfältig oder vielschichtig sein und jede einzelne Maßnahme muss den Anspruch erheben, unüberwindbar zu sein. Wenn dies ernst genommen wird, ist Ihr eigenes Netzwerk nicht länger ein leichtes Ziel für Angreifer.

Die jüngsten Ereignisse des Ransomware-Angriffs auf die Colonial Pipeline haben wahrscheinlich viel mehr Aufmerksamkeit auf sich gezogen, als die Hacker wollten. Das kann als Weckruf angesehen werden. Die Tatsache, dass die US-Regierung nun reagiert hat und Präsident Joe Biden umfangreiche finanzielle Mittel zur Verbesserung der Infrastruktur-Security zugesagt hat, wird sicherlich viele Unternehmen veranlassen, ihre eigenen Security-Maßnahmen sorgfältig zu überprüfen.

Barracuda bietet eine spezielle CloudGen Firewall-Produktlinie für die Sicherung von Industrial IoT- und Operational Technology-Netzwerken. Der Fernwartungszugriff ist sicher mit herkömmlichen VPN-Clients oder der ZTNA-Lösung CloudGen Access konzipiert. In Kombination mit Security-Lösungen auf Unternehmensniveau wie Total Email Protection, Barracuda Web Application Firewall und Barracuda Backup ebenso wie verschiedenen Produkt-Integrationen mit Technologiepartnern steht ein umfassendes Maßnahmenpaket zur erfolgreichen Abwehr moderner Angriffe zur Verfügung.