E-Mail-Angriffe treffen Energie- und Versorgungsunternehmen härter als die meisten anderen Sektoren

Die Energie- und Versorgungsindustrie ist Teil der kritischen Infrastruktur der Welt. Ohne einen zuverlässigen Zugang zu Strom, Erdgas, erneuerbaren Energien, Wasserversorgung und vielem mehr werden viele Dinge, auf die wir angewiesen sind, zum Stillstand kommen – mit möglicherweise verheerenden Folgen für Unternehmen, Volkswirtschaften, geopolitische Stabilität und sogar Menschenleben.

Die wachsende Angriffsfläche

Die Energie- und Versorgungsbranche verlässt sich zunehmend auf digitale Technologien, um komplexe verteilte Abläufe und abgelegene Standorte wie Windparks, Kraftwerke und Netze zu verwalten und zu integrieren. Das daraus resultierende Netz von Internet-of-Things-Systemen (IoT) vergrößert die Angriffsfläche für Cyberangreifer – vor allem dort, wo sie eine Schnittstelle zu nicht ausreichend geschützten Altsystem-Infrastrukturen haben.

Erfolgreiche Cyberangriffe gegen Energie- und Versorgungsunternehmen stehen im Fokus der Öffentlichkeit. Beispiele hierfür sind der Ransomware-Angriff im Mai 2021 auf Colonial Pipeline, die größte US-Kraftstoffpipeline. Der Angriff führte zu einer Lösegeldzahlung in Höhe von 4,4 Millionen US-Dollar, Treibstoffmangel und Panikkäufen unter Autofahrern. Dann wurden im April 2022 drei Windenergieunternehmen in Deutschland von Cyberangriffen heimgesucht, die Tausende digital verwalteter Windkraftanlagen lahmlegten. Im Dezember desselben Jahres berichtete CNN, dass Angreifer bei einem Ransomware-Angriff auf einen Auftragnehmer der US-Regierung, der kritische Infrastrukturprojekte im ganzen Land abwickelt, Daten mehrerer Energieversorger gestohlen hatten.

Das Verständnis und die Bewältigung der Cyberrisiken, denen die Energie- und Versorgungsbranche ausgesetzt ist, haben weltweit Priorität. Ein guter Ausgangspunkt ist das E-Mail-basierte Risiko. E-Mail bleibt ein primärer Angriffsvektor mit einer hohen Erfolgsquote, der einen häufigen Einstiegspunkt für viele andere Cyberangriffe darstellt.

Energie- und Versorgungsunternehmen gehören zu den Unternehmen, die am ehesten von einer E-Mail-Sicherheitsverletzung betroffen sind – und die danach am ehesten Produktivitätseinbußen bei ihren Mitarbeitern hinnehmen müssen

Jüngste internationale Untersuchungen, die unter mittelständischen Unternehmen durchgeführt wurden, ergaben, dass im Jahr 2022 81 % der Befragten aus dem Sektor „Energie, Öl und Gas sowie Versorgungsunternehmen“ eine E-Mail-Sicherheitsverletzung erlebt haben. Branchenübergreifend lag die Gesamtsumme bei 75 %. 

Von allen befragten Branchen war dieser Sektor am stärksten vom Produktivitätsverlust der Mitarbeiter betroffen. Mehr als die Hälfte (52 %) der Befragten gaben dies als Folge des Angriffs an – verglichen mit nur 38 % insgesamt. Der Produktivitätsrückgang hängt wahrscheinlich mit der Tatsache zusammen, dass 48 % mehr als die Hälfte ihrer Mitarbeiter im Außendienst arbeiten und diese Mitarbeiter während der Ausfallzeiten nicht arbeiten können.

Ein überdurchschnittlicher Anteil der Befragten in dieser Branche (50 %) erwähnte die schädlichen Auswirkungen von E-Mail-Sicherheitsverletzungen auf den Ruf der Marke. Als stark regulierte und wettbewerbsfähige kritische Infrastruktur mit einer breiten Endnutzerbasis – einschließlich Verbrauchern – kann ein Sicherheitsvorfall viele Menschen betreffen, die Kundenbeziehungen schädigen und zu negativen Meldungen über Bußgelder oder Compliance-Verstöße führen, was alles kein gutes Licht auf die Marke wirft.

Die Energie- und Versorgungsbranche war am wenigsten der Meinung, dass die Kosten für die Verwertung eine wesentliche Auswirkung darstellen. Nur 22 % gaben dies als Auswirkung an, verglichen mit 31 % insgesamt. Die Untersuchung ergab jedoch auch, dass die tatsächlichen Wiederherstellungskosten zu den höchsten gehörten.

Die durchschnittlichen Kosten für den teuersten Angriff in dieser Branche im Jahr 2022 – 1.316.190 $ – waren die dritthöchsten und stehen im Vergleich zu einem branchenweiten Wert von 1.033.066 $. Die hohen Kosten für die Bewältigung der Auswirkungen eines Angriffs in dieser Branche spiegeln wahrscheinlich die verstreuten Standorte der digitalen Ressourcen und der Mitarbeiter wider – knapp die Hälfte (48 %) arbeitet von unterwegs aus – sowie etwaige finanzielle Strafen.

56 % der von Ransomware betroffenen Unternehmen waren zweimal oder öfter betroffen – mehr als jede andere Branche

Der überdurchschnittlich hohe Anteil von Unternehmen, die von einer erfolgreichen E-Mail-Sicherheitsverletzung betroffen sind, macht es fast unvermeidlich, dass der Anteil der Unternehmen, die von anderen Angriffen, einschließlich Ransomware, betroffen sind, ebenfalls relativ hoch ist. 

Tatsächlich waren 85 % der Befragten in dieser Branche von Ransomware betroffen, verglichen mit 75 % insgesamt – und die Branche war auch diejenige, die am häufigsten von wiederholten Angriffen betroffen war.

56 % der Befragten in diesem Sektor berichteten von zwei oder mehr erfolgreichen Ransomware-Vorfällen, verglichen mit einer Gesamtzahl von 38 %. Dies deutet darauf hin, dass Angriffe nicht immer vollständig neutralisiert sind oder dass Sicherheitslücken nach dem ersten Vorfall nicht immer identifiziert und behoben werden.

Die gute Nachricht ist, dass fast zwei Drittel (62 %) die verschlüsselten Daten mit Hilfe von Backups wiederherstellen konnten, im Vergleich zu 52 % insgesamt, obwohl 31 % das Lösegeld für die Wiederherstellung ihrer Daten bezahlt haben.

Energie- und Versorgungsunternehmen werden am häufigsten Opfer eines gezielten Spear-Phishing-Angriffs

Fast drei Viertel der Befragten (73 %) in diesem Sektor waren 2022 von einem erfolgreichen Spear-Phishing-Angriff betroffen, verglichen mit 50 % insgesamt. Damit ist der Energie- und Versorgungssektor mit großem Abstand der am stärksten von Spear-Phishing betroffene Sektor.

Die Unternehmen, die Spear-Phishing zum Opfer gefallen waren, berichteten von Auswirkungen, die auch in anderen Branchen zu beobachten waren, allerdings selten in demselben Ausmaß. 64 % gaben an, dass Computer oder andere Maschinen mit Malware oder Viren infiziert wurden – im Vergleich zu 55 % insgesamt. 62 % gaben an, dass vertrauliche oder sensible Daten gestohlen wurden – im Vergleich zu 49 % insgesamt. Der Reputationsschaden scheint wiederum ein bemerkenswerter Effekt für diesen Sektor gewesen zu sein, der von 45 % genannt wird. Dieser ist höher als in jeder anderen Branche und steht im Vergleich zu einem branchenweiten Gesamtwert von 37 %.  Nur 37 % gaben an, über Viren- und Malware-Filter zu verfügen, im Vergleich zu insgesamt 47 %.

Der Sektor ist für die Bewältigung grundlegender Bedrohungen nicht ausreichend gerüstet – und es ist weniger wahrscheinlich, dass sich die Menschen in dieser Branche viel sicherer fühlen als im letzten Jahr

Mehr als viele andere Branchen sahen sich Energie- und Versorgungsunternehmen nicht ausreichend auf den Umgang mit relativ einfachen Bedrohungen wie Viren und Malware vorbereitet. 46 % setzten dies auf die Liste, verglichen mit einer branchenweiten Gesamtzahl von 34 %. Ebenso hielten sich 39 % in diesem Sektor unzureichend auf den Umgang mit Spam vorbereitet, verglichen mit 28 % insgesamt), und 32 % gaben Phishing an, verglichen mit 26 % insgesamt.

Das ist ein besorgniserregendes Ergebnis angesichts des Umfangs der Cyberbedrohungen, die diesen Sektor erfolgreich ins Visier genommen haben.  Dies mag zum Teil daran liegen, dass dieser Sektor über unterdurchschnittliche Investitionen in viele Sicherheitstechnologien berichtet, darunter E-Mail-Authentifizierung, computergestütztes Sicherheitstraining, Zero-Trust-Access-Kontrollen, URL-Schutz, Schutz vor Kontoübernahmen und dediziertes Spear-Phishing, automatisierte Reaktion auf Vorfälle und mehr.

Es überrascht nicht, dass die Ergebnisse auch zeigen, dass sich nur 26 % der Befragten „viel“ sicherer fühlen als im Vorjahr – im Vergleich zu 34 % insgesamt. 

Es dauert etwa vier Tage, einen E-Mail-Sicherheitsvorfall zu erkennen und zu beheben

Die Untersuchung zeigt, dass Energie- und Versorgungsunternehmen etwas länger als viele andere Branchen brauchen, um einen E-Mail-Sicherheitsvorfall zu erkennen – durchschnittlich 51 Stunden, verglichen mit 43 Stunden insgesamt. Sie waren jedoch schneller als die meisten anderen, wenn es darum ging, auf den Vorfall zu reagieren und ihn zu beheben: Im Durchschnitt dauerte es 42 Stunden, verglichen mit 56 Stunden insgesamt.

Laut den Befragten in diesem Sektor waren die größten Hindernisse für eine schnelle Reaktion und Schadensbegrenzung mangelnde Automatisierung, die von 46 % genannt wurde, im Vergleich zu 38 % in der gesamten Branche; und mangelnde Sichtbarkeit, die von 40 % genannt wird, verglichen mit 29 % insgesamt. 

Es handelt sich um einen Sektor, in dem digitale Technologien und Innovationen mit hoher Geschwindigkeit entwickelt und implementiert werden und dann in veraltete, nicht ausreichend gesicherte Altsysteme integriert werden. Es ist also nicht überraschend, dass ein Mangel an Transparenz im gesamten IT-Bereich und eine unvollständige Sicherheitsautomatisierung erhebliche Hindernisse für integrierte Sicherheit darstellen.

Sicherung kritischer Infrastrukturindustrien

E-Mail-basierte Cyberangriffe sind weit verbreitet, entwickeln sich ständig weiter – und sind anhaltend erfolgreich.

Die Untersuchung zeigt, in welchem Ausmaß der Energie- und Versorgungssektor angegriffen wird und wie hoch die Kosten und Auswirkungen eines erfolgreichen Angriffs sind.

Unternehmen in diesem Sektor benötigen Sicherheitslösungen, die einfach zu implementieren, auszuführen und zu verwalten sind. Automatisierte Schutztechnologien werden einen echten Unterschied machen, zumal viele Befragte sagen, dass ihnen selbst ein grundlegender Schutz vor Malware und Viren fehlt. Dies könnte bedeuten, dass sie die integrierten Filter, die in der Regel standardmäßig mit den meisten E-Mail-Lösungen für Unternehmen geliefert werden, nicht aktiviert oder korrekt konfiguriert haben.

Eine regelmäßige Überprüfung, ein Audit oder eine Zustandsbeurteilung der Sicherheitslage des Unternehmens ist von entscheidender Bedeutung – und sollte alle Tools ans Licht bringen, die bereits vorhanden sind, aber nicht richtig funktionieren.

Die Umfrage wurde im Auftrag von Barracuda von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Befragt wurden IT-Experten von der Kundenbetreuung bis zu höchsten Führungspositionen in Unternehmen mit 100 bis 2.500 Mitarbeitern aus verschiedenen Branchen in den USA und in EMEA- und APAC-Regionen. Die Stichprobe umfasste 129 Unternehmen aus den Bereichen Energie, Öl und Gas sowie Versorger.