Kommentar

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht…

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.

Der nachfolgende Beitrag beleuchtet einige zentrale Punkte. 

Anzeige

 

Hype oder Realität

Ungeachtet des Hypes – das Stromnetz wurde NICHT angegriffen. Auch das industrielle Steuerungssystem (ICS), das Colonial Pipeline verwendet, wurde nicht angegriffen. Also kein Albtraumszenario, in dem Hacker Ventile und Schalter aus der Ferne steuern. Fakt aber ist, es hätte passieren können. Fakt ist auch, dass der Hack der Colonial Pipeline in vielen Teilen der USA, insbesondere an der Ostküste, eine Massenpanik auslöste. Viele Menschen fürchteten, der Treibstoff könne ausgehen und die Zapfsäulen auf unbestimmte Zeit leer bleiben.

Aber nachdem der CEO von Colonial Pipeline, Joseph Blount, die harte Entscheidung getroffen hatte, das Lösegeld zu zahlen – in einer Höhe von 4,4 Millionen Dollar – bekam das Unternehmen einen Entschlüsselungsschlüssel, und der Treibstoff floss wieder. Kollektives Aufatmen bei Millionen von US-Bürgern und nicht nur bei ihnen.

 

Was war passiert?

Im Zentrum des Angriffs stand das IT-System von Colonial Pipeline. Die Ransomware wurde wahrscheinlich über bekannte Angriffsvektoren wie Phishing und Spear-Phishing eingeschleust. Aber wie wir schon bei SolarWinds sehen konnten, lässt sich eine Malware auch durch scheinbar routinemäßige Firmware-Updates ins Netzwerk bringen.

Als Colonial Pipeline den Cyberangriff  entdeckte, wurden einige Systeme heruntergefahren, um die Bedrohung zu isolieren, und der Treibstofffluss der Pipeline wurde vorübergehend gestoppt. Später verlautbarte das Unternehmen, bei dem Cyberangriff handele es sich um Ransomware.

Obwohl es keine Beweise gab, dass die Angreifer in die lebenswichtigen Steuerungssysteme eingedrungen sein könnten (da diese tiefere Steuerungsebene anfällig für Cyberangriffe ist), hätte eine Verbreitung der Infektion fatale Folgen gehabt.

Während die IT Geschäftsprozesse wie Abrechnung und Verwaltung steuert, steuern OT-Systeme Ventile, Motoren und andere Maschinen, um Temperatur, Druck und Durchfluss zu regulieren. Colonial verfügt über ein modernes OT-System, das SCADA-Systeme (Supervisory Control and Data Acquisition) zur Steuerung und Überwachung industrieller Steuerungssysteme einsetzt.

Die Entwicklung innerhalb der OT hat bei Produktivität, Verfügbarkeit und Sicherheit große Fortschritte erzielt, aber auch ein Tor für erhöhte Anfälligkeit geöffnet. Funktionen, die früher manuell ausgeführt wurden, werden inzwischen digital gesteuert. Verfügbarkeit hat im Bereich OT höchste Priorität, und so lässt sich auch ein Vorfall, der räumlich weit entfernt passiert, schnell erkennen und beheben. Die Grenzen zwischen IT und OT verschwimmen in konvergenten Netzen. Man sollte also jede Sicherheitsverletzung bei einem IT-System auch in dieser Hinsicht sehr ernst nehmen.

 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was kann man tun?

Es gibt eine Reihe von Empfehlungen, um einen solchen Cybervorfall zu entschärfen: 

  1. Mehr Aufklärung dazu, wie man verdächtige E-Mails erkennt – bewegen Sie den Mauszeiger über die Domain, vertrauen Sie nur digital signierten Nachrichten, prüfen Sie auf offensichtliche Tippfehler. Klicken Sie nie auf verdächtige Links, ohne diese vorher der IT-Abteilung zu melden.
  2. Legen Sie bei Ihrem Plan zur Wiederaufnahme des Geschäftsbetriebs nach. Die Zeiten, in denen man sich fragen konnte: „Werden wir gehackt werden?“, sind lange vorbei. Wir wissen inzwischen, dass die weitaus meisten Unternehmen gehackt werden. Man sollte also stattdessen lieber fragen: „Wie werden wir reagieren und unsere Systeme wiederherstellen?“
  3. Sichern Sie Ihre Daten in einem separaten Netzwerk.
  4. Erhöhen Sie die Cybersicherheitskontrollen – insbesondere in OT-Systemen.
  5. Nutzen Sie die Flexibilität der PKI-Technologie, indem Sie getrennte private CA-Hierarchien für das Ausstellen von Authentifizierungszertifikaten für Benutzer und Maschinen verwenden, die zur Authentifizierung von Personen und Maschinen genutzt werden. Was Sie erreichen, ist eine Trennung von IT- und OT-Zugriffskontrollregeln. Dies minimiert das Risiko, dass sich eine IT-Sicherheitsverletzung auf die OT-Systeme auswirkt.
  6. Überwachen Sie alle Systeme. Viele Hacker gehen sehr geduldig und kleinschrittig vor, und nutzen oft Phishing-E-Mails, um sich in Systeme einzuschleichen. Gelingt das, sind nicht selten verheerende Sicherheitsverletzungen die Folge. Oder schlimmer noch, es gelingt den Angreifern, die Kontrolle über industrielle Steuerungssysteme zu übernehmen (eine Code-Signing-Lösung kann an dieser Stelle helfen). Führen Sie nur Dateien aus, die durch ein vertrauenswürdiges Code Signing-Zertifikat verifiziert wurden – bei dem der Softwareherausgeber eindeutig durch eine strenge Identitätsprüfung bestätigt wurde.
  7. Sichern Sie Ihren privaten Code Signing-Schlüssel auf einem Trusted Platform Module (TPM) oder einer USB-Hardware.
  8. Informieren Sie sich bei der NAESB und anderen branchenspezifischen Normierungsgremien über Best Practices im Bereich Cybersicherheit. 

Kee Lila

GlobalSign -

General Manager North and South American Operations

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.