Anzeige

Hackerangriff

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.

Der nachfolgende Beitrag beleuchtet einige zentrale Punkte. 

 

Hype oder Realität

Ungeachtet des Hypes – das Stromnetz wurde NICHT angegriffen. Auch das industrielle Steuerungssystem (ICS), das Colonial Pipeline verwendet, wurde nicht angegriffen. Also kein Albtraumszenario, in dem Hacker Ventile und Schalter aus der Ferne steuern. Fakt aber ist, es hätte passieren können. Fakt ist auch, dass der Hack der Colonial Pipeline in vielen Teilen der USA, insbesondere an der Ostküste, eine Massenpanik auslöste. Viele Menschen fürchteten, der Treibstoff könne ausgehen und die Zapfsäulen auf unbestimmte Zeit leer bleiben.

Aber nachdem der CEO von Colonial Pipeline, Joseph Blount, die harte Entscheidung getroffen hatte, das Lösegeld zu zahlen – in einer Höhe von 4,4 Millionen Dollar – bekam das Unternehmen einen Entschlüsselungsschlüssel, und der Treibstoff floss wieder. Kollektives Aufatmen bei Millionen von US-Bürgern und nicht nur bei ihnen.

 

Was war passiert?

Im Zentrum des Angriffs stand das IT-System von Colonial Pipeline. Die Ransomware wurde wahrscheinlich über bekannte Angriffsvektoren wie Phishing und Spear-Phishing eingeschleust. Aber wie wir schon bei SolarWinds sehen konnten, lässt sich eine Malware auch durch scheinbar routinemäßige Firmware-Updates ins Netzwerk bringen.

Als Colonial Pipeline den Cyberangriff  entdeckte, wurden einige Systeme heruntergefahren, um die Bedrohung zu isolieren, und der Treibstofffluss der Pipeline wurde vorübergehend gestoppt. Später verlautbarte das Unternehmen, bei dem Cyberangriff handele es sich um Ransomware.

Obwohl es keine Beweise gab, dass die Angreifer in die lebenswichtigen Steuerungssysteme eingedrungen sein könnten (da diese tiefere Steuerungsebene anfällig für Cyberangriffe ist), hätte eine Verbreitung der Infektion fatale Folgen gehabt.

Während die IT Geschäftsprozesse wie Abrechnung und Verwaltung steuert, steuern OT-Systeme Ventile, Motoren und andere Maschinen, um Temperatur, Druck und Durchfluss zu regulieren. Colonial verfügt über ein modernes OT-System, das SCADA-Systeme (Supervisory Control and Data Acquisition) zur Steuerung und Überwachung industrieller Steuerungssysteme einsetzt.

Die Entwicklung innerhalb der OT hat bei Produktivität, Verfügbarkeit und Sicherheit große Fortschritte erzielt, aber auch ein Tor für erhöhte Anfälligkeit geöffnet. Funktionen, die früher manuell ausgeführt wurden, werden inzwischen digital gesteuert. Verfügbarkeit hat im Bereich OT höchste Priorität, und so lässt sich auch ein Vorfall, der räumlich weit entfernt passiert, schnell erkennen und beheben. Die Grenzen zwischen IT und OT verschwimmen in konvergenten Netzen. Man sollte also jede Sicherheitsverletzung bei einem IT-System auch in dieser Hinsicht sehr ernst nehmen.

 

Was kann man tun?

Es gibt eine Reihe von Empfehlungen, um einen solchen Cybervorfall zu entschärfen: 

  1. Mehr Aufklärung dazu, wie man verdächtige E-Mails erkennt – bewegen Sie den Mauszeiger über die Domain, vertrauen Sie nur digital signierten Nachrichten, prüfen Sie auf offensichtliche Tippfehler. Klicken Sie nie auf verdächtige Links, ohne diese vorher der IT-Abteilung zu melden.
  2. Legen Sie bei Ihrem Plan zur Wiederaufnahme des Geschäftsbetriebs nach. Die Zeiten, in denen man sich fragen konnte: „Werden wir gehackt werden?“, sind lange vorbei. Wir wissen inzwischen, dass die weitaus meisten Unternehmen gehackt werden. Man sollte also stattdessen lieber fragen: „Wie werden wir reagieren und unsere Systeme wiederherstellen?“
  3. Sichern Sie Ihre Daten in einem separaten Netzwerk.
  4. Erhöhen Sie die Cybersicherheitskontrollen - insbesondere in OT-Systemen.
  5. Nutzen Sie die Flexibilität der PKI-Technologie, indem Sie getrennte private CA-Hierarchien für das Ausstellen von Authentifizierungszertifikaten für Benutzer und Maschinen verwenden, die zur Authentifizierung von Personen und Maschinen genutzt werden. Was Sie erreichen, ist eine Trennung von IT- und OT-Zugriffskontrollregeln. Dies minimiert das Risiko, dass sich eine IT-Sicherheitsverletzung auf die OT-Systeme auswirkt.
  6. Überwachen Sie alle Systeme. Viele Hacker gehen sehr geduldig und kleinschrittig vor, und nutzen oft Phishing-E-Mails, um sich in Systeme einzuschleichen. Gelingt das, sind nicht selten verheerende Sicherheitsverletzungen die Folge. Oder schlimmer noch, es gelingt den Angreifern, die Kontrolle über industrielle Steuerungssysteme zu übernehmen (eine Code-Signing-Lösung kann an dieser Stelle helfen). Führen Sie nur Dateien aus, die durch ein vertrauenswürdiges Code Signing-Zertifikat verifiziert wurden - bei dem der Softwareherausgeber eindeutig durch eine strenge Identitätsprüfung bestätigt wurde.
  7. Sichern Sie Ihren privaten Code Signing-Schlüssel auf einem Trusted Platform Module (TPM) oder einer USB-Hardware.
  8. Informieren Sie sich bei der NAESB und anderen branchenspezifischen Normierungsgremien über Best Practices im Bereich Cybersicherheit. 
Lila Kee, General Manager North and South American Operations
Lila Kee
General Manager North and South American Operations, GlobalSign

Artikel zu diesem Thema

Ransomware Note
Jul 21, 2021

Ransomware und das Lösegeld-Dilemma

Lösegeldzahlungen nach Ransomware-Attacken führen dazu, dass diese Form der…
Hackerangriff
Jul 20, 2021

USA machen China für Cyberattacken verantwortlich

Gestern beschuldigten die USA und ihre Verbündeten die chinesische Regierung für…
Hackerangriff
Jun 08, 2021

Hackerangriff auf Pipeline: Ermittler kommen an erpresste Millionen

Nach dem Hackerangriff auf die größte Benzin-Pipeline in den USA haben Ermittler den…

Weitere Artikel

Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…
Cybercrime

NSA warnt vor Wildcard-Zertifikaten und Alpaca-Angriffen

Die NSA hat Anfang Oktober eine Warnung und Anleitung herausgegeben, wie sich Unternehmen vor Alpaca-Angriffen schützen können, indem sie ihre Wildcard-Zertifikate besser kontrollieren. Die NSA warnt vor dem neuen Application Layer Protocol Content Confusion…
Spam Mails

Was ist Spam und wer profitiert davon?

Mit Spam werden unerwünschte E-Mails bezeichnet, die in gigantischen Mengen über ein elektronisches Nachrichtensystem oder über das World Wide Web versandt werden. Erfahren Sie im folgenden Artikel, was Spam ist, wie es funktioniert, wie Sie Spam erkennen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.