Angriff auf Colonial-Pipeline zeigt, dass viele der Systeme nicht richtig abgesichert werden

Die Serie von schweren Cybersecurity-Angriffen im Jahr 2021 reißt nicht ab. Nur wenige Monate nach einem Angriff auf die US-Wasserversorgung wurde erneut eine kritische Infrastruktur angegriffen, diesmal war die Colonial-Pipeline das Ziel und ist derzeit außer Betrieb. Details des Angriffs sind noch nicht bekannt und werden in der Regel auch nicht veröffentlicht, bis die Situation geklärt ist. Laut internationalen Nachrichtenagenturen wurde die Bande, die hinter dem Angriff steckt, als „Darkside“ identifiziert. Die Art und Weise, wie „Darkside“ operiert zeigt deutlich, dass es sich um eine professionelle kriminelle Organisation handelt, auch wenn sie sich auf ihrer Website als Cyber Robin Hood zu verkaufen versuchen. Wir gehen davon aus, dass die Colonial-Pipeline, das größte US-Pipelinesystem, das die Ölversorgung in Texas mit New York verbindet, über einen unsicheren Fernzugriff angegriffen wurde.

Die Pandemie und die eingeschränkte Mobilität im letzten Jahr waren Treiber für Fernzugriffe von zu Hause aus. Leider sind, wie wir bei anderen Sicherheitsvorfällen in der Betriebstechnologie (OT) gesehen haben, viele der Systeme nicht richtig abgesichert worden. Wenn kritische Infrastruktur betroffen ist und Millionen von Barrel Öl auf Lastwagen transportiert werden müssen, tut das richtig weh. Im Gegensatz zu den kleineren Sicherheitsvorfällen, die wir in letzter Zeit gesehen haben, hat der Ausfall der größten Pipeline der USA erhebliche und lang anhaltende Auswirkungen auf die Wirtschaft.

13.000 mittelgroße Tankwagen pro Tag wären nötig, um die blockierte Pipeline zu kompensieren. Die Folge sind steigende Kraftstoffpreise und eine Verlangsamung des Wirtschaftswachstums. Das zeigt die zunehmende Priorität der Cybersicherheit in OT-Umgebungen. Nicht viele Angriffe auf traditionelle IT-Systeme hätten eine solche Auswirkung auf die Wirtschaft.Während Sicherheitsexperten und Strafverfolgungsbehörden engagiert wurden um bei der Behebung des Problems zu helfen, hat „Darkside“ damit gedroht, die gestohlenen Daten zu veröffentlichen, so dass sie möglicherweise trotzdem zahlen müssen. Die Bereinigung interner Systeme nach einem Ransomware-Angriff ist sehr wichtig, um verbleibende Hintertüren zu vermeiden, die erneut genutzt werden könnten. Ein funktionierendes Backup ist in diesem Fall die letzte Verteidigungslinie, weshalb wir empfehlen, das Backup-System von den Produktionssystemen zu trennen. Aber in letzter Zeit drohen immer mehr Organisationen, die hinter Ransomware-Attacken stecken, ihren Opfern mit der Veröffentlichung von Daten im Internet, so dass diese nicht mehr nur verschlüsselt werden. Jetzt kommt es darauf an, wie dediziert die Daten sind.

Fernzugriffe sind nicht per Definition unsicher, erfordern aber angemessene Sicherheitsmaßnahmen wie Verschlüsselung und Multifaktor-Authentifizierung. Mitarbeiter und externe Betreuer sollten nur Zugriff auf die benötigten Systeme haben, nicht auf das gesamte Netzwerk. ZTNA-Lösungen können helfen, einen kontrollierten, aber einfach zu bedienenden Fernzugriff nur auf bestimmte Systeme zu realisieren. VPNs-Clients adressieren anspruchsvollere Anforderungen, aber die Fernzugriffe müssen ordnungsgemäß authentifiziert und verschlüsselt werden. Unternehmen sollten außerdem eine mehrschichtige Verteidigungsstrategie mit mehreren technischen Hürden implementieren, die Angreifer und Schadsoftware fernhalten. Die Segmentierung zwischen IT- und OT-Systemen und die Mikrosegmentierung innerhalb des OT-Netzwerks ist ein wichtiges Prinzip, um einen Angriff einzudämmen, sobald ein Stück Schadsoftware einen Weg hinein gefunden hat. Und es gibt viele Wege für Angriffe, Fernzugriff ist nur einer davon, E-Mail ist immer noch der beliebteste Angriffsvektor, und es gibt viele andere Möglichkeiten. Denken Sie daran, dass auch Social Engineering, das auf Menschen abzielt, zu einem Problem werden kann. Sicherheit ist immer eine Kombination aus mehreren technischen und organisatorischen Maßnahmen. Für Organisationen in kritischen Infrastrukturen und in der Industrie, wo selbst kurze Ausfälle erheblichen Schaden anrichten können, ist Cybersecurity eine Versicherung, die mit viel weniger Kosten verbunden ist.

Von Stefan Schachinger, Product Manager Network Security bei Barracuda Networks