GlobalSign Blog

Beim Hack der Colonial Pipeline wurde das Stromnetz nicht angegriffen - aber es stand sicher kurz davor

Beim Hack der Colonial Pipeline wurde das Stromnetz nicht angegriffen - aber es stand sicher kurz davor

Als Head of Operations bei GlobalSign für Nord- und Südamerika habe ich immer mit einer Vielzahl von Unternehmen zu tun, von B2B über Einzelhandel bis hin zu Konsumgütern. Aber wie es aussieht, ist das Segment, auf das ich mich die meiste Zeit des letzten Jahrzehnts konzentriert habe, der Energiemarkt, insbesondere die Arbeit mit dem North American Energy Standards Board (NAESB). Dabei hatte ich das Glück, den Elektrizitätsmarkt und die gesamte Energiebranche kennenzulernen.

Als die Nachricht über den Colonial Pipeline Hack die Runde machte, ist mir das natürlich nicht entgangen (der Vorfall erregte natürlich weltweite Aufmerksamkeit). Dies vorausgeschickt, möchte ich einige sehr wichtige Punkte ansprechen.

Erstens war der Colonial Pipeline-Hack natürlich bemerkenswert, weil es der bisher bedeutendste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.

Hype oder Realität

Ungeachtet des Hypes darüber, dass das Stromnetz angegriffen wurde, war dies einfach nicht der Fall. Das Stromnetz wurde NICHT angegriffen. Auch das industrielle Steuerungssystem (ICS), das Colonial Pipeline nutzt, wurde nicht angegriffen.

Nein, dies war kein Albtraumszenario, in dem Hacker Ventile und Schalter aus der Ferne steuerten.  Aber die Wahrheit ist, dass es hätte passieren können.

Wahr ist auch, dass der Hack der Colonial Pipeline in vielen Teilen der Nation, insbesondere an der Ostküste, eine Massenpanik auslöste, weil man befürchtete, dass der Treibstoff ausgehen würde und die Zapfsäulen der Tankstellen auf unbestimmte Zeit leer sein würden. Die Angst vor dem Unbekannten ist groß.

Aber nachdem der CEO von Colonial Pipeline, Joseph Blount, die sehr harte Entscheidung getroffen hatte, das Lösegeld zu zahlen – in Höhe von 4,4 Millionen $ – erhielt das Unternehmen einen Entschlüsselungsschlüssel, und der Treibstoff floss wieder, sodass Millionen von US-Bürgern kollektiv aufatmen konnten. Bald darauf begannen sich die langen Schlangen an den Tankstellen zu lichten.

Was war passiert?

Angegriffen wurde das IT-System von Colonial Pipeline. Die Ransomware wurde wahrscheinlich über bekannte Angriffsvektoren wie Phishing und Spear-Phishing eingeschleust. Aber wie wir bei SolarWinds gesehen haben, kann Malware auch durch scheinbar routinemäßige Firmware-Updates eingeschleust werden.

Als Colonial Pipeline entdeckte, dass es von einem Cyberangriff betroffen war, wurden einige Systeme heruntergefahren, um die Bedrohung zu isolieren, und der Treibstofffluss in der Pipeline wurde vorübergehend gestoppt. Später gab das Unternehmen bekannt, dass es sich bei dem Cyberangriff um Ransomware handelte.

Obwohl es keine Beweise dafür gab, dass die Angreifer in die lebenswichtigen Steuerungssysteme eingedrungen sind (da diese tiefere Steuerungsebene anfällig für Cyberangriffe ist), hätte eine Verbreitung der Infektion fatale Folgen gehabt.

Während die IT Geschäftsprozesse wie Abrechnung und Verwaltung steuert, steuern OT-Systeme Ventile, Motoren und andere Maschinen, um Temperatur, Druck und Durchfluss zu regulieren.

Colonial verfügt über ein modernes OT-System, das SCADA-Systeme (Supervisory Control and Data Acquisition) zur Steuerung und Überwachung industrieller Steuerungssysteme einsetzt.

Fortschritte in der OT haben enorme Produktivitäts-, Zuverlässigkeits- und Sicherheitsvorteile geschaffen, aber auch das Tor zu erhöhter Anfälligkeit geöffnet. Diese früher "von Menschenhand" bedienten Funktionen werden heute von Computern ausgeführt, so dass selbst der entfernteste Vorfall schnell erkannt und behoben werden kann.

Die Grenzen zwischen IT und OT verschwimmen, so dass man jede Sicherheitsverletzung an einem IT-System äußerst ernst nehmen muss, auch wenn das bei Colonial offenbar nicht der Fall war.

Was kann getan werden?

Heutzutage muss jeder eine Rolle dabei spielen, alles Mögliche zu tun, um einen Cybervorfall zu entschärfen. Nachfolgend finden Sie einige wichtige Tipps, die Sie beachten sollten.   

1. Mehr Aufklärung über das Erkennen verdächtiger E-Mails  – bewegen Sie den Mauszeiger über die Domain, vertrauen Sie nur digital signierten Nachrichten, prüfen Sie auf offensichtliche Tippfehler. Klicken Sie nicht auf verdächtige Links, ohne diese vorher Ihrer IT-Abteilung zu melden.

2. Legen Sie bei Ihrem  Plan zur Wiederaufnahme des Geschäftsbetriebs nach. Die Zeiten, in der wir uns fragten: „Werden wir gehackt werden?“, sind längst vorbei. Denn jetzt wissen wir, dass die meisten Unternehmen gehackt werden. Die bessere Frage lautet: „Wie werden wir reagieren und unsere Systeme wiederherstellen?“

3. Sichern Sie Ihre Daten in einem separaten Netzwerk.

4. Erhöhen Sie die Cybersicherheitskontrollen  – insbesondere in OT-Systemen.

5. Nutzen Sie die Flexibilität der PKI-Technologie, indem Sie getrennte private CA-Hierarchien für das Ausstellen von Authentifizierungszertifikaten für Benutzer und Maschinen verwenden, die zur Authentifizierung von Personen und Maschinen verwendet werden. Was Sie wollen, ist eine Trennung von IT- und OT-Zugriffskontrollregeln, um das Risiko zu minimieren, dass sich eine IT-Sicherheitsverletzung auf Ihre OT-Systeme auswirkt.

6. Überwachen Sie Ihre Systeme. Viele Hacker sind geduldig und gehen zahlreiche Schritte, oft mit Phishing-E-Mails, um sich in Systeme einzuschleichen, die - wenn sie penetriert wurden - verheerende Folgen in Form von Sicherheitsverletzungen und, schlimmer noch, der Kontrolle über industrielle Steuerungen haben könnten (die Verwendung einer Code-Signing-Lösung kann helfen). Führen Sie außerdem keine ausführbaren Dateien aus, die nicht durch ein vertrauenswürdiges Code Signing-Zertifikat verifiziert wurden, bei dem der Softwareherausgeber eindeutig durch eine strenge Identitätsprüfung verifiziert wurde.

7. Sichern Sie Ihren privaten Code Signing-Schlüssel auf einem Trusted Platform Module (TPM) oder einer USB-Hardware.

8. Informieren Sie sich bei NAESB und anderen branchenspezifischen Normungsorganisationen über Best Practices im Bereich Cybersicherheit.

Möchten Sie mehr erfahren? Schauen Sie sich unsere Fragen und Antworten mit dem Energieexperten Richard Brooks an und besuchen Sie unsere Webseite, um herauszufinden, wie GlobalSign mit NAESB zusammenarbeitet, um konforme digitale Zertifikate für eine Vielzahl von Anwendungsfällen bereitzustellen, darunter sichere Authentifizierung für Online-Dienste, Zugriff auf das NAESB Electronic Industry Registry (EIR), digitales Signieren von E-Mails und Dokumenten und Verschlüsselung der Serverkommunikation.

Share this Post