GlobalSign Blog

17 Okt 2019

Stromnetze im Visier: Der Angriff auf das US-amerikanische Stromnetz

In den letzten Wochen sind mehr Details zu einem Cyberangriff im März bekannt worden. Betroffen war ein Energieversorger im Westen der USA. Der Vorfall hat ein Mal mehr daran erinnert, wie wichtig die ausführliche und zeitnahe Meldung von Vorfällen für die Sicherheit des Stromnetzes ist. Insbesondere angesichts der steigenden Zahl von Cyberangriffen, die gezielt das zunehmend vernetzte Energieversorgungssystem ins Visier nehmen.

Ja, es hat keinen Blackout gegeben, und es konnte nicht festgestellt werden, ob es sich tatsächlich um einen gezielten Angriff handelte. Trotzdem gelang es den Angreifern, die Sicherheitslücken in den Firewalls mehrerer Netzbetreiber im Westen der USA am 5. März zwischen 9:12 Uhr und 18:57 Uhr annähernd 10 Stunden lang auszunutzen. Der Vorfall verursachte periodische "blinde Flecken" im laufenden Betrieb und Unterbrechungen der elektrischen Systeme in Kern County, Kalifornien und Converse County, Wyoming.

Der Angriff im März ist der erste bekannte Vorfall, der eine Störung dieser Art in den Abläufen des Netzbetreibers verursachte. Laut einem Bericht von CNBC vom Mai, bezieht sich der Terminus „Betrieb“ hier nicht auf die Stromlieferungen an den Endverbraucher, sondern auf die Computersysteme, die bei den betroffenen Energieversorgern benutzt wurden. Also solche für Büroanwendungen und betriebliche Software.

Man kann das als (potenziell vermeidbaren) Denial-of-Service-Angriff werten. Der wenigstens teilweise erfolgreiche Angriff im März wirft Fragen auf. Zum Beispiel inwieweit Energieversorger überhaupt ausreichend auf weitaus raffiniertere Angriffe vorbereitet sind. Angriffe, vor denen die US-Regierung bereits gewarnt hat.

Bei dem von der North American Electric Reliability Corp (NERC) gemeldeten Angriff auf ein nicht genanntes Versorgungsunternehmen im Westen der USA sieht es so aus als wäre eine Schwachstelle in der Firewall für den Vorfall mit verantwortlich. Ein besseres Patch-Management hätte vielleicht Abhilfe schaffen können. Dennoch verdient die NERC für die Art und Weise, wie das Unternehmen den Vorfall offenlegte. Und nicht zuletzt auch für den nachfolgend veröffentlichten Bericht mit den Ergebnissen seiner Analyse.

DDoS Angriffe

DDoS-Angriffe (Distributed Denial-of-Service) sind in der aktuellen Cyberlandschaft keine Seltenheit. Sie ähneln anderen Arten von DoS-Angriffen. Das Hauptunterscheidungsmerkmal liegt darin, dass der Traffic, der Server oder Systeme lahmlegt, aus vielen Quellen stammt und nicht aus einer einzigen. Wenn man den Angriff auf mehrere Quellen verteilt erhöht sich das Schadenspotenzial, und gleichzeitig ist ein kontrolliertes Herunterfahren sehr viel problematischer. Zudem ist es deutlich schwieriger, den Angriff einem bestimmten Urheber zweifelsfrei zuzuschreiben.

DDoS-Angriffe funktionieren, wenn verschiedene Quellen miteinander synchronisiert sind, oft über ein Botnetz. Ein Botnetz ist ein kombiniertes Netzwerk von gekaperten Internet-vernetzten Systemen oder Geräten, die als ganze Gruppe ferngesteuert werden. Hacker verwenden sie meist, um Spam- oder Phishing-E-Mails zu versenden oder beim Versuch Bankdaten offenzulegen. Aber Botnetze sind auch ein hilfreicher Bestandteil von DDoS-Angriffen. Hacker bieten bekanntermaßen Botnets sogar zur Miete an. So haben auch Cyberkriminelle mit vergleichsweise geringer Expertise die Möglichkeit weitreichende Schäden zu verursachen.

Und die Angriffe erfüllen noch einen weiteren Zweck. Mit DDoS-Angriffen finden Angreifer häufig heraus, wie sie durch fehlerfreies Timing größtmöglichen Schaden anrichten. Die Ziele, die dank eines ausgefeilten Timings (etwa an Feiertagen oder einfach zu branchengünstigen Zeiten), zum Opfer wurden sind vielfältig: von der HSBC Bank über die Xbox bis hin zur PlayStation.

Noch sind keine DDoS-Angriffe auf kritische Infrastrukturen bekannt geworden. Aber die jüngsten Angriffe haben gezeigt, welches Schadenspotenzial sie haben. Glücklicherweise betraf der Vorfall im Westen der USA keine große Netzleitstelle was die Störung und die Auswirkungen eingrenzte.

Unabhängig davon, ob der Angriff nun erfolgreich war oder nicht, sollte man die Betreiber eines Bulk Electric Systems (Elektrizitätserzeugungs- und Elektrizitätsübertragungssystems) (BES) an ihre neue Verantwortung erinnern dürfen. Nämlich Cybersicherheitsvorfälle zu melden, die den elektronischen Sicherheitsbereich oder das Überwachungssystem einer verantwortlichen Stelle kompromittieren oder zu kompromittieren versuchen.

Die CIP-008-6 fordert die Eindämmung der Risiken für den zuverlässigen Betrieb eines BES hinsichtlich von Cybersicherheitsvorfällen. Mit ihren Anforderungen, wie Versorger auf Sicherheitsvorfälle reagieren müssen, einschließlich der Meldung, schließt die Richtlinie jetzt eine Lücke. Bis zur CIP-008-6 musste ein Betreiber nur tatsächlich kompromittierte oder Störungen der Netzverfügbarkeit melden. Aber das Sicherheitsbewusstsein der Betreiber wächst. Und damit auch die Einsicht, dass fortlaufende Meldungen und Berichte - auch bei erfolglosen Versuchen der Kompromittierung - das BES-Ökosystem letztlich stärken.

Angesichts der wachsenden Zahl und der zunehmenden Komplexität von Cyberangriffen gerade auf Schlüssel-IT-Infrastrukturen müssen Unternehmen ihre Haltung zur Cybersicherheit kontinuierlich weiterentwickeln. In diesem neuen Bedrohungsuniversum kann es jeden treffen.

Weitere Ressourcen:

https://www.globalsign.com/de-de/blog/einmaleins-denial-of-service-angriffe/

https://www.globalsign.com/de-de/blog/wie-sie-einen-iot-botnet-angriff-verhindern/

https://www.globalsign.com/de-de/blog/cybersicherheitstipps-fuer-energiesektor/

https://www.globalsign.com/en/blog/how-to-prevent-a-ddos-attack-on-a-cloud-server/

https://www.globalsign.com/en/blog/denial-of-service-in-the-iot/

von Lila Kee

Artikel teilen