Es hat dieses Jahr einen weiteren Cyber-Angriff auf den US-amerikanischen Energiesektor gegeben, einen der wirtschaftlich und für das Gemeinwesen kritischsten Infrastrukturbereiche der Vereinigten Staaten. Der Mitte Februar erfolgte Angriff veranlasste die Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security zu einer ungewöhnlichen Enthüllung über den Angriff auf einen Erdgaspipeline-Betreiber.
In diesem Fall sollte die Ransomware-Attacke vermutlich dazu dienen Gelder abzuziehen. Obwohl nicht klar ist, woher die Malware stammt, wissen wir doch, dass sie einen der häufigsten Angriffsvektoren überhaupt genutzt hat: eine Phishing-E-Mail mit einem böswilligen Link. Obwohl der Virus offenbar keinen substanziellen Schaden anrichtete, stellte der Erdgasbetreiber vorsichtshalber den Betrieb für zwei Tage ein, um den Netzwerkzustand zu überprüfen.
Der Vorfall ist ein erstaunliches Beispiel dafür, dass, obwohl die Cyberabwehr schwere Schäden verhindern konnte, Angriffe oft zu kostspieligen Störfällen führen. Tatsächlich blieb die gesamte betroffene Pipeline während dieser zwei Tage abgeschaltet. Solche Angriffe sind ganz und gar nicht ungewöhnlich, insbesondere bei staatlich geförderten Akteuren, und wenn es darum geht von einem Angriff wirtschaftlich zu profitieren.
Industrielle Steuerungssysteme stützen sich auf Kamerasysteme, Türen und andere physische Zugangssysteme sowie auf traditionelle IT-Netzwerke. Aber es werden immer mehr Geräte in die Netzwerke integriert. Betreiber von industriellen Steuerungssystemen sehen sich gezwungen ständig den Überblick zu behalten, denn aktuelle Bedrohungen sind in der Lage kritische Prozesse in fast beliebiger Zahl abzuschalten.
Institutionen wie die CISA demonstrieren wie und an welchen Stellen Energieversorger für ähnlich gelagerte Cyberangriffe anfällig sind, geben aber auch Erfahrungswerte weiter und bieten Unternehmen, die zu den kritischen Infrastrukturen zählen, Unterstützung. Neben physischer Sicherheit zählt für Netzbetreiber vor allem Zuverlässigkeit. Wartungsfenster werden durch sorgfältig geplante und effiziente Abschaltungen minimiert. Jede unerwartete Abschaltung kommt einer echten wirtschaftlichen und betrieblichen Beeinträchtigung gleich und hat Folgen:
- Nicht eingehaltene Dienstleistungsvereinbarungen
- Umsatzverlust
- Mehrkosten für Reparaturen und Updates
Dieser Angriffl fällt in eine Zeit, in der Energieversorger es bereits mit staatlich geförderten Cyberangriffen zu tun haben und nun zunehmend sowohl ausländische als auch einheimische Bedrohungsakteure abwehren müssen. Die sind ausreichend motiviert, entweder geistiges Eigentum zu stehlen, Lösegeld für verschlüsselte Daten zu fordern oder die Kontrolle über Schalter, Geräte und andere physische Komponenten zu übernehmen und dadurch Produktivitätsausfälle oder physischen Schaden zu verursachen. Um diese Art von ausländischen und inländischen Bedrohungen, deren Motivation eher finanzieller Natur ist, zu beschreiben, ist der neue Begriff "Öko-Terrorismus" geprägt worden.
Es gibt allerdings trotzdem einige Möglichkeiten, wie Gas- und Stromversorger die Gefahren durch Ransomware-basierte Angriffe senken können:
1. Melden Sie Cyberangriffe an die zuständigen Organisationen, die ihrerseits über unmittelbare Bedrohungen und Strategien zur Risikominderung informieren.
2. Schulen Sie Mitarbeiter zu den gängigsten Methoden der Malware-Verbreitung: Phishing- und Spear-Phishing-E-Mails. Führungskräfte eines Unternehmens sollten die folgenden Voraussetzungen schaffen:
- Benutzer kontinuierlich darin schulen, die Domain des Absenders zu überprüfen, indem sie mit der Maus über die Absenderadresse fahren; ebenso wie man alle Links und Anhänge prüfen sollte, ehe man sie anklickt. IT-Teams dazu veranlassen, alles sorgfältig zu inspizieren, das verdächtig wirkt.
- Vollständig gepatchte Scans zur Erkennung von Viren und Malware durchführen
- Partner und externe Benutzer auffordern, ihre E-Mails mit einem vertrauenswürdigen S/MIME-Zertifikat digital zu signieren
3. Entwickeln Sie einen stets aktuell gehaltenen und vollständig getesteten Plan zur Wiederaufnahme der Geschäftstätigkeit, damit Sie die Auswirkungen selbst im schlimmsten Fall eindämmen können.
4. Sichern Sie alle Daten und exponieren Sie Ihr Netzwerk nicht für Ransomware-Attacken.
5. Alle Personen, Computer und Geräte, die mit dem Netzwerk in Berührung kommen, sollten authentifiziert werden; automatisierte PKI-Lösungen sind eine skalierbare und einfach zu verwaltende Sicherheitsmaßnahme.
6. Investieren Sie in Infrastruktursicherheit, die Bedrohungslandschaft dehnt sich weiter aus, gerade, weil Smart-Grid-Komponenten zunehmend an Netzwerke angeschlossen werden.
IT-Abteilung und CISOs in der Energieversorgung sind besonders gefordert. Was einen holistischen Ansatz für die Cybersicherheit anbelangt stehen wir erst am Anfang.
Weitere Informationen finden Sie auf unserer Website.
