Cyberattacke auf Colonial Pipeline – das ist die Bilanz nach einem Jahr

Im Mai 2021 führte eine Ransomware-Attacke auf den Betreiber der größten US-Benzin-Pipeline Colonial Pipeline zu Engpässen in der Treibstoffversorgung der USA. Die Hacker waren damals in das Computer-Netzwerk des Pipeline-Betreibers eingedrungen und erpressten ein Lösegeld von 4,4 Millionen Dollar.

"Es ist kaum zu glauben, dass es erst ein Jahr her ist, dass Colonial Pipeline im Osten der USA angegriffen wurde. Damals bezeichneten wir den Angriff als Warnung vor einer 'offenen Jagd auf Infrastrukturanbieter'", kommentiert Sean Deuby, Director of Services bei Semperis.

Colonial-Pipeline-Fall: Reaktionen und Ausblick

Wie der Security-Experte betont, werde sich der Trend "Erpresserangriffe auf kritische Infrastrukturen" nicht abschwächen. Deuby verweist auf die jüngsten Berichte des FBI Internet Crime Complaint Center. Demnach wurden im vergangenen Jahr 649 US-Infrastruktureinrichtungen mit Ransomware angegriffen. Auch in Deutschland gibt und gab es zahlreiche Ransomware-Opfer. Laut einer Umfrage der Sicherheitsfirma Sophos waren 2021 zwei von drei deutschen Unternehmen von solchen Angriffen betroffen.

Vor dem Hintergrund der Attacke auf Colonial Pipeline erklärte Arne Schönbohm, Chef des Bundesamts für Sicherheit in der Informationstechnik damals gegenüber dem Nachrichtenmagazin "Der Spiegel", dass Cyberangriffe auf kritische Infrastrukturen "ein ernst zu nehmendes realistisches Szenario auch in Deutschland" seien. Der BSI-Chef betonte: "Insbesondere die Entwicklung der Angriffe mit Ransomware schreitet rasant voran". Zudem warnte die deutsche Sicherheitsbehörde Anfang März dieses Jahres, dass die Bundesrepublik im Zusammenhang mit der russischen Invasion in die Ukraine ebenfalls zum Ziel für politisch motivierte Cyberattacken werden könnte.

Als Reaktion auf den Pipeline-Angriff beschloss die US-Regierung den Schutz vor Hackern zu verbessern. US-Präsident Joe Biden unterzeichnete dazu vor einem Jahr eine entsprechende Verfügung. Damit sollten unter anderem IT-Dienstleister verpflichtet werden, Informationen über Netzwerkangriffe mit den Behörden zu teilen. Oren Elimelech, CISO bei Atera sieht in diesem Vorfall einen Wendepunkt in Sachen Cybersicherheit: "Seit dem Pipeline-Angriff gelang es den USA in Zusammenarbeit mit Russland einige Täter festzunehmen. Die Verhaftungen folgten auf monatelange Verhandlungen zwischen der Biden-Regierung und russischen Beamten über den Ransomware-Angriff und andere Cybersicherheitsbedenken."

Hank Schless, Senior Manager Security Solutions bei Lookout weist darauf hin, dass Ransomware-Gruppen mittlerweile wie Unternehmen agieren. "Es gibt vermehrt Hinweise darauf, dass organisierte Gruppen skalierbare Kampagnen durchführen, die ihre Erfolgsquote erhöhen und es ihnen ermöglichen, wieder in neue Tools und Verfahren zu investieren", so der Experte. "Unabhängig davon, wo oder wie wir arbeiten, nutzen diese Gruppen weiterhin verletzliche Architekturen, um Geld von den Opfern zu erpressen." Die Remote-Umgebung sei besonders anfällig für Ransomware, da sich Sichtbarkeit und Kontrolle geändert hätten, mobile Geräte Angreifern das Phishing von Anmeldeinformationen erleichtern und VPNs laterale Bewegungen ermöglichen.

Tipps zum Schutz vor Ransomware

Der Sicherheitsspezialist empfiehlt deshalb, das Risiko kontinuierlich zu bewerten. "Der erste Schritt zur Eindämmung von Ransomware ist die Sichtbarkeit der Risikostufe von Geräten und Benutzern, um sicherzustellen, dass sie nicht gefährdet sind. Indem Sie das Risikoniveau der Mobilgeräte Ihrer Mitarbeiter kontinuierlich bewerten, minimieren Sie die Möglichkeit, dass sie durch einen Phishing-Angriff kompromittiert werden. Um sicherzustellen, dass die Konten Ihrer Mitarbeiter nicht kompromittiert werden, müssen Sie auch ihr Verhalten überwachen, damit Sie böswillige Aktivitäten erkennen können."

Darüber hinaus müssten Unternehmen granulare und dynamische Zugriffskontrollen implementieren, so der Lookout-Experte. "Sie müssen sich vom Alles-oder-Nichts-Ansatz der VPNs verabschieden. Anstatt unbegrenzten Zugriff zu gewähren, gewähren Sie nur Zugriff auf die spezifischen Apps und Daten, die der jeweilige Mitarbeiter benötigt. Wenn ein Angreifer dann ein Gerät oder Konto kompromittiert, ist seine Bewegung daher eingeschränkt."

Außerdem sollten Unternehmen ihre On-Premise-Anwendungen modernisieren. "Viele Organisationen haben immer noch Software, die in Rechenzentren gehostet wird und über das Internet zugänglich ist, warnt Schless. "Um sicherzustellen, dass Ihre Anwendungen sicher sind, aktualisieren Sie sie mit Cloud-Zugriffsrichtlinien." Dies ermögliche nicht nur granulare Zugriffskontrollen, sondern erweitere auch die starken Authentifizierungssicherheitsvorteile von SaaS-Anwendungen. „So wird sichergestellt, dass keine unbefugten Benutzer Ihre Infrastruktur entdecken und darauf zugreifen können.“

Semperis-Experte Sean Deuby, rät Behörden, Transport-, Energie- und Versorgungsunternehmen sofort Schritte zum Schutz des Active Directory umzusetzen. "Ein guter Anfang ist eine Schwachstellenanalyse, die nach Indikatoren für eine Gefährdung und Kompromittierung speziell von AD und Azure AD sucht."