Hacker haben Infrastruktur in Deutschland im Visier

Bereits Anfang Mai des vergangenen Jahres verschaffen sich Internetkriminelle Zugang zur Steuerungs-Software des US-Unternehmens Colonial Pipeline. Eine der größten Versorgungsleitungen der USA wurde dadurch stillgelegt und die Hacker wollten erst gegen Zahlung eines üppigen Lösegelds den Zugang wieder herstellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt beständig, dass solche Szenarien auch in Deutschland zunehmen werden.

Was genau war passiert? Colonial Pipeline betreibt die rund 8.000 Kilometer lange Pipeline, welche die am Golf von Mexiko gelegenen Raffinerien mit dem Süden und dem Osten der USA verbindet. Das Unternehmen wurde Opfer eines Hackerangriffs mit Erpressersoftware, sogenannter Ransomware. Der Angriff führte dazu, dass das Unternehmen mit Sitz in Georgia einen Teil seiner Systeme offline nahm, „um die Bedrohung einzudämmen“. Außerdem sollen knapp hundert Gigabyte an internen Daten abgefischt worden sein, berichtet der Spiegel und beruft sich auf Angaben eines Informanten aus dem Unternehmen. Diesem zufolge sind die eigentlichen Steuersysteme wie bei den meisten Industrieanlagen vom Rest des Firmen-Netzes getrennt. Das Unternehmen habe jedoch aus Vorsicht auch sein Rohrleitungsnetz außer Betrieb genommen. Die Folge: Große Mengen Öl und Benzin mussten an der amerikanischen Ostküste bis auf Weiteres wieder mit Tankwagen über die Straße transportiert werden.

BSI-Präsident warnt vor Cyberangriffen auf Versorger

„Cyberangriffe auf kritische Infrastrukturen sind ein ernstzunehmendes realistisches Szenario auch in Deutschland“, warnt Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insbesondere die Entwicklung der Angriffe mit Ransomware schreite rasant voran.
Eine entsprechende Attacke legte im vergangenen Herbst tagelang die Universitätsklinik Düsseldorf lahm. Die Düsseldorfer Klinik war ins Visier einer vermutlich russischen Hackergruppe geraten, welche die Schadsoftware DoppelPaymer in die IT-Systeme eingeschleust hatte. Bei der US-Pipeline soll nun dem Vernehmen nach das Schadprogramm „Darkside“ am Werk sein.

Infrastrukturen haben digitale Schwächen und lohnen sich

Zum Messen, Steuern und Regeln von Abläufen, beispielsweise zur Automation von Prozessen und zur Überwachung von großen Systemen, kommen in vielen Bereichen der Industrie sogenannte Industrial Control Systems (ICS; deutsch: industrielle Steuerungssysteme, Automatisierungssysteme) zum Einsatz. Diese finden häufig Verwendung in der produzierenden Industrie und in Branchen, die zu den kritischen Infrastrukturen – sogenannten KRITIS – gezählt werden, wie Energie, Wasser, Ernährung oder Transport und Verkehr. „Gerade Unternehmen der sogenannten Kritis-Branchen – ob Gesundheit, Kommunikation oder eben Energieversorgung – stehen ständig im Visier mehr oder minder ausgefeilter Cyberattacken“, sagt eine Expertin aus der deutschen Cyberabwehr.
Entgegen der klassischen IT haben ICS abweichende Anforderungen an die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit, erklärt die Expertin. Dies äußere sich beispielsweise in längeren Betriebszeiten und seltenen Wartungsfenstern. Zudem seien insbesondere die Echtzeitanforderungen zu nennen, die für die Steuerung häufig unerlässlich sind. Etablierte Schutzmaßnahmen aus dem Büroumfeld sind dabei nur bedingt auf ICS übertragbar, erklärt das BSI auf seiner Internetseite. Gemeint sind damit vor allem Schutzmechanismen wie man sie auch vom heimischen Computer kennt.

Deutscher Mittelstand ist kaum vor Cyberangriffen geschützt

Auch der IT-Sicherheitsexperte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure betont gegenüber der Wirtschaftswoche einen der naheliegendsten Gründe für Attacken auf Versorger: „Große Ziele wie etwa Ölpipelines sind für Angreifer lukrativer als Mittelstandsunternehmen“. Dennoch geraten auch deutsche Mittelständler immer öfter ins Visier von Internetkriminellen und sind laut einer Studie kaum darauf vorbereitet.
Im Rahmen einer Studie des heimischen Versicherungsverbands GDV und mit Wissen der betroffenen Mittelständler hatten der Sicherheitsberater Michael Wiesner und seine Testhacker im vergangenen Jahr Cyber-Angriffe auf Unternehmen durchgeführt. Der Befund der Tests ist vernichtend. Mehr als drei von vier Unternehmen im industriellen Mittelstand Deutschlands glauben, gegen Cyberangriffe gut geschützt zu sein, aber die wenigsten sind es. „Wir konnten uns Administratorrechte geben und waren Gott im Firmennetzwerk“, sagt Wiesner. Vor allem über veraltete Programme und Systeme habe er sich binnen zehn Minuten kompletten Zugriff auf mehr als die Hälfte aller von ihm und seinen Kollegen angegriffenen Firmennetze verschaffen können, gesteht der sogenannte „weiße“ Hacker. Über 500 deutsche Mittelständler hat der Verband zum Thema Cybersicherheit befragt, anschließend Experten im Darknet nach dort käuflichen Zugangsdaten für Firmennetze suchen lassen und am Ende bei 40 Freiwilligen durch Wiesner die Probe aufs Exempel gemacht. Bei 23 dieser 40 intensiv geprüften Firmen zwischen zehn und 850 Beschäftigten sind die Hacker rasch in deren IT-Herz vorgedrungen (DBU berichtete).

Betroffene Unternehmen sollten sich Hilfe holen

Damit Unternehmen auf Hacker-Angriffe besser vorbereitet sind, hat das BSI ein Security Kompendium für die IT-Sicherheit in ICS veröffentlicht. Darüber hinaus gibt das Bundesamt konkrete Hilfestellungen für Firmennetze und ist erster Ansprechpartner bei einem erfolgten Angriff. Alle Experten empfehlen grundsätzlich bei einer versuchten, aber vor allem erfolgreichen Geiselnahme durch Hacker sich an offizielle Stellen zu wenden, so wie es das US-amerikanische Unternehmen Colonial Pipelines getan hat. Durch die öffentliche Aufmerksamkeit sahen sich in diesem Fall sogar die Hacker genötigt, sich zu äußern. In einer ungewöhnlichen Mitteilung erklärten sie zuletzt ihr Bedauern. „Wir sind unpolitisch“, heißt es in dem Statement. „Unser Ziel ist es, Geld zu verdienen, nicht der Gesellschaft Probleme zu bereiten.“ Künftig werde die Gruppe größere Zurückhaltung üben und vorab prüfen, welche Ziele ihre Partner mit Ransomware ins Visier nehmen.

Foto: Wikipedia/ Frank Schwichtenberg