Drei Schlussfolgerungen aus dem Angriff auf die Colonial Pipeline

Cyber Security News

Die Abschaltung des Betriebs der Colonial Pipeline erregte die Aufmerksamkeit der Sicherheitsgemeinschaft, der Regierung und der Verbraucher, die plötzlich ihre Gastanks nicht mehr füllen konnten. (Colonial Pipeline)

Vor drei Wochen erregte die Abschaltung des Betriebs der Colonial Pipeline die Aufmerksamkeit der Sicherheitsgemeinschaft, der Regierung und der Verbraucher, die plötzlich ihre Gastanks nicht mehr füllen konnten. Interessanterweise variierte die Interpretation des Vorfalls – und die Bedeutung des Vorfalls -.

Einige sahen dies als einen typischen Ransomware-Angriff, wenn auch auf ein verwundbares Ziel. Andere sahen darin einen Hinweis auf Schwachstellen in der Sicherheitslage der kritischen Infrastruktur des Landes. Und wieder andere waren der Meinung, dass der Vorfall Unzulänglichkeiten im bestehenden Rahmen für öffentlich-private Partnerschaften aufzeigte.

Was waren also die langfristigen Auswirkungen dieses speziellen Angriffs? Hier bieten wir einen Überblick über einige bemerkenswerte Merkmale und Ergebnisse von Colonial Pipeline, basierend auf Interviews und unserer früheren Berichterstattung.

Nein, es handelte sich nicht um eine Infektion der Betriebstechnik der Colonial Pipeline… aber eine Abschaltung war dennoch die Folge.

Wenn eine kritische Infrastrukturorganisation den Betrieb einstellt, wie es bei Colonial Pipeline der Fall war, stellt sich für jeden Sicherheitsexperten instinktiv zuerst die Frage, ob die OT kompromittiert wurde. Wir haben früh gelernt, dass dies in diesem Fall nicht der Fall war. Sergio Caltagirone, Vice President Threat Intel beim Industriesicherheitsunternehmen Dragos, bezeichnete die Situation als “eine OT-Auswirkung oder einen OT-Ausfall, verursacht durch eine IT-Aktivität”. Diese Unterscheidung ist wichtig, um das Risiko zu erkennen. Während der Hack in Oldsmar, Florida, zum Beispiel die Risiken im Zusammenhang mit dem Fernzugriff auf industrielle Steuerungssysteme beleuchtete, legte Colonial Pipeline Schwachstellen in IT-Systemen offen, die in jedem Sektor existieren könnten.

“Nun, wenn es darum geht, dass Leute an einer Tankstelle tanken, könnten sie sich weniger darum kümmern”, wenn die Pumpen leer sind, sagte Caltagirone. “Wir müssen also auch ein wenig pragmatisch sein, wenn es darum geht, Grenzen zu ziehen … da die digitale Transformation die OT übernimmt, rücken OT und IT näher zusammen.” Wenn es darauf ankommt, “ist OT ein Produktionselement. Die Produktion braucht den Geschäftsbetrieb.”

Und das ist es, was Cyberangriffe auf kritische Infrastrukturen auszeichnet, unabhängig davon, ob OT-Systeme betroffen sind oder nicht: Die Art der Dienste, die diese Organisationen bereitstellen, kann oft weitreichende Folgen haben. Das wirft die Frage nach der Rolle der Regierung auf.

“Wenn Staaten sich auf sie als kritische Infrastruktur verlassen, nun, vielleicht haben die Staaten jetzt die Haftung für die Zahlung von Lösegeld, wenn dies geschieht”, sagte Caltagirone. “Es ist eine interessante Welt, weil in [industrial control systems]diejenigen, die das Risiko halten, nicht diejenigen sind, die das Risiko verwalten. Die Pipeline managt das Risiko, aber die Staaten sind diejenigen, die das Risiko tragen. Ihre Bürger sind diejenigen, die das Gas nicht bekommen können, wenn die Pipeline nicht funktioniert. Sie müssen irgendwie zusammenkommen. Und das ist ein regulatorischer Albtraum.”

Alptraum oder nicht, Vorschriften sind entstanden. Die Transportation Security Administration, die mit der Überwachung der Sicherheit von Öl- und Erdgaspipelines beauftragt ist, hat diese Woche neue Anforderungen an die Cybersicherheit von Pipelines eingeführt, die ersten verbindlichen Cybersicherheitspraktiken für Pipelines.

Dieser Fallout lässt einige fragen, ob die Reaktion von Colonial Pipeline eine Heilung war, die möglicherweise schlimmer war als die Krankheit.

Wie von Caltagirone angemerkt, wurde die Colonial Pipeline zu einer Angelegenheit von nationalem Interesse, als sie die Fähigkeit der Menschen beeinträchtigte, Gas zu bekommen – und die Fähigkeit der Tankstellen, zu arbeiten. Das ließ einige die präventive Entscheidung für die Pipeline, den Betrieb einzustellen, in Frage stellen.

“Wir arbeiten viel mit Pipeline-Unternehmen zusammen, um die Reaktion auf einen Vorfall zu planen und verschiedene Szenarien durchzusprechen – und die Entscheidung, eine ganze Pipeline abzuschalten, wird offensichtlich nicht leichtfertig getroffen. Es muss also erhebliche Bedenken gegeben haben. Es hätte eine Entscheidung der Geschäftsleitung sein müssen, die gesamte Pipeline abzuschalten”, sagte John Cusimano, Vice President bei aeCyberSolutions, in den Tagen nach der Abschaltung der Colonial Pipeline. Zumindest, so fügte er hinzu, würde die Entscheidung implizieren, dass “ihre Operationen so eng miteinander gekoppelt sind, dass sie das Gefühl hatten, sie könnten nicht sicher arbeiten.”

Und obwohl sich herausstellte, dass die Ransomware nicht von den IT-Systemen zu den industriellen Steuerungssystemen durchgesickert war und eine gefährliche Situation geschaffen hatte, brauchte die Pipeline ihre IT-Systeme dennoch funktionsfähig, um ein extrem komplexes logistisches Gerüst zu verwalten. “Man kann den Betrieb einer Produktionsanlage oder einer Pipeline buchstäblich nicht fortsetzen, wenn man nicht die Kontinuität des Geschäftsbetriebs hat, um die Logistik zu verwalten”, sagte er. “Es handelte sich also um ein Versagen des Geschäftsbetriebs, aber es zeigt die Anfälligkeit bestimmter industrieller Abläufe wie der Fertigung”, sagte Caltagirone.

Das Szenario unterscheidet sich nicht allzu sehr von den Auswirkungen des NotPetya-Angriffs gegen Norsk Hydro. NotPetya hatte es nicht auf die Systeme abgesehen, die die Stahlproduktion des Unternehmens unterstützen, so Caltagirone. Vielmehr verhinderte der Angriff, dass das Unternehmen mit Sicherheit wusste, wann es Lieferungen erhalten würde, oder dass es Sendungen planen konnte.

Für Echtzeit-Operationen “ist man buchstäblich durch die Physik eingeschränkt, was die Menge an Material angeht, die man vorhalten kann”, sagte er.

Die besondere betriebliche Herausforderung, die Colonial Pipeline dazu veranlasste, den Betrieb einzustellen, war Berichten zufolge die Rechnungsstellung: die Unfähigkeit, bezahlt zu werden. Theoretisch wäre die Rückkehr zu manuellen Prozessen eine weniger dramatische Reaktion, aber Experten sagen, dass dies die Komplexität und die rechtlichen Haftungsaspekte, die mit einem Gehaltsabrechnungssystem für ein großes Unternehmen einhergehen, zu sehr vereinfacht – insbesondere für ein Unternehmen, das mit einer umfangreichen Lieferkette arbeitet.

Die Bedrohung durch Ransomware traf Colonial Pipeline wie ein Blitz aus heiterem Himmel und zwang das Unternehmen möglicherweise zu einer ganzheitlicheren Reaktion.

Die Cybersicherheits-Community ist sich der wachsenden und sich weiterentwickelnden Bedrohung durch Ransomware durchaus bewusst, aber Colonial Pipeline hat dieses Bewusstsein auf die breite Öffentlichkeit ausgeweitet und die Behörden gezwungen, anzuerkennen, dass die Auswirkungen über die finanziellen Aspekte hinausgehen. Letztendlich könnte dies zu einer stärkeren Konzentration und einem größeren Gefühl der Dringlichkeit führen.

Während einer von SC Media moderierten Diskussionsrunde wiesen zwei Regierungsbeamte, einer vom FBI und einer vom Justizministerium, auf die Colonial Pipeline hin, als sie gebeten wurden, das bedeutendste Cyber-Ereignis des letzten Jahres zu wählen. Sean Newell, stellvertretender Leiter der Abteilung für Spionageabwehr und Exportkontrolle im Justizministerium, nannte es einen seltenen Fall, in dem ein lange schwelendes Problem praktisch über Nacht zum Thema des amerikanischen Mainstream-Diskurses wurde.

“Als das passierte, dachte ich: ‘Das ist sehr hochkarätig. Jeder Amerikaner wird die Auswirkungen von Ransomware sehen können, nicht nur die Geschäftsleute, die davon betroffen sein könnten”, so Newell. Sogar innerhalb der Regierung, seit Colonial Pipeline, “sieht man den Präsidenten auf dem Podium, um es aus einer ressortübergreifenden Perspektive zu diskutieren. Dadurch wird das Gespräch von verschiedenen unabhängigen Agenturen und Abteilungen innerhalb der Regierung zu einem Gespräch über die gesamte Regierung geführt.”

Colonial Pipeline hat auch die Diskussion über den Einfluss von Ransomware-Angriffen auf die Cyber-Versicherung angeheizt. Schon vor dem Vorfall ließen einige Versicherer die Deckung für Ransomware-Zahlungen fallen, während andere begannen, die Cybersicherheitsstandards für die Deckung zu verschärfen, um einen Angriff zu verhindern. Und einige sagen voraus, dass die Interessen der Versicherer auf eine Zahlung drängen könnten, um das Ausbluten zu stoppen.

“Das versicherte Unternehmen möchte vielleicht kein Lösegeld zahlen, es mag die Publicity der Lösegeldzahlung nicht, es mag die Politik oder die Moral der Lösegeldzahlung nicht, aber die Versicherungsgesellschaft hat vielleicht eine etwas andere Priorität, und das kann für das gesamte Unternehmen überraschend sein”, sagte Benjamin Wright, ein Anwalt, der am SANS Institute Datensicherheit und Ermittlungsrecht lehrt, auf der RSA Conference.

Sogar das Government Accountability Office, eine Bundesaufsichtsbehörde, beginnt sich mit den Auswirkungen zu befassen und stellt in einem Bericht vom 20. Mai fest, dass die zunehmenden finanziellen Verluste durch jahrelange Zahlungen an Ransomware-Akteure nach einem Datenschutzverstoß den Geldbeutel der Versicherer belasten und sie dazu veranlassen, ihre Deckungsmodelle neu zu bewerten. Der Appetit und die Kapazität der Versicherer für das Underwriting von Cyber-Risiken sind in letzter Zeit zurückgegangen, insbesondere in bestimmten risikoreichen Branchen”, heißt es in dem Bericht.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com