Auch mehrere Tage nach dem erfolgreichen Hackerangriff auf den US-amerikanischen Pipelinebetreiber Colonial Pipeline (CP) ist unklar, wann das Unternehmen seine wichtige Versorgungsleitung wieder in Betrieb nehmen kann. Am Freitag vergangener Woche, 7. Mai, hatte das Unternehmen die Pipeline abschalten müssen, nachdem eine Cyberattacke mit Verschlüsselungssoftware die IT-Systeme von CP getroffen hatte und offenbar erhebliche Teile der Rechner unbrauchbar gemacht hatte.
Die mehr als 8800 Kilometer lange Pipeline verbindet am Golf von Mexiko gelegene Raffinerien mit dem Süden und dem Osten der USA. Rund 45 Prozent des an der Ostküste transportieren Kraftstoffs werden über die Leitungen des Unternehmens gepumpt. Gelingt es nicht bald, das Leitungsnetz wieder in Betriebs zu nehmen, könnten an der Ostküste Versorgungsengpässe an Tankstellen und kleineren Flughäfen drohen.
Gleichzeitig wächst die Sorge, dass ähnliche Szenarien auch in Deutschland drohen, wo vor allem vier große Versorgungsstränge für Rohöl und Rohölprodukte sowie mehrere große Gaspipelines das Land durchziehen. „Cyberangriffe auf kritische Infrastrukturen sind ein ernstzunehmendes realistisches Szenario auch in Deutschland“, warnt Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insbesondere die Entwicklung der Angriffe mit Ransomware schreite rasant voran.
Eine entsprechende Attacke legte im vergangenen Herbst unter anderem tagelang die Universitätsklinik Düsseldorf lahm. Die Klinik war ins Visier einer vermutlich russischen Hackergruppe geraten war, welche die Schadsoftware DoppelPaymer in die IT-Systeme eingeschleust hatte. Bei der US-Pipeline soll dem Vernehmen nach nun das Schadprogramm Darkside am Werk sein. Der spektakuläre Angriff belegt, dass die der erfolgreiche Schlag zahlreicher internationaler Sicherheitsbehörden gegen die Hackerplattform Emotet im Januar das kriminelle Geschäft nur kurzzeitig erschwert hat.
Infrastrukturkonzerne besonders lohnend für Hacker
„Gerade Unternehmen der sogenannten Kritis-Branchen – ob Gesundheit, Kommunikation oder eben Energieversorgung – stehen ständig im Visier mehr oder minder ausgefeilter Cyberattacken“, sagt eine Expertin aus der deutschen Cyberabwehr. Der Grund ist naheliegend: „Große Ziele wie etwa Ölpipelines sind für Angreifer lukrativer als Mittelstandsunternehmen“, sagt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Wegen der besonderen Relevanz für die Versorgungssicherheit lasse sich bei solchen Unternehmen „mehr Lösegeld erpressen“, so der Sicherheitsspezialist.
Entsprechend ausgefeilt ist hier aber auch die Sicherheit. Dass die besonders hohen Anforderungen genügen muss, schreibt in Deutschland das IT-Sicherheitsgesetz explizit vor. Daneben gilt speziell für die großen, sicherheitsrelevanten Unternehmen eine Meldepflicht bei jeglichen IT-Vorfällen, die die Verfügbarkeit der Dienstleistungen gefährden können.
Insgesamt 419 derartige Meldungen verzeichnete das BSI laut dem jüngsten Lagebericht zwischen Juni 2018 und Mai 2019, ein Zuwachs um gut 66 Prozent gegenüber dem Vorjahr – und ein Indiz für die wachsende Bedrohungslage. Im Fall der Energiewirtschaft, unter die in der Statistik auch Pipelines, Raffinerien und Tankstellennetze fallen, stieg die Zahl im gleichen Zeitraum von 29 auf 73 Meldungen.
Allerdings weisen Fachleute daraufhin, dass die absoluten Zahlen noch nichts über die Schwere möglicher Angriffe aussagen. Da die Meldepflicht für alle Vorfälle gilt, die die Verfügbarkeit der jeweiligen Infrastrukturen beeinträchtigen können, müssen Kritis-Betreiber beispielsweise auch Störungsmeldungen abgeben, wenn betriebsrelevante Transformatoren ausgefallen sind, oder bei Bauarbeiten versehentlich die Internetleitungen zu den Leitständen relevanter Versorgungsnetze weggebaggert wurden.
Welche Rolle Hackerangriffe bei den Meldungen in den vergangenen Jahren spielten, dazu äußert sich das BSI auf Anfrage „aus Sicherheitserwägungen und mit Rücksicht auf die betroffenen Unternehmen grundsätzlich nicht konkreter“. Fachleute aus der deutschen IT-Sicherheitsbranche gehen allerdings davon aus, dass die hiesigen Kritis-Betreiber bisher tatsächlich von ähnlich schwerwiegenden und – vor allem – erfolgreichen Angriffen verschont geblieben sind, wie dem bei Colonial Pipeline.
Der lange Schatten der Exchange-Lücke
Das allerdings ist nicht mehr als ein Zwischenstand. „Bei Pipelines handelt es sich um hochgradig verteilte Umgebungen. Und die Werkzeuge, die Anlagenbetreibern Fernverbindungen ermöglichen sollen, sind teils mehr auf einen einfachen Zugriff als auf Sicherheit ausgelegt“, warnt etwa Grant Geyer, Technologieexperte beim Cybersicherheitsdienstleister Claorty.
Nach Ansicht vieler Experten wächst die Bedrohung gerade deutlich. Grund sind die jüngst öffentlich gewordenen schweren Sicherheitslücken, etwa in Microsofts Kommunikationsplattform Exchange oder der Softwareplattform Orion des Unternehmens SolarWinds. In beiden Fällen gehen Fachleute davon aus, dass Hacker bei weit mehr Unternehmen schon über die Schwachstellen in IT-Systeme eingedrungen sind, als bisher aufgefallen ist. Und so ist F-Secure-Experte Trost überzeugt, dass „wir Fälle wie den Angriff auf die US-Pipeline in naher Zukunft noch öfter sehen, da Hackergruppen viele Netzwerke längst infiltriert haben.“
Auch für Deutschland gilt daher, dass es mehr eine Frage des „Wann?“ ist als des „Ob?“, bis Hacker auch hierzulande schwere Störungen auslösen.
Mehr zum Thema: Das Emotet-Netzwerk war eine der gefährlichsten Plattformen für Cyberattacken weltweit und verursachte bei Unternehmen, Behörden und Hochschulen Milliardenschäden. Bis Ermittler die Schadsoftware mit einer gewagten Strategie lahmlegten. Rekonstruktion einer digitalen Verfolgungsjagd.
