Vor knapp drei Jahren wurde die Colonial-Pipeline angegriffen und für sechs Tage stillgelegt, was zu einer Gasknappheit führte. Washington, D.C., und 17 weitere Bundesstaaten riefen den Notstand aus.

Panorama der angegriffenen Kolonialpipeline

Die Colonial Pipeline wurde im Mai 2021 Opfer eines Ransomware-Angriffs, der mehrere digitale Systeme beeinträchtigte und zu einem mehrtägigen Stillstand führte. Der Vorfall betraf sowohl Verbraucher als auch Fluggesellschaften entlang der Ostküste. Da die Pipeline Öl von Raffinerien zu den Industriemärkten transportiert, wurde der Vorfall als nationales Sicherheitsrisiko eingestuft, woraufhin US-Präsident Joe Biden den nationalen Notstand ausrief.

Die Colonial Pipeline ist eine der größten und wichtigsten Ölpipelines der Vereinigten Staaten. Sie wurde 1962 eröffnet, um Öl vom Golf von Mexiko an die Ostküste zu transportieren. Das System umfasst über 8.850 Kilometer Pipeline, die in Texas beginnt und durch New Jersey verläuft. Sie ist für fast die Hälfte des Kraftstoffbedarfs der Ostküste verantwortlich und liefert raffiniertes Öl für Benzin, Flugzeugtreibstoff und Heizöl.

Im Mai 2021 ging vielen Tankstellen in den USA der Treibstoff aus, weil die Colonial-Pipeline stillgelegt wurde. Foto: NBC News

Am 6. Mai 2021 verschaffte sich die Hackergruppe DarkSide Zugang zum Netzwerk von Colonial Pipeline und stahl innerhalb von zwei Stunden 100 GB Daten. Anschließend infizierten sie das IT-Netzwerk mit Ransomware, wodurch zahlreiche Computersysteme, darunter auch Buchhaltungs- und Abrechnungssysteme, beeinträchtigt wurden.

Colonial Pipeline musste die Pipeline stilllegen, um die Verbreitung der Ransomware zu verhindern. Das Sicherheitsunternehmen Mandiant wurde daraufhin mit der Untersuchung des Angriffs beauftragt. Auch das FBI, die Cybersecurity and Infrastructure Security Agency (CISA), das Energieministerium und das Ministerium für Innere Sicherheit waren beteiligt.

Am 7. Mai 2021 musste das größte Pipeline-Unternehmen der USA ein Lösegeld von 75 Bitcoins im Wert von etwa 4,4 Millionen US-Dollar an Hacker zahlen, um den Entschlüsselungsschlüssel zu erhalten. Die Pipeline war seit dem 12. Mai 2021 wieder in Betrieb.

Während einer Anhörung vor dem US- Kongress am 8. Juni 2021 erklärte Charles Carmakal, Senior Vice President und Chief Technology Officer von Mandiant, dass der Angreifer mithilfe eines durchgesickerten Passworts eines VPN-Kontos in das Netzwerk eingedrungen sei. Viele Unternehmen nutzen VPNs, um aus der Ferne auf sichere Unternehmensnetzwerke zuzugreifen.

Laut Carmakals Aussage teilte ein Mitarbeiter von Colonial Pipeline offenbar ein VPN-Passwort mit einem anderen Konto, das jedoch bei einem anderen Datenleck offengelegt wurde. Die Verwendung eines Passworts für mehrere Konten ist ein Fehler, den viele Menschen begehen.

Bei der Anhörung erläuterte Joseph Blount, CEO von Colonial Pipeline, seine Beweggründe für die Zahlung des Lösegelds. Zum Zeitpunkt des Angriffs habe er weder das Ausmaß der Infektion noch die Dauer der Systemwiederherstellung abschätzen können. Daher habe er die Entscheidung in der Hoffnung getroffen, die Wiederherstellungszeit zu verkürzen.

Nachdem das US- Justizministerium die Zahlung zurückverfolgt hatte, ermittelte es die digitale Adresse der vom Angreifer verwendeten Wallet und erwirkte einen Gerichtsbeschluss zur Beschlagnahme der Bitcoins. Im Zuge der Operation konnten 64 von 75 Bitcoins im Wert von rund 2,4 Millionen US-Dollar sichergestellt werden.

Das „Vermächtnis“ des Angriffs auf die Colonial Pipeline

Ransomware ist das erste Mal, dass die USA diesem Phänomen Beachtung schenken. Dies zwang den Kongress zur Verabschiedung neuer Gesetze und veranlasste zahlreiche Bundesbehörden zur Einführung neuer Cybersicherheitsanforderungen. Ransomware-Angriffe sind nicht neu; sie haben bereits Regierungen, Gesundheitseinrichtungen und Schulen schwer getroffen, bevor Colonial Pipeline Opfer wurde. Der Unterschied liegt jedoch in den regionalen Auswirkungen, so Ben Miller, Vizepräsident für Dienstleistungen beim Infrastruktursicherheitsunternehmen Dragos.

„Ich habe später gelernt, dass die Aufmerksamkeit besonders groß ist, wenn es um echte Auswirkungen auf das Leben der Menschen geht“, sagte Charles Carmakal, Senior Vice President des Sicherheitsunternehmens Mandiant, das an den Ermittlungen zum Vorfall im Colonial beteiligt war. „Wenn es um Gas und Fleisch geht, ist den Leuten das wirklich wichtig.“

Aufgrund des Vorfalls mit der Colonial Pipeline geht vielen Fluggesellschaften der Treibstoff aus, und einige Flughäfen sind nur eingeschränkt nutzbar. Die Sorge um die Benzinknappheit hat Panik ausgelöst und in vielen Bundesstaaten zu langen Schlangen an Tankstellen geführt. Zudem sind die Benzinpreise aufgrund der Pipeline-Sperre sprunghaft angestiegen. In einigen Bundesstaaten füllen Menschen Benzin sogar in Plastiktüten um, woraufhin die US-Verbraucherschutzkommission eine Warnung herausgab, Benzin ausschließlich in speziellen Behältern zu transportieren.

Der Anschlag auf die Colonial Pipeline zwang alle Beteiligten, Sicherheitsrisiken ernst zu nehmen und zuvor vernachlässigte Maßnahmen umzusetzen. Laut Mike Hamilton, dem ehemaligen Chief Information Security Officer der Stadt Seattle, war es eine schwierige Aufgabe, die Bundesregierung dazu zu bewegen, den Sicherheitsanforderungen kritischer Infrastrukturen Priorität einzuräumen.

Weitere Vorfälle Ende 2021 – darunter ein Angriff auf den Fleischproduzenten JBS Foods – erhöhten den Druck auf Politik, Aufsichtsbehörden und Führungskräfte. Sie veranlassten diese, ihre eigenen Ransomware-Notfallpläne zu überprüfen. Laut Miller wurde das Interesse an diesen Plänen deutlich detaillierter.

Dennoch sind Regulierungen und Branchenveränderungen notwendig. Wendi Whitmore, Senior Vice President für Bedrohungsanalysen bei Palo Alto Networks Unit 42, meint, es bräuchte multilaterale Abkommen zwischen den Ländern, um Ransomware-Angriffe einzudämmen.

(Laut Axios, Tech Target)