Vor fast drei Jahren wurde die Colonial Pipeline angegriffen und sechs Tage lang stillgelegt, was zu einem Gasmangel führte. Washington, D.C. und 17 weitere Bundesstaaten riefen den Notstand aus.

Überblick über den Angriff auf die Colonial Pipeline

Colonial Pipeline wurde im Mai 2021 von Ransomware angegriffen, die mehrere digitale Systeme betraf und das Unternehmen für mehrere Tage lahmlegte. Der Vorfall betraf sowohl Verbraucher als auch Fluggesellschaften entlang der Ostküste. Da die Pipeline Öl von Raffinerien zu Industriemärkten transportiert, wurde sie als nationales Sicherheitsrisiko eingestuft. US-Präsident Joe Biden rief daraufhin den Notstand aus.

Die Colonial Pipeline ist eine der größten und wichtigsten Ölpipelines der USA. Sie wurde 1962 eröffnet, um Öl vom Golf von Mexiko an die Ostküste zu transportieren. Das System besteht aus über 8.800 Kilometern Pipeline, die in Texas beginnen und durch New Jersey verlaufen. Fast die Hälfte des Treibstoffs an der Ostküste wird über die Pipeline transportiert. Sie liefert raffiniertes Öl für Benzin, Düsentreibstoff und Heizöl.

Vielen Tankstellen in US-Bundesstaaten geht der Kraftstoff aus, da das Colonial Pipeline-System im Mai 2021 stillgelegt wurde. Foto: NBC News

Am 6. Mai 2021 griff die Hackergruppe DarkSide auf das Netzwerk von Colonial Pipeline zu und stahl innerhalb von zwei Stunden 100 GB Daten. Anschließend infizierten sie das IT-Netzwerk mit Ransomware, wodurch mehrere Computersysteme, darunter auch Buchhaltung und Abrechnung, betroffen waren.

Colonial Pipeline musste die Pipeline schließen, um die Verbreitung der Ransomware zu stoppen. Das Sicherheitsunternehmen Mandiant wurde daraufhin mit der Untersuchung des Angriffs beauftragt. Das FBI, die Cybersecurity and Infrastructure Security Agency, das Energieministerium und das Heimatschutzministerium waren ebenfalls beteiligt.

Am 7. Mai 2021 musste das größte Pipeline-Unternehmen der USA ein Lösegeld von 75 Bitcoins im Wert von rund 4,4 Millionen Dollar an Hacker zahlen, um den Entschlüsselungsschlüssel zu erhalten. Ab dem 12. Mai 2021 war die Pipeline wieder in Betrieb.

Während einer Anhörung vor dem US- Kongress am 8. Juni 2021 sagte Charles Carmakal, Senior Vice President und Chief Technology Officer von Mandiant, der Angreifer sei mithilfe eines durchgesickerten Passworts eines VPN-Kontos in das Netzwerk eingedrungen. Viele Organisationen nutzen VPNs, um aus der Ferne auf sichere Unternehmensnetzwerke zuzugreifen.

Laut Carmakals Aussage teilte ein Mitarbeiter von Colonial Pipeline offenbar ein VPN-Passwort mit einem anderen Konto, doch dieses Passwort wurde bei einem anderen Datenleck offengelegt. Die gemeinsame Nutzung eines Passworts für mehrere Konten ist ein Fehler, den viele Leute machen.

Bei der Anhörung erklärte Joseph Blount, CEO von Colonial Pipeline, auch seine Entscheidung, das Lösegeld zu zahlen. Zum Zeitpunkt des Angriffs wusste er nicht, wie weit die Infektion bereits verbreitet war und wie lange es dauern würde, das System wiederherzustellen. Daher traf er diese Entscheidung in der Hoffnung, die Wiederherstellungszeit zu verkürzen.

Nachdem das US- Justizministerium die Zahlung zurückverfolgt hatte, entdeckte es die digitale Adresse der vom Angreifer verwendeten Wallet und erwirkte einen Gerichtsbeschluss zur Beschlagnahme der Bitcoins. Im Ergebnis wurden 64/75 Bitcoins im Wert von rund 2,4 Millionen US-Dollar sichergestellt.

Das „Erbe“ des Angriffs auf die Colonial Pipeline

Ransomware ist das erste Mal, dass die USA davon Notiz nehmen. Der Kongress musste neue Gesetze verabschieden und Bundesbehörden neue Cybersicherheitsanforderungen erlassen. Ransomware-Angriffe sind nichts Neues – schon vor Colonial Pipeline haben sie Regierungen, Gesundheitseinrichtungen und Schulen verwüstet. Der Unterschied liege jedoch in den regionalen Auswirkungen, sagte Ben Miller, Vice President of Services beim Infrastruktursicherheitsunternehmen Dragos.

„Später habe ich erfahren, dass die Aufmerksamkeit dann steigt, wenn es tatsächlich Auswirkungen auf das Leben der Menschen gibt“, sagte Charles Carmakal, Senior Vice President der Sicherheitsfirma Mandiant, die bei den Ermittlungen zum Colonial-Vorfall mitwirkte. „Wenn es um Gas und Fleisch geht, kümmern sich die Leute wirklich darum.“

Der Vorfall an der Colonial Pipeline führte dazu, dass viele Fluggesellschaften keinen Treibstoff mehr hatten und einige Flughäfen eingeschränkt waren. Die Sorge vor Benzinknappheit löste in vielen Bundesstaaten Panik und lange Warteschlangen an Tankstellen aus. Auch die Durchschnittspreise an der Zapfsäule stiegen aufgrund des Pipeline-Ausfalls sprunghaft an. In einigen Bundesstaaten füllten die Menschen sogar ihr Benzin in Plastiktüten, woraufhin die US-amerikanische Verbraucherschutzkommission (CSP) eine Warnung herausgab, nur dafür vorgesehene Behälter für Benzin zu verwenden.

Der Angriff auf die Colonial Pipeline zwang alle dazu, Sicherheitsrisiken ernst zu nehmen und Maßnahmen zu ergreifen, die zuvor vernachlässigt worden waren. Laut Mike Hamilton, ehemaliger Chief Information Security Officer der Stadt Seattle, war es eine schwierige Aufgabe, die Bundesregierung dazu zu bringen, den Sicherheitsanforderungen kritischer Infrastrukturen Priorität einzuräumen.

Nachfolgende Vorfälle Ende 2021 – darunter einer gegen den Fleischproduzenten JBS Foods – erhöhten den Druck auf politische Entscheidungsträger, Regulierungsbehörden und Führungskräfte. Sie waren für Führungskräfte ein Auslöser, ihre eigenen Ransomware-Reaktionspläne zu überprüfen. Miller sagte, das Interesse an Reaktionsplänen sei deutlich detaillierter geworden.

Dennoch sind Regulierung und Branchenänderungen erforderlich. Wendi Whitmore, Senior Vice President für Bedrohungsinformationen bei Palo Alto Networks Unit 42, sagte, es brauche multilaterale Abkommen zwischen den Ländern, um gegen Ransomware vorzugehen.

(Laut Axios, Tech Target)