Ransomware-Attacken Der Cyberangriff auf die US-Pipeline ist ein Warnschuss für Deutschland

Onlinekriminelle haben die Betreiberfirma der größten US-Pipeline angegriffen. Was sind die Folgen? Und wie bedrohlich ist Erpressersoftware für deutsche Firmen? Antworten auf die wichtigsten Fragen.
»Warning«: Auf einer Wiese in Maryland weist ein Warnschild auf eine unterirdisch verlegte Benzin-Pipeline hin

»Warning«: Auf einer Wiese in Maryland weist ein Warnschild auf eine unterirdisch verlegte Benzin-Pipeline hin

Foto: JIM LO SCALZO / EPA

Was ist passiert?

Colonial Pipeline, die Betreiberfirma einer der wichtigsten Pipelines der USA, ist Opfer eines Hackerangriffs mit Erpressersoftware, sogenannter Ransomware, geworden. Der Angriff führte dazu, dass das Unternehmen mit Sitz in Georgia einen Teil seiner Systeme offline nahm, »um die Bedrohung einzudämmen«. Außerdem sollen knapp hundert Gigabyte an internen Daten abgefischt worden sein.

Die eigentlichen Steuersysteme von Industrieanlagen sind bei besonders wichtiger Infrastruktur üblicherweise vom Rest der IT-Netze getrennt. Als Vorsichtsmaßnahme nahm Colonial Pipeline präventiv dennoch auch sein Rohrleitungsnetz außer Betrieb. Die Folge: Große Mengen Öl und Benzin müssen an der amerikanischen Ostküste bis auf Weiteres wieder mit Tankwagen über die Straße transportiert werden.

Die Hacking-Expertin Kim Zetter sprach für ihren Newsletter »Zero Day«  mit einem Informanten, der bei einer Ölfirma arbeitet, die Benzin in die Pipeline einspeist. Jener Insider erzählte Zetter, dass seine Firma bislang keine Informationen dazu erhalten habe, wann die Pipeline wieder benutzbar sein werde. Die Rede sei davon gewesen, dass es länger als ein oder zwei Tage, aber weniger als sechs Wochen dauern werde. Sein Unternehmen müsse nun abwägen, was es mit dem Öl und Benzin in seinen Tanks mache, so der Informant. Der Vorfall setzt so noch viel mehr Firmen als nur Colonial Pipeline unter Druck.

Auch die verstärkte Verteilung von Treibstoff per Tanklaster könne die weggefallenen Pipeline-Kapazitäten nicht wettmachen, warnt Neil Wilson, Chef-Analyst des Onlinebrokers Markets.com. Vorerst müsse daher mit weiter steigenden Preisen für Erdölprodukte gerechnet werden. Der Terminkontrakt für Benzin war am Montag um mehr als vier Prozent auf ein Dreijahreshoch von 2,217 Dollar je Gallone gestiegen. Heizöl war mit 2,0776 Dollar so teuer wie zuletzt vor knapp eineinhalb Jahren.

Rund die Hälfte des Treibstoffs für die US-Ostküste wird über das Rohrnetzwerk von Colonial Pipeline transportiert. Die Rohrleitungen verlaufen größtenteils unterirdisch. Gemessen am transportierten Volumen ist die Pipeline, die über mehr als 8800 Kilometer von Houston im Bundesstaat Texas bis nach New York führt, die größte der USA. Normalerweise werden über sie pro Tag mehr als 2,5 Millionen Barrel Benzin, Diesel, Kerosin und andere Erdölprodukte transportiert. Ein Barrel sind 159 Liter.

Was genau ist Ransomware?

Ransomware ist Schadsoftware, die man zum Beispiel durchs Öffnen schadhafter E-Mail-Anhänge auf seinen Computer oder auch in ein ganzes Firmennetzwerk holen kann. Klassische Ransomware verschlüsselt in so einem Fall die Dateien und Laufwerke. Ihren Opfern bieten die Täter an, ihnen gegen Zahlung eines Lösegelds (»Ransom«) einen Schlüssel zu übermitteln, mit dem sich die Dateien wieder entschlüsseln lassen. Gerade für Firmen ohne externe Back-ups kann eine Ransomware-Attacke so sehr ärgerlich und auch teuer werden.

Es gibt sowohl breit gestreute Attacken, bei denen einzelne Computernutzer oder Firmen eher zufällig mit Ransomware in Kontakt kommen, aber auch gezielte Attacken, bei denen sich die Angreifer ihre Ziele im Vorfeld genau aussuchen.

In den vergangenen Jahren gab es einen Trend dahin, dass Angreifer nicht mehr nur versuchen, Firmen durch die Verschlüsselung ihrer Dateien zu erpressen. Zunehmend wird auch mit einer Veröffentlichung abgeflossener Informationen gedroht, falls kein Lösegeld fließt – IT-Sicherheitsfirmen sprechen von einer »doppelten Erpressung«.

Solche Maschen funktionieren am ehesten, wenn Unternehmen mit geheimen oder auch sehr vielen persönlichen Daten hantieren, wenn ein Leak also einen nachhaltigen Imageschaden bedeuten würde. Ein Beispiel für eine Firma, die sich einer »doppelten Erpressung« ausgesetzt sah, ist die Kanzlei Grubman Shire Meiselas & Sacks, die Stars der Musik- und Filmbranche betreute, darunter Madonna.

Was ist über die Angreifer bekannt?

Hinter dem Angriff auf Colonial Pipeline steckt laut Medienberichten eine relativ neue Gruppe von Cyberkriminellen, die sich Darkside nennt. Nach Angaben der auf die Abwehr von Ransomware spezialisierten IT-Sicherheitsfirma Cybereason  arbeitet diese Gruppe nach dem Prinzip Ransomware-as-a-Service (RaaS), sie bietet ihre Erpressersoftware also als Dienstleistung an.

Dabei geht die in Russland vermutete Gruppe überaus professionell vor. Laut Cybereason ist sie nicht nur in Hackerforen aktiv, um ihre Dienstleistungen zu bewerben und auf neue Softwareversionen hinzuweisen, sondern bietet auch ein sogenanntes Affiliate-Programm an, über das Kunden, die neue Kunden anwerben, belohnt werden. Angeblich betreibt die Gruppe sogar eine Support-Hotline, über die Opfer ihrer Erpressersoftware über Lösegeldzahlungen verhandeln können.

Darkside hat sich darüber hinaus auf die Fahnen geschrieben, mit ihrer Schadsoftware nur »die richtigen« Ziele anzugreifen. Laut Cybereason sind damit große, profitable Unternehmen gemeint. Um passende Ziele auszuwählen, betreiben die Hacker offenbar umfangreiche Recherchen. Die Lösegelder, die Darkside fordert, sollen meist zwischen 200.000 Dollar und zwei Millionen Dollar liegen.

Einem Post in einem Hackerforum zufolge spenden die Angreifer einen Teil ihrer Beute an gemeinnützige Organisationen. Zwei Screenshots sollten Spenden in Höhe von derzeit umgerechnet mehr als 80.000 Euro an zwei Organisationen belegen. Laut Cybereason lehnten diese die Annahme der Gelder mit Verweis auf deren Ursprung jedoch ab.

Vom Bundesamt für Sicherheit in der Informationstechnik hieß es am Montag auf SPIEGEL-Anfrage, Angriffe mit der Darkside-Ransomware seien »nach hiesiger Einschätzung opportunistisch«: Das BSI gehe bislang davon aus, dass sie »sich nicht gezielt gegen ein Land oder einen Sektor« richten, so ein Sprecher. Auch eine Spezialisierung der Software auf industrielle Steuerungssysteme sei nicht bekannt.

Wie haben die Pipeline-Betreiber und die US-Regierung reagiert?

Die US-Regierung hat am Sonntag einen regionalen Notstand ausgerufen. Durch jene Erklärung kann nun Treibstoff auf dem Straßenweg in betroffene Bundesstaaten transportiert werden, darunter Florida, Texas, New York, Washington und Pennsylvania. US-Heimatschutzminister Alejandro Mayorkas rief zudem andere Unternehmen auf, wachsam zu sein und sich gegen Erpressungssoftware und andere Arten von Cyberangriffen zu schützen.

Colonial Pipeline hatte den Hackerangriff am Freitag entdeckt. Das Unternehmen informierte die Behörden und holte sich die bekannte IT-Sicherheitsfirma FireEye zur Hilfe . Am Sonntag hieß es in einer Stellungnahme von Colonial Pipeline , das Aufrechterhalten der Betriebssicherheit der Pipeline sowie die sichere Wiederinbetriebnahme ihrer IT-Systeme hätten derzeit höchste Priorität.

»Während unsere Hauptleitungen weiterhin außer Betrieb sind, sind einige kleinere Seitenleitungen zwischen Terminals und Lieferpunkten jetzt wieder in Betrieb«, so das Unternehmen. Man sei dankbar »für die Geduld und die große Unterstützung, die wir von anderen aus der Branche erhalten haben«.

Kann so etwas auch in Deutschland passieren?

Weltweit gibt es zahlreiche Opfer von Ransomware-Attacken, von Polizeibehörden  über Stadtverwaltungen  bis hin zu Autobauern. Auch in Deutschland sind solche Angriffe ein weitverbreitetes Problem, vor dem keine Branche sicher ist. Kürzlich beispielsweise hatten mit der Funke Mediengruppe und Madsack zwei große deutsche Medienhäuser Ärger mit Ransomware, der sie bei der Produktion ihrer Zeitungen einschränkte. Und 2020 waren die Technischen Werke Ludwigshafen – ein kommunaler Versorger, der rund 100.000 Haushalte mit Energie und Trinkwasser versorgt – von Hackern erpresst worden. Dabei flossen 500 Gigabyte an Daten ab.

Schlagzeilen weit über Deutschland hinaus machte im selben Jahr ein Ransomware-Angriff, der die Computersysteme der Uniklinik Düsseldorf lahmlegte. Operationen mussten daraufhin verschoben, Behandlungen abgesagt werden, Rettungswagen fuhren die Klinik nicht mehr an. Eine 78-jährige Notfallpatientin, die eingeliefert werden sollte, wurde im Zuge des IT-Ausfalls nach Wuppertal gebracht – und verstarb nach dem Transport. Der Fall machte als angeblich erster Ransomware-Angriff mit Todesfolge die Runde, wobei Experten im Nachhinein davon ausgehen, dass die Frau auch ohne Umweg ums Leben gekommen wäre .

Klar ist trotzdem: Der Vorfall war ein unbedingt ernst zu nehmendes Warnsignal, ein Zeichen, dass auch Ransomware-Attacken Menschenleben gefährden können, selbst wenn es den Kriminellen dahinter vor allem ums Geld gehen mag. Und auch der Pipeline-Ausfall in den USA sollte hierzulande unbedingt selbstkritisch reflektiert werden. Die Attacke auf Colonial Pipeline zeigt schließlich, dass wichtige Infrastruktur praktisch auch dann lahmgelegt werden kann, wenn Angreifer lediglich IT-Systeme aus deren Umfeld hacken.

Das Bundeskriminalamt (BKA) schrieb 2020 in seinem Bundeslagebild Cybercrime , Ransomware sei und bleibe »die Bedrohung für Unternehmen und öffentliche Einrichtungen«: Schon 2019 habe es sich bei sieben der zwölf »prägenden Cyberangriffe« in Deutschland um Ransomware-Infektionen gehandelt. Das BKA zählte zu jenen Angriffen unter anderem eine Attacke auf die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes.

Arne Schönbohm, der Chef des Bundesamts für Sicherheit in der Informationstechnik, sagte dem SPIEGEL am Montag, Cyberangriffe auf kritische Infrastrukturen seien »ein ernst zu nehmendes realistisches Szenario auch in Deutschland«: »Insbesondere die Entwicklung der Angriffe mit Ransomware schreitet rasant voran.« Speziell zu Betreiberfirmen aus dem Bereich Mineralöl betonte Schönbohm aber auch, dass diese der Cybersicherheit einen hohen Stellenwert einräumen.

Update, 21.20 Uhr: Der SPIEGEL hat auch die AG KRITIS, eine unabhängige Arbeitsgruppe aus Fachleuten, die beruflich mit der IT-Sicherheit kritischer Infrastrukturen wie Energieversorgung, Transport und Verwaltung zu tun haben, zum aktuellen Vorfall in den USA angefragt. Johannes Rundfeldt, Sprecher der Gruppe, sagt, dass Cyberkriminelle, die ihre Opfer gezielt auswählen, sich gern für Ziele mit hoher Sichtbarkeit und Wichtigkeit für das Gemeinwesen entscheiden. Das erhöhe die Wahrscheinlichkeit, nicht nur ein Lösegeld zu bekommen, sondern ein besonders großes Lösegeld fordern zu können. Betreiber kritischer Infrastruktur seien so gesehen ein interessantes Ziel, so Rundfeldt, »denn dadurch, dass besonders viele Menschen von den Betreibern kritischer Infrastrukturen abhängig sind, ist die Bereitschaft der Betreiber, ein Lösegeld zu bezahlen, besonders hoch.«

Zur Frage, wie hoch die Gefahr sei, dass Ransomware-Attacken neben den IT-Systemen auch industrielle Systeme ins Knie zwingen, sagt Rundfeldt, bisher sei es noch relativ selten, dass industrielle Steuersysteme direkt lahmgelegt werden: »Aber da industrielle Steuersysteme auf Dateneingaben und Steuerimpulse von IT-Systemen angewiesen sind, reicht es in vielen Fällen, nur die IT-Systeme lahmzulegen, da die industriellen Steuersysteme oft mit ausfallen.«

Man beobachte derzeit aber mit Sorge, dass auch Angriffe auf industrielle Steuersysteme selbst zunehmen. »Dies folgt daraus, dass viele Betreiber den eigenen Mitarbeitern, aber auch externen Dienstleistern ermöglichen, per Fernwartung auf industrielle Steuersysteme zugreifen zu können", sagt Rundfeldt. »Hier passieren leider viele Fehler und oft ist die Fernwartung eine signifikante Sicherheitslücke.«

mit Material von dpa und Reuters