Verschlüsselungstrojaner trifft Infrastruktur Ransomware zwingt Pipelinebetreiber zur Abschaltung

Die Betreiber einer Gaspipeline in den USA mussten mehrere Anlagen für zwei Tage abschalten, nachdem ihre Computer mit Erpressungssoftware infiziert wurden.
Flüssiggas-Pipeline

Flüssiggas-Pipeline

Foto: Gary Cameron/ Reuters

Mithilfe eines manipulierten Links in einer E-Mail haben Kriminelle eine Erdgas-Verdichtungsanlage in den USA vorübergehend lahmgelegt. Die Angreifer verbreiteten zunächst eine Schadsoftware im Computernetz des Unternehmens. Mit deren Hilfe konnten sie sich in das Netzwerk des Bereichs Operational Technology (OT) vorarbeiten, von dem aus die Maschinen der Industrieanlage überwacht und kontrolliert werden. In beiden Netzwerken platzierten sie eine sogenannte Ransomware, also Verschlüsselungstrojaner, die alle für sie erreichbaren Dateien unbrauchbar machte.

Öffentlich gemacht hat den Vorfall die Cybersecurity and Infrastructure Security Agency (CISA), die im Heimatschutzministerium DHS angesiedelt ist. Ihr als "Alarm" bezeichneter Bericht  fällt zwar wenig detailliert aus. Er reicht aber aus, um ein Bild von der möglichen nächsten Eskalationsstufe der globalen Ransomware-Plage zu zeichnen: Angriffe auf Kritische Infrastrukturen (KRITIS), bei denen das eigentliche Opfer nicht der Betreiber ist, sondern die Bevölkerung.

Aus dem CISA-Bericht geht hervor, dass die Täter mit einem Spearphishing-Link angefangen haben. Typischerweise schicken sie dazu individuell zugeschnittene Mails an Mitarbeiter, die dazu verleiten sollen, einen Link anzuklicken. Die Schadsoftware oder deren erste Stufe wird dann unbemerkt über die dahinterliegende Website auf den Computer des Opfers heruntergeladen.

Mehrere Anlagen mussten abgeschaltet werden

Dass es die Täter geschafft haben, aus dem Büronetzwerk des Anlagenbetreibers in den OT-Bereich zu gelangen, spricht für suboptimale Sicherheitsvorkehrungen. So steht es auch im CISA-Bericht. Normalerweise sollten solche Netzwerke physisch voneinander getrennt sein ("air gapped").

Darauf weist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutsche Unternehmen im IT-Grundschutz  sowie in den branchenspezifischen Sicherheitsstandards für Betreiber Kritischer Infrastrukturen  hin. Ein BSI-Sprecher sagte dem SPIEGEL, bei klassischen Erpressungsversuchen "macht es aber keinen großen Unterschied", ob neben der IT auch die OT infiziert wird. Zu Produktionsausfällen komme es dann häufig trotzdem.

Doch durch die Ausbreitung der - nach CISA-Angaben "gewöhnlichen" – Ransomware verlor der Betreiber den Zugriff auf Echtzeitdaten der Verdichtungsanlage und damit bestimmte Einblicke in deren Betrieb. Nicht betroffen waren demnach aber die eigentlichen Steuerungsanlagen, die Täter konnten also beispielsweise keine Ventile öffnen und schließen oder andere Prozesse kontrollieren.

Der namentlich nicht genannte Betreiber war zwar in der Lage, Ausrüstungsteile schnell zu ersetzen und zu konfigurieren, entschloss sich aber trotzdem, die Anlage vorsichtshalber für etwa zwei Tage abzuschalten. Weil Verdichtungsanlagen den Druck in Gaspipelines beeinflussen und dadurch Abhängigkeiten entstehen, mussten deshalb auch andere, entfernte Verdichtungsanlagen den Betrieb einstellen.

"Das Opfer nannte lückenhaftes Wissen über Cybersicherheit und mögliche Angriffsszenarien als Gründe für die inadäquate Verankerung von Cybersicherheitsvorkehrungen in die Notfallplanung", heißt es im Bericht.

Niemand ist bei dem Vorfall zu Schaden gekommen, über einen Versorgungsengpass steht auch nichts im Bericht. Nicht einmal das Datum ist genannt. Der CISA-Bericht soll vor allem als Warnung an andere Energieversorger und KRITIS-Betreiber verstanden werden: "Wir stellen diesen Alarm zur Verfügung, um Administratoren und Netzwerkverteidigern zu helfen, ihre Organisationen gegen solche und ähnliche Ransomware-Angriffe zu schützen", heißt es darin.

Dass es in Zukunft wieder zu solchen Angriffsversuchen kommen könnte, legt auch ein aktueller Bericht  des auf Industrieanlagen spezialisierten IT-Sicherheitsunternehmens Dragos nahe. Dessen Experten haben in der Ransomware sogenannte EKANS-Module entdeckt, die speziell darauf zugeschnitten sind, Prozesse in industriellen Steuerungsanlagen zu stoppen. Zwar sei der entdeckte Angriffsmechanismus eher simpel, heißt es im Dragos-Bericht. Aber so spezifisch auf das Lahmlegen bestimmter Prozesse in Kontrollsystemen ausgelegt sei bisher noch keine Ransomware gewesen.