Ein Phishing-Angriff, genauer Spearphishing, stand am Anfang eines Angriffs auf den Maschinenpark eines Pipelinebetreibers in den USA. Nach Angaben der Cybersecurity and Infrastructure Security Agency (CISA) handelte es sich dabei um einen gezielten Angriff. Zunächst wurde demnach das firmeneigene Netzwerk durch Ransomware kompromittiert. Im Anschluss arbeitete sich der Angreifer in den Bereich der industriellen Betriebstechnik (OT) vor. Dort hatte der Angreifer zwar keinen Zugriff auf die Steuerungsanlagen, doch die Kontrolle über die Verdichtungsanlage. Das betroffene, nicht namentlich genannte Unternehmen hatte dadurch keine Chance, an Echtzeitdaten dieser Maschine zu gelangen. Der Verschlüsselungstrojaner sorgte im Anschluss dafür, dass im Netzwerk abgelegte Dateien unbrauchbar gemacht wurden.

Zwei Tage stehen Anlagen still

Aus dem Bericht  der CISA geht hervor, dass nun nicht mehr Organisationen, sondern über sogenannte kritische Infrastrukturen (KRITIS) die Bevölkerung das Ziel der Angriffe ist. Im vorliegenden Fall sei es suboptimal gewesen, dass die Sicherheitsvorkehrungen nicht ausreichend waren. Das IT- und OT-Netzwerk sei offensichtlich nicht voneinander getrennt gewesen. Der Betreiber der Anlagen gab an, dass lückenhaftes Wissen über Cybersicherheit und mögliche Angriffsszenarien Grund für die Tragweite des Angriffs war. Das Ausmaß wäre jedoch im Falle dessen, dass lediglich die IT getroffen würde, dasselbe gewesen, heißt es weiter. Vorsichtshalber wurde die Anlage für zwei Tage abgeschaltet. Da die Verdichtungsanlage allerdings den Druck in den Gaspipelines maßgeblich kontrolliert, mussten in Folge auch weitere, örtlich entfernte Anlagenparks abgeschaltet werden.

"Dieser Angriff stellt definitiv eine Warnung an andere Energieversorger und KRITIS-Betreiber dar. Immer mehr, spezifisch auf definierte Prozesse ausgelegte, Ransomware-Attacken sind keine Seltenheit mehr", sagt Chris Sherry, Regional Vice President EMEA bei Forescout, einem auf IT-Sicherheit spezialisierten Unternehmen. (sg)