Lehren aus dem Ransomware-Angriff auf Colonial Pipeline für KRITIS-Betreiber

Edgard Capdevielle erläutert in seiner Stellungnahme, wie sich Kritis-Betreiber absichern können

[datensicherheit.de, 12.05.2021] Die Folgen der Ransomware-Attacke auf den größten US-Pipeline-Betreiber Colonial seien noch nicht ausgestanden: Die Benzinversorgung der US-amerikanischen Ostküste sei durch diese Cyber-Attacke empfindlich gestört worden – die US-Regierung warne derweil vor „Hamsterkäufen“ und sei bemüht eine landesweite Panik zu verhindern. Vorfälle dieser Art würden auch in Zukunft weiterhin passieren – insbesondere Kritische Infrastrukturen (KRITIS) stellten immer wieder ein beliebtes Ziel für Hacker-Angriffe dar. Edgard Capdevielle, „CEO“ von Nozomi Networks, geht in seiner Stellungnahme auf die Frage ein, welche Lehren europäische Kritis-Betreiber aus diesem schwerwiegenden Vorfall ziehen können, um nicht selbst zum Opfer Cyber-Krimineller zu werden.

Sicherheitsvorkehrungen für Kritis-Unternehmen sollten zwei zentrale Aspekte beachten

Um optimale Sicherheitsvorkehrungen für das eigene Unternehmen treffen zu können, sei es notwendig, zwei zentrale Aspekte zu beleuchten:

1. Wie kann man einen Angriff bereits im Vorfeld abwehren?
2. Und welche Maßnahmen muss man ergreifen, um die Folgen eines Angriffs zu minimieren?

Die folgenden Punkte könnten laut Capdevielle bei der Beantwortung dieser Fragen helfen:

Maßnahmen zur Stärkung der eigenen Cyber-Abwehr:

• Schwachstellen in der IT-Infrastruktur identifizieren.
• Alle Systeme mit den aktuellen Patches versorgen.
• Netzwerkaktivitäten überblicken und Unregelmäßigkeiten aufdecken.
• „Industrial Cybersecurity“ (ICS) vorhalten, um die IT-Infrastruktur abzuschirmen.
• Backups auf isolierten Servern ablegen, um im Notfall die verschlüsselten Daten wiederherstellen zu können.
• Vor einem Angriff die gleiche Vorsicht walten lassen, als wäre man in der Vergangenheit bereits betroffen gewesen.
• Mitarbeiter auf die Fallen der Cyber-Kriminellen vorbereiten und zum richtigen Umgang mit potenziellen Gefahren schulen.

Maßnahmen zur Eindämmung eines erfolgten Angriffs:

• Eine gute Vorbereitung sei die beste Versicherung, um schnell die verbleibenden Einfallstore gegen die Angreifer zu versiegeln.
• Laterale Bewegungen der Hacker im Netzwerk verhindern, um weitere Systeme abzuschirmen.
• Einen Incident-Response-Spezialisten zu Rate ziehen, um eine Lösegeldzahlung zu verhindern und die Systeme wiederherstellen zu können.

Cyber-Resilienz der Kritis stärken und Auswirkungen eines Angriffs begrenzen

Capdevielle kommentiert: „Der Ransomware-Angriff auf Colonial Pipeline zeigt, welche physischen Auswirkungen Internet-Kriminalität haben kann. Wenn es um Ransomware geht, kann eine Umstellung der Unternehmenskultur auf eine Post-Breach-Mentalität bei Kritischen Infrastrukturen einen großen positiven Einfluss haben.“
Dies erhöhe die Cyber-Resilienz und könne die Auswirkungen eines Angriffs begrenzen. „Obwohl es wichtig ist, die Bemühungen zur Verhinderung von Sicherheitsverletzungen fortzusetzen, müssen wir uns an einem bestimmten Punkt fragen: ‚Wir wurden gehackt… was nun?‘“ Die Vorausplanung für Ausfälle in Kritischen Systemen stelle sicher, „dass Betreiber verstehen, was nötig ist, um den Betrieb sicher aufrechtzuerhalten“.

Weitreichende Auswirkungen der jüngsten Attacke als Weckruf für alle Kritis-Betreiber

Dieser Vorfall und seine weitreichenden Auswirkungen sollten als Weckruf für alle Betreiber Kritischer Infrastruktur dienen, welche Investitionen in eine Modernisierung ihrer IoT/OT-Sicherheitsstrategie bisher aufgeschoben haben.
Capdevielle betont abschließend: „Denn die Frage ist nicht, ob ein Angriff das eigene Unternehmen treffen kann, sondern wann. Deshalb ist es von oberster Dringlichkeit, im Falle eines Angriffs gut vorbereitet zu sein.“

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten

datensicherheit.de, 12.05.2021
Ransomware-Angriff auf Colonial Pipeline nur Teil einer neuen Welle / Betreiber einer der größten Treibstoff-Pipelines der USA musste Betrieb nach Attacke mit DarkSide-Ransomware vorübergehend einstellen

datensicherheit.de, 10.05.2021
Colonial Pipeline: Massiver Ransomware-Angriff auf Betreiber / Tenable kommentiert Folgen für die Betriebstechnik durch IT-Ausfall nach Ransomware-Befall