Vor fast drei Jahren wurde die Colonial Pipeline angegriffen und sechs Tage lang stillgelegt, was zu einem Gasmangel führte. Washington, D.C. und 17 weitere Bundesstaaten riefen den Notstand aus.

Überblick über den Angriff auf die Colonial Pipeline

Colonial Pipeline wurde im Mai 2021 von Ransomware befallen, was mehrere digitale Systeme betraf und zu einer mehrtägigen Abschaltung führte. Der Vorfall betraf sowohl Verbraucher als auch Fluggesellschaften entlang der Ostküste. Da die Pipeline Öl von Raffinerien zu Industriemärkten transportiert, wurde sie als nationales Sicherheitsrisiko eingestuft. US-Präsident Joe Biden verhängte daraufhin den Notstand.

Die Colonial Pipeline ist eine der größten und wichtigsten Ölpipelines der USA. Sie wurde 1962 eröffnet, um Öl vom Golf von Mexiko an die Ostküste zu transportieren. Das System umfasst mehr als 8.800 Kilometer Pipeline, die in Texas beginnen und durch New Jersey verlaufen. Sie deckt fast die Hälfte des Treibstoffbedarfs an der Ostküste ab. Sie liefert raffiniertes Öl für Benzin, Düsentreibstoff und Heizöl.

Viele Tankstellen in US-Bundesstaaten haben aufgrund der Schließung des Colonial Pipeline-Systems im Mai 2021 keinen Kraftstoff mehr. Foto: NBC News

Am 6. Mai 2021 griff die Hackergruppe DarkSide auf das Netzwerk von Colonial Pipeline zu und stahl innerhalb von zwei Stunden 100 GB Daten. Anschließend infizierten sie das IT-Netzwerk mit Ransomware, wodurch mehrere Computersysteme, darunter auch Buchhaltungs- und Abrechnungssysteme, betroffen waren.

Colonial Pipeline musste die Pipeline schließen, um die Verbreitung der Ransomware zu stoppen. Die Sicherheitsfirma Mandiant wurde daraufhin mit der Untersuchung des Angriffs beauftragt. Das FBI, die Cybersecurity and Infrastructure Security Agency, das Energieministerium und das Heimatschutzministerium waren ebenfalls beteiligt.

Am 7. Mai 2021 musste das größte Pipeline-Unternehmen der USA ein Lösegeld von 75 Bitcoins im Wert von rund 4,4 Millionen US-Dollar an Hacker zahlen, um den Entschlüsselungsschlüssel zu erhalten. Ab dem 12. Mai 2021 war die Pipeline wieder in Betrieb.

Während einer Anhörung vor dem US-Kongress am 8. Juni 2021 sagte Charles Carmakal, Senior Vice President und Chief Technology Officer von Mandiant, der Angreifer sei mithilfe eines durchgesickerten Passworts eines VPN-Kontos in das Netzwerk eingedrungen. Viele Organisationen nutzen VPNs, um aus der Ferne auf sichere Unternehmensnetzwerke zuzugreifen.

Laut Carmakals Aussage teilte ein Mitarbeiter von Colonial Pipeline offenbar ein VPN-Passwort mit einem anderen Konto, das jedoch bei einem anderen Datenleck offengelegt wurde. Die gemeinsame Nutzung eines Passworts für mehrere Konten ist ein Fehler, den viele Leute machen.

Ebenfalls bei der Anhörung erklärte Joseph Blount, CEO von Colonial Pipeline, warum er sich für die Zahlung des Lösegelds entschieden hatte. Zum Zeitpunkt des Angriffs wusste er nicht, wie weit die Infektion verbreitet war und wie lange die Wiederherstellung des Systems dauern würde. Daher traf er diese Entscheidung in der Hoffnung, die Wiederherstellung zu beschleunigen.

Das US- Justizministerium konnte die Zahlung zurückverfolgen, die digitale Adresse des vom Angreifer verwendeten Wallets ermitteln und einen Gerichtsbeschluss zur Beschlagnahme der Bitcoins erwirken. Im Ergebnis wurden 64/75 Bitcoins im Wert von rund 2,4 Millionen US-Dollar sichergestellt.

Das „Erbe“ des Angriffs auf die Colonial Pipeline

Ransomware ist das erste Mal, dass die USA davon Notiz nehmen. Der Kongress musste neue Gesetze verabschieden und Bundesbehörden neue Cybersicherheitsanforderungen erlassen. Ransomware-Angriffe sind nichts Neues – schon vor Colonial Pipeline haben sie Regierungen, Gesundheitseinrichtungen und Schulen verwüstet. Der Unterschied liege jedoch in den regionalen Auswirkungen, sagte Ben Miller, Vice President of Services beim Infrastruktursicherheitsunternehmen Dragos.

„Später habe ich erfahren, dass die Aufmerksamkeit auf sich zieht, wenn es tatsächlich Auswirkungen auf das Leben der Menschen gibt“, sagte Charles Carmakal, Senior Vice President der Sicherheitsfirma Mandiant, die bei der Untersuchung des Colonial-Vorfalls mitwirkte. „Wenn es um Gas und Fleisch geht, kümmern sich die Leute wirklich darum.“

Der Vorfall mit der Colonial Pipeline führte dazu, dass viele Fluggesellschaften unter Treibstoffmangel litten und einige Flughäfen eingeschränkt waren. Die Sorge um Benzinknappheit löste in vielen Bundesstaaten Panik und lange Warteschlangen an Tankstellen aus. Auch die durchschnittlichen Preise an der Zapfsäule stiegen aufgrund des Pipeline-Ausfalls sprunghaft an. In einigen Bundesstaaten füllten die Menschen sogar ihr Benzin in Plastiktüten, was die US-amerikanische Verbraucherschutzkommission (CSP) dazu veranlasste, nur dafür vorgesehene Behälter für Benzin zu verwenden.

Der Angriff auf die Colonial Pipeline zwang alle dazu, Sicherheitsrisiken ernst zu nehmen und Maßnahmen zu ergreifen, die zuvor vernachlässigt worden waren. Laut Mike Hamilton, ehemaliger Chief Information Security Officer der Stadt Seattle, war es eine schwierige Aufgabe, die Bundesregierung dazu zu bringen, den Sicherheitsanforderungen kritischer Infrastrukturen Priorität einzuräumen.

Nachfolgende Vorfälle Ende 2021 – darunter einer gegen den Fleischproduzenten JBS Foods – erhöhten den Druck auf politische Entscheidungsträger, Regulierungsbehörden und Führungskräfte. Sie veranlassten die Führungskräfte, ihre eigenen Ransomware-Reaktionspläne zu überprüfen. Miller sagte, das Interesse an Reaktionsplänen sei deutlich detaillierter geworden.

Dennoch sind Regulierung und Branchenänderungen erforderlich. Wendi Whitmore, Senior Vice President of Threat Intelligence bei Palo Alto Networks Unit 42, sagte, es brauche multilaterale Abkommen zwischen den Ländern, um gegen Ransomware vorzugehen.

(Laut Axios, Tech Target)