Hauptsache, die Anlage läuft?!

Der Angriff auf die Colonial Pipeline: Was wir wissen und was wir lernen können

Na, wissen wir, wohin alle diese Rohre so führen? (Photo by Victor Garcia on Unsplash)

Was ist eigentlich passiert?

War es ein OT-Security-Angriff? Oder: Warum genau hat Colonial die Pipeline außer Betrieb genommen?

Was hatte der Angriff für Auswirkungen?

Wie ist Colonial mit dem Angriff umgegangen?

Wer steckt hinter dem Angriff?

Wie haben die US-Behörden reagiert?

Kann mir das auch passieren?

Was können wir daraus lernen?

Lessons Learned

  1. Manchmal ist es nicht so offensichtlich, was eigentlich wichtige Funktionen von OT-Systemen sind, die unter keinen Umständen versagen dürfen.
  2. Die Kritikalität dieser Funktionen wird auch nicht offensichtlich, wenn man reine Datenströme anschaut, sondern erst, wenn man “zu welchem Zweck”? fragt.
  3. Manchmal sind die wichtigen Funktionen von OT nicht erkennbar, wenn man allein OT-Experten fragt.
    Hand aufs Herz: Wer von Ihnen übermittelt Daten aus Leitsystemen “irgendwo in die IT”? Und wer hätte “Übermittlung von Messdaten an die IT” als absolut kritische Funktion eingestuft?
  4. Angreifer müssen die wichtigsten Funktionen und Abhängigkeiten der Systeme nicht so kennen. Sie können einfach Glück oder Pech — je nach Perspektive haben, dass ein Angriff mehr Auswirkungen hat als erwartet (so wohl geschenen bei DarkSide und Colonial).
    Aber Betreiber müssen mehr wissen als Angreifer, und gemeint sind nicht proprietäre Protokolle — das wäre “Security by Obscurity” — sondern die Wirkmechanismen ihres komplexen Gesamtsystems.
    “Das durchschaut eine einzelne Person ohnehin nicht mehr, also auch kein Angreifer” ist keine akzeptable Ausrede.

Dieser Beitrag ist auch im monatlichen “Security Briefing für Hard Hats” erschienen.

--

--

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Sarah Fluchs

Friction generates heat — true for writing and engineering. Fluchsfriction generates writings on security engineering. Heated debates welcome! CTO@admeritia