Hauptsache, die Anlage läuft?!

Der Angriff auf die Colonial Pipeline: Was wir wissen und was wir lernen können

Na, wissen wir, wohin alle diese Rohre so führen? (Photo by Victor Garcia on Unsplash)

Wenn Sie den letzten Monat nicht auf einer einsamen Insel verbracht haben, hatten Sie wahrscheinlich wenig Chance, drumherumzukommen: Colonial, der Betreiber der größten Pipeline der USA, ist Opfer eines Ransomware-Angriffs geworden. Wir sortieren das mal:

Was ist eigentlich passiert?

Das Office-IT-Netzwerk (nicht das OT-Netzwerk) von Colonial ist Anfang Mai mit Ransomware infiziert worden. Die OT-Systeme waren also von der Ransomware selbst nicht betroffen. Colonial hat daraufhin aber trotzdem eigentlich nicht betroffene Systeme im OT-Netzwerk heruntergefahren, und damit den Betrieb der Pipeline.

War es ein OT-Security-Angriff? Oder: Warum genau hat Colonial die Pipeline außer Betrieb genommen?

Diese Tatsache hat Fragen aufgeworfen: Warum hat Colonial die Pipeline genau abgeschaltet? Die OT-Systeme zum Steuern und zu Beobachten des Benzinflusses waren ja intakt.

Automatisierungssysteme im Pipeline-Betrieb sind dafür da, den Benzinfluss über die Pipeline zu steuern und zu beobachten. Außerdem senden sie Daten an das IT-Netzwerk, um die Abnahmemengen zu übermitteln, auf deren Grundlage Rechnungen gestellt werden.

Hätte Colonial nur Sorge gehabt, dass die Ransomware sich von der IT in die OT ausbreitet, hätten sie die Verbindung zwischen beiden Netzerken trennen können. Daher liegt die Vermutung nahe: Die Pipeline wurde abgeschaltet, weil man das ausgelieferte Benzin nicht mehr hätte abrechnen können. Mit ihrem Angriff haben die Hacker also genau genommen nicht die Verteilung, sondern die Abrechnung des Treibstoffs lahmgelegt.

Was hatte der Angriff für Auswirkungen?

Colonial sitzt im US-Bundesstaat Georgia und ist der größte US-amerikanische Pipeline-Betreiber. “Größte” wird hier gemessen am Volumen. Die Pipeline transportiert knapp 400 Millionen Liter Erdölprodukte täglich von Texas nach New York, ist 8800 Kilometer lang und versorgt 50 Millionen Verbraucher.

Verbraucher, das sind vor allem Autofahrer, Häfen und Flughäfen: 45 Prozent der an der US-Ostküste verbrauchten Kraftstoffe kommen aus der Colonial-Pipeline. Dementsprechend sahen die Versorgungsengpässe aus: Nach dem Herunterfahren der Pipeline gab es in den betroffenen Gebieten an 50 bis 70 Prozent der Tankstellen kein Benzin mehr.
Vielleicht haben Sie Bilder von Autofahrern gesehen, die in sicherheitstechnisch fragwürdigen Gefäßen Benzin an Tankstellen gebunkert haben. Hamsterkäufe — dieses Mal für Benzin statt für Toilettenpapier. Die US-Behörden warnten davor, Benzin in Plastiktüten abzufüllen — dieser besonders bizarre Fall, der in den sozialen Netzwerken viral ging, kam aber gemäß einem Reuters-Factcheck aus dem Jahr 2019 und hatte nichts mit den Colonial-Angriffen zu tun.

Währenddessen sanken die Benzinpreise im Süden der USA am Golf von Mexiko, wo der Treibstoff ankam, aber ohne Pipeline nicht weiter transportiert werden konnte.

Wie ist Colonial mit dem Angriff umgegangen?

Vorweg: Die Angreifer dürften zufrieden sein. Colonial-CEO Joseph Blount hat entschieden, das Lösegeld (“Ransom”) von umgerechnet 3,6 Mio Euro zu zahlen. Es ist nicht so selten, dass Lösegeldforderungen gezahlt werden — auch wenn Experten und Behörden sich stets wünschen, dass das nicht passiert, um das Ransomware-Geschäft unattraktiver zu machen.

Es ist aber recht selten, dass Unternehmehn öffentlich machen, dass und warum sie das Lösegeld gezahlt haben. Im Fall von Colonial: Man sei sich über das Ausmaß der durch den Schadcode verursachten Schäden unsicher gewesen und habe nicht einschätzen können, wie lange es dauern würde, bis man die Pipeline wieder betreiben könne — trotz Einbindung von Behörden und einer externen IT-Sicherheitsfirma.

Man kann sich also vorstellen, dass die unternehmerische Rechnung für Blount einfach war: Eine unbestimmte Zahl von Tagen Pipeline-Ausfall auf der einen, 3,6 Mio Euro auf der anderen Seite.

Wer steckt hinter dem Angriff?

Der verwendete Schadcode ist die Ransomware “DarkSide”, wie das FBI bekanntgab.
DarkSide ist ein relativ neues Geschöpf im Ransomware-Zoo, wird erst seit 2020 beobachtet, und soll in Russland oder der Ukraine geschrieben worden sein. Allerdings wird DarkSide als “Ransomware-as-a-Service” angeboten, sein Einsatz kann also auch von anderen “Kunden” beauftragt worden sein.

Die Gruppe hinter DarkSide rühmt sich selbst damit, bestimmte Sektoren wie Bildung und Gesundheitswesen nicht anzugreifen. “Our goal is to make money, and not creating problems for society” ließen sie nach dem Pipeline-Shutdown auf ihrer Website verlauten, die nun nicht mehr verfügbar ist.
Offenbar hat der Angriff tatsächlich größere Folgen gehabt, als die DarkSide-Macher erwartet hatten: DarkSide hat angeblich seinen Kunden mitgeteilt, dass die Ransomware-as-a-Service-Dienste nicht mehr zur Verfügung stehen. Der Grund: Der Druck der US-Behörden und steige, und damit sei die Aufrechterhaltung der eigenen Infrastruktur schwieriger.

Wie haben die US-Behörden reagiert?

Zur Eindämmung der Folgen hat die US-Regierung kurz nach dem Angriff den regionalen Notstand erklärt, um den Transport von Benzin von Texas nach New York mit LKWs statt der Pipeline zu beschleunigen.

Wichtiger noch: Am 27. Mai hat die US-Regierung eine Security-Direktive erlassen, die höhere Security-Anforderungen an Pipelinebetreiber stellt.

Kann mir das auch passieren?

Die nagende Frage nach solchen Ransomware-Vorfällen ist für Betreiber: Könnte uns das auch passieren? Man kann versuchen, eine Antwort zu finden, indem man zusammenträgt, was wir über die Security-Situation bei Colonial wissen — und das ist naturgemäß nicht viel, außer dass US-Regierungsmitarbeiter “frustriert” über den Security-Status bei Colonial waren.

Was können wir daraus lernen?

Zuerst die Binsenweisheiten.
Was bei Ransomware immer stimmt: Die effektivste Maßnahme sind funktionierende Backups, die offline und am besten an einem anderen Ort gesichert sind und deren Restore regelmäßig unter Ernstfall-Bedingungen getestet wird (die Wiederherstellung sollte nicht nur funktionieren, sondern auch schneller gehen als die maximal tolerierbare Ausfallzeit der Systeme). Das hätte bei Colonial vielleicht geholfen.
Vielleicht? Nun ja: Es sind im Colonial-Fall auch Daten abgeflossen. Wogegen Backups nämlich nicht helfen, ist die zweite, häufiger werdende zweite Erpressungsstrategie: Sensible Daten kopieren und mit deren Veröffentlichung drohen.

Auch immer richtig: Sicherstellen, dass Ransomware sich nicht von der IT in die OT ausbreiten kann. Dies war im Colonial-Fall aber — wie weiter beleuchtet — wahrscheinlich nicht ursächlich für die Abschaltung der Pipeline. Trotzdem wäre die Ausbreitung wahrscheinlich technisch möglich gewesen, wie Kim Zetter in ihrem bemerkenswert detaillierten Bericht aufdröselt.

Nur: Der Befall der OT war ja gar nicht notwendig. Denn ein entscheidender Strang des Geschäftsmodells der Pipeline (die Abrechnung) war absolut abhängig von Systemen in der IT, die mit Daten aus der OT gespeist wurden. Für die OT galt also nicht nur “Hauptsache, die Anlage läuft”, sondern auch “Hauptsache, die Anlage liefert vertrauenswürdige Daten an die IT”.

Lessons Learned

1. Manchmal ist es nicht so offensichtlich, was eigentlich wichtige Funktionen von OT-Systemen sind, die unter keinen Umständen versagen dürfen.
2. Die Kritikalität dieser Funktionen wird auch nicht offensichtlich, wenn man reine Datenströme anschaut, sondern erst, wenn man “zu welchem Zweck”? fragt.
3. Manchmal sind die wichtigen Funktionen von OT nicht erkennbar, wenn man allein OT-Experten fragt.
   Hand aufs Herz: Wer von Ihnen übermittelt Daten aus Leitsystemen “irgendwo in die IT”? Und wer hätte “Übermittlung von Messdaten an die IT” als absolut kritische Funktion eingestuft?
4. Angreifer müssen die wichtigsten Funktionen und Abhängigkeiten der Systeme nicht so kennen. Sie können einfach Glück oder Pech — je nach Perspektive haben, dass ein Angriff mehr Auswirkungen hat als erwartet (so wohl geschenen bei DarkSide und Colonial).
   Aber Betreiber müssen mehr wissen als Angreifer, und gemeint sind nicht proprietäre Protokolle — das wäre “Security by Obscurity” — sondern die Wirkmechanismen ihres komplexen Gesamtsystems.
   “Das durchschaut eine einzelne Person ohnehin nicht mehr, also auch kein Angreifer” ist keine akzeptable Ausrede.

Dieser Beitrag ist auch im monatlichen “Security Briefing für Hard Hats” erschienen.