Nachricht

Jan 31, 2024

Wie der Colonial-Pipeline-Hack eine gefährdete Nation wachrüttelte

Ein Jahr nachdem kriminelle Hacker in die Colonial Pipeline Co. eingedrungen sind, macht sich in der gesamten Energiebranche die Angst vor einem weiteren großen Cyberangriff breit. Der Ransomware-Angriff vom 7. Mai 2021 war der verheerendste

Ein Jahr nachdem kriminelle Hacker in die Colonial Pipeline Co. eingedrungen sind, macht sich in der gesamten Energiebranche die Angst vor einem weiteren großen Cyberangriff breit.

Der Ransomware-Angriff vom 7. Mai 2021 war der verheerendste in der Geschichte der USA. Dies führte dazu, dass fast die Hälfte der an die Ostküste gelieferten Benzin- und Kerosinlieferungen eingestellt wurde. Und es zwang US-Unternehmen und Regierungsbehörden dazu, sich stärker mit den Risiken auseinanderzusetzen, die damit einhergingen, so lange so wenig für die Sicherung kritischer Infrastrukturen zu tun.

Schlangen an den Zapfsäulen und die Besorgnis über Energieknappheit vom Oval Office bis zum Capitol Hill machten deutlich, welche katastrophalen Auswirkungen ein Angriff von Hackern mit Zufluchtsort in Russland auf den durchschnittlichen Amerikaner haben könnte.

„Das Colonial-Ereignis war ein aufrüttelndes und katalytisches Ereignis sowohl für die Industrie als auch für die Regierung“, sagte Scott Gorton, geschäftsführender Direktor für Oberflächenpolitik bei der Transportation Security Administration.

Der Angriff auf Colonial durch eine Gruppe namens DarkSide erfolgte, nachdem eine umfassendere Cyberspionagekampagne mit Verbindungen zu Russland in Netzwerke der Bundesregierung und der amerikanischen Unternehmen eingebrochen war. Der raffinierte Hack der SolarWinds Corp. Anfang 2020 war von historischem Ausmaß und stellte eine Bedrohung für die nationale Sicherheit dar. Dennoch war es für die meisten Amerikaner eine Abstraktion.

Aber Colonial war anders.

Kurz nachdem die Führungskräfte von Colonial den 5.500-Meilen-Tankhahn geschlossen hatten, um sicherzustellen, dass Hacker keinen größeren Schaden anrichten würden, zeigten Fotos in den sozialen Medien Menschen, die Benzin horteten.

„Es hatte Auswirkungen auf den Durchschnittsverbraucher an der Zapfsäule“, sagte Mary Brooks, Resident Fellow für Cybersicherheit und neue Bedrohungen am R Street Institute. „Wir wissen, dass es den Wählern wichtig ist, was an der Zapfsäule passiert. Der Kongress kümmert sich darum, was an der Zapfsäule passiert.“

In den zwölf Monaten seitdem hat die Bundesregierung gehandelt, nachdem sie jahrelang alles aufgegeben hatte. Der Kongress hat angeordnet, dass Unternehmen, die Infrastruktur betreiben, den Bundesbehörden Bericht erstatten, wenn sie gehackt werden. Die Biden-Regierung erließ Mandate zur Sicherung von Öl- und Gaspipelines – darunter einige der 3 Millionen Meilen langen Erdgaspipelines in den Vereinigten Staaten.

Unmittelbar nach Colonial einigte sich Präsident Joe Biden per Handschlag mit dem russischen Präsidenten Wladimir Putin darauf, gezielten Hacks gegen die US-Infrastruktur ein Ende zu setzen.

Das verschwand schnell, als Russland im Februar in die Ukraine einmarschierte. Es kamen erneut Befürchtungen auf, dass Putin US-amerikanische und europäische Energieunternehmen ins Visier nehmen würde. Seitdem ist die Verteidigung der US-Energieinfrastruktur gegen die russische Bedrohung eine ständige Quelle der Kontakte der Biden-Regierung zu Energieunternehmen, sowohl im öffentlichen als auch im privaten Bereich.

Experten sagen, dass es viele Branchenanalogien dafür gibt, was getan werden muss, um die Cybersicherheit im Energiebereich zu stärken.

„Ich setze Colonial Pipeline für Cyber ​​gleich, was San Bruno für Erdgasintegrität war“, sagte Kimberly Denbow, Geschäftsführerin für Sicherheit und Betrieb bei der American Gas Association.

Sie bezog sich auf eine Explosion einer Erdgaspipeline im Jahr 2010, die Häuser in einem Viertel in San Bruno, Kalifornien, außerhalb von San Francisco, zerstörte.

Was Ölverschmutzungen betreffe, sei die Ölkatastrophe von Exxon Valdez im Jahr 1989 ein aufrüttelndes Ereignis gewesen, bemerkte sie. Der Zusammenbruch der BP-Ölpipeline Deepwater Horizon im Jahr 2010 löste einen – wenn auch erfolgreichen – Prozess aus, der von Unternehmen, die in der Tiefsee bohren, mehr verlangte.

„Colonial Pipeline konnte sagen: ‚Hey, wir haben Ihnen in den Nachrichten alles über Cyber ​​erzählt, und jetzt wirkt es sich direkt auf Ihren Geldbeutel und Ihren Panzer aus‘“, sagte Trey Herr, Direktor der Cyber ​​Statecraft des Atlantic Council Initiative.

Die Dynamik in der Cyberpolitik nimmt seit einigen Jahren zu. Experten stellten fest, dass die Bemühungen durch den Colonial-Hack verstärkt wurden und wahrscheinlich die letztendliche Verabschiedung des Cyber-Benachrichtigungsgesetzes und eines nationalen Sicherheitsmemorandums zur Cybersicherheit industrieller Kontrollsysteme festigten.

„Colonial“ sei ein „klarer Aufruf“ an Unternehmen, die Hacking möglicherweise nicht als kritisches Geschäftsrisiko angesehen hätten, sagte Eric Goldstein, stellvertretender Direktor für Cybersicherheit bei der Cybersecurity and Infrastructure Security Agency.

Der Colonial-Angriff führte schnell zu öffentlichem Druck wegen des Fehlens verbindlicher Cybersicherheitsvorschriften für den Pipelinesektor. Und es führte zu einer breiteren Diskussion über Vorschriften für kritische Infrastrukturen, die über Öl und Erdgas hinausgehen.

Damals überarbeitete die Pipeline-Industrie ihre freiwilligen Cybersicherheitsmaßnahmen. Nach der Kolonialzeit unterlagen Pipelines einer Reihe von Sicherheitsrichtlinien der TSA. Die neuen Vorschriften erforderten die Meldung schwerwiegender Verstöße innerhalb von 24 Stunden und eine Reihe von Cybersicherheitsvorschriften.

Die Sicherheitsrichtlinien stießen bei Industrie- und Cybersicherheitsexperten auf breite Kritik, die feststellten, dass die Richtlinien nicht berücksichtigten, wie unterschiedlich industrielle Systeme von Unternehmenscomputernetzwerken seien.

Es wird erwartet, dass die TSA eine überarbeitete zweite Sicherheitsrichtlinie herausgibt, die einige der Probleme angeht.

Gorton von der TSA sagte, die Behörde werde einige ihrer Checklisten für Sicherheitsmaßnahmen durch leistungs- oder ergebnisbasierte Maßnahmen ersetzen. Die überarbeiteten Mandate werden vor Ablauf des zweiten Mandats Ende Juli erteilt.

Die Pipeline-Industrie sagt, dass sie die Sicherheitsbedrohungen in den Griff bekommt, aber es gibt immer wieder Probleme, bei denen es um Geld geht. Versicherungen decken die Kosten eines Cyberangriffs oft nicht.

Kinder Morgan Inc., das über mehr als 80.000 Meilen Pipeline-Infrastruktur verfügt, sagte in einer kürzlich eingereichten Einreichung bei der Securities and Exchange Commission: „Es gibt keine Garantie dafür, dass in naher Zukunft eine angemessene Versicherung gegen Cyber-Sabotage und Terrorismus zu Konditionen verfügbar sein wird, die wir für angemessen halten.“ .“

„Unser Versicherungsprogramm deckt möglicherweise nicht alle betrieblichen Risiken und Kosten ab und bietet möglicherweise keinen ausreichenden Schutz im Schadensfall“, berichtete Kinder Morgan. „Wir verfügen nicht über einen Versicherungsschutz gegen alle potenziellen Verluste und könnten Verluste für nicht versicherbare oder unversicherte Risiken oder in Höhe von Beträgen erleiden, die über den bestehenden Versicherungsschutz hinausgehen.“

Energy Transfer LP, ein weiterer großer Pipelinebetreiber, warnte davor, dass die Kosten eines Cyberangriffs „möglicherweise nicht durch einige oder alle unserer geltenden Versicherungspolicen gedeckt werden oder die Deckungsgrenzen dieser überschreiten könnten“.

Colonial steht immer noch unter behördlicher Kontrolle. Am Vorabend des Jahrestages des Ransomware-Angriffs verhängte die Pipeline and Hazardous Materials Safety Administration des Verkehrsministeriums eine Strafe in Höhe von 1 Million US-Dollar für Colonials „Ad-hoc-Ansatz“ zur Wiederinbetriebnahme des Pipelinesystems nach der ersten Abschaltung im letzten Jahr.

Kein interner Kommunikationsplan, so die Regulierungsbehörde, „schaffe das Potenzial für erhöhte Risiken für die Integrität der Pipeline sowie zusätzliche Verzögerungen bei der Wiederinbetriebnahme, was die Versorgungsprobleme und gesellschaftlichen Auswirkungen verschärfe.“

In einer Erklärung sagte Colonial, dass ihr „Ansatz des manuellen Betriebs uns die nötige Flexibilität und Struktur gibt, um einen weiterhin sicheren Betrieb zu gewährleisten, während wir uns an ungeplante Ereignisse anpassen.“

Befürworter industrieller Cybersicherheit warnen seit Jahren davor, dass Hacker nicht in den Kontrollraum vordringen müssen, um den Betrieb eines Energieunternehmens zu stoppen, da Informationstechnologie (IT) zunehmend in Systeme der Betriebstechnologie (OT) integriert wird.

„Unter dem Gesichtspunkt der gewonnenen Erkenntnisse hat es vielen Unternehmen gezeigt, dass sie das Zusammenspiel zwischen IT und OT nicht verstehen“, sagte Rob Caldwell, Direktor für industrielle Kontrollsysteme und OT-Sicherheit beim Sicherheitsunternehmen Mandiant.

Ben Miller, Vizepräsident für Forschung und Entwicklung bei Dragos Inc., einem Unternehmen für industrielle Cybersicherheit, sagte, dass Ransomware aufgrund dieser gegenseitigen Abhängigkeit immer noch ein großes Problem darstelle.

Der Colonial-Hack hätte viel schlimmer ausfallen können, wenn die Malware in die Kontrollraumtechnologie der Pipeline gelangt wäre. „Ransomware-Ereignisse wirken sich regelmäßig auf den OT-Betrieb aus, und das bleibt unbemerkt“, sagte Miller.

Die Colonial-Hacker nutzten ein altes Remote-Login, um in die Netzwerke einzudringen, was laut Experten Bände darüber spräche, wie hoch das Risiko ist, wenn grundlegende Sicherheitsmaßnahmen nicht ergriffen werden.

Danielle Jablanski, Cybersicherheitsstrategin bei Nozomi Networks, sagte, dass es „mehrere Möglichkeiten gibt, die Geschäftskontinuität zu beeinträchtigen oder zu stören.“ Egal, ob es sich um einen Single Point of Failure, einen Vorfall in der Lieferkette oder einen IT-Ausfall handelt, der etwas auf der OT-Seite lahmlegen kann.“

Für den Pipelinesektor und die kritische Infrastruktur im Allgemeinen ist laut Experten die Antwort auf die Frage „Sind wir jetzt sicherer?“ nicht ausreichend. ist oft einfach: Es kommt darauf an.

Colonial steigerte das Bewusstsein der C-Suite-Führungskräfte. Immer mehr Menschen auf höheren Ebenen in Organisationen achten auf Cybersicherheit. Einige Unternehmen haben jedoch immer noch Probleme mit der Personalausstattung und dem Mangel an Ressourcen, um sich angemessen zu verteidigen.

Darüber hinaus brauchen Investitionen Zeit, und bei Öl und Erdgas ist es nicht so einfach, einen Patch herunterzuladen oder einen Firewall-Dienst zu installieren. Die Genehmigung durch die Stadtwerke ist ein wichtiger Aspekt dafür, ob die Mittel überhaupt verwendet werden können.

„Wir investieren im Allgemeinen erheblich in die Cybersicherheit, aber wenn man sich diese speziellen Umgebungen wie OT oder einige dieser Zusatzsysteme an den Rändern der IT ansieht, sind die Investitionen zu gering“, sagte Marty Edwards, Vizepräsident für betriebliche Technologiesicherheit beim Cybersicherheitsunternehmen Tenable.

„Generell denke ich, dass wir Fortschritte gemacht haben“, fuhr er fort, „aber gleichzeitig weiß ich auch, dass wir nicht schnell genug genug Fortschritte machen.“

Reporter Mike Lee hat dazu beigetragen.