Cyberangriff auf US-Pipeline-Betreiber nach Lehrbuch

Vor kurzem hat der Angriff der Hackergruppe „Darkside“ auf den Pipeline-Betreiber Colonial in den USA das Thema IT-Sicherheit erneut ins Rampenlicht gerückt. Der aus den Hauptnachrichten bekannte Angriff sorgte für Hamsterkäufe sowie Benzinknappheit an der Ostküste der USA und führte sogar dazu, dass in einigen US-Bundesstaaten der Notstand ausgerufen wurde. Das zeigt, dass Angriffe insbesondere auch auf Unternehmen aus dem Bereich der kritischen Infrastruktur enorme  gesellschaftliche Tragweite entwickeln können.

Warum aber kann ein solcher Angriff überhaupt derartige Auswirkungen haben?

Wenn wir einmal betrachten, was von dem Angriff bekannt ist, dann ist alles nach Lehrbuch abgelaufen. Zunächst wurde - vermutlich über eine infizierte Email oder eine offene Sicherheitslücke - ein kleines Schadprogramm eingeschleust, das im Anschluss das Firmennetz mit Ransomware infizierte. Offensichtlich war zwar eine Antivirus-Software vorhanden, diese konnte aber den Angriff nicht verhindern. Leider geschieht diese Art von Angriffen täglich und der laxe Umgang mit IT-Sicherheit bzw. der Glaube, dass vorhandene Lösungen ausreichend seien, trägt dazu bei, dass viele IT-Abteilungen tatsächlich machtlos sind.

Wichtig ist zu erkennen, dass komplexe Angriffe nicht allein durch EINE Maßnahme abgewehrt werden können (z.B. allein durch Antivirensoftware). In der Risikoanalyse verwendet man hierzu gerne das Schweizer-Käse-Modell:

"Das Schweizer-Käse-Modell vergleicht Sicherheitsebenen mit hintereinanderliegenden Käsescheiben. Die Löcher im Käse wie etwa beim Emmentaler sind ein Bild für die Unvollkommenheit von Sicherheits- oder Schutzmaßnahmen in einem Sicherheitssystem. Die Käselöcher als Schwachstellen können unerwartet ihre Größe und Lage verändern. Bei einer ungünstigen Kombination vieler ursächlicher Faktoren entwickeln sich einzelne Fehler zu … katastrophalen Folgen. Im Modell liegen dann die Käselöcher auf einer Linie und es entsteht die ‚Gelegenheit zu einer Flugbahn‘ … die alle Sicherheitsbarrieren überwinden.“
(Quelle: Wikipedia)

Das installierte Antivirus-Produkt als einzigem Schutz entspricht also einer einzelnen Käsescheibe. Erst viele verschiedene Scheiben schützen tatsächlich.

Die erste Sicherheitsebene bzw. „Käsescheibe“ kann man bereits durch den Faktor Mensch im ersten Schritt der Kette einrichten. Für durchschnittliche Office-Anwender sind Phishing-Mails nicht leicht erkennbar, somit wird Ransomware oft unbemerkt ausgeführt. Mit entsprechender Schulung gelingt es aber auch „Normalanwendern“ solche Mails zu erkennen und sich nicht täuschen zu lassen, d.h. ein risikobasiertes IT-Sicherheitskonzept beginnt bereits beim Thema „Security Awareness“.

Schwachstellenmanagement ist die nächste zu implementierende Ebene. Das Schwachstellenmanagement legt offen, welche Gefahren und Risiken wo lauern. Nur so können Sie sich durch rechtzeitiges Patchen von Sicherheitslücken sicher sein, nichts übersehen zu haben.

Angesichts der Professionalität der Ransomware-Täter ist die Antivirus-Lösung der denkbar schwächste Schutz, auf den man sich (nicht) verlassen kann. Teil der  „Qualitätssicherung“ für neue Ransomware ist auf jeden Fall, dass diese nicht von der Antivirensoftware erkannt wird. Es spricht grundsätzlich nichts dagegen, eine Antiviren-Software als zusätzliche „Käsescheibe“ zu betreiben. Zeitgemäß ist aber besonders für hochkritische Systeme eine Software zur Applikationskontrolle, die jede unbekannte Anwendung als Risiko betrachtet und nur definierte, bekannte Software zulässt und ausführt.

Sollten alle Stricke reißen und es trotz aller Präventionsmaßnahmen zum Ransomware-Befall kommen, hilft ein entsprechendes mehrstufiges Backup-Konzept sowie die standardmäßige Verschlüsselung aller wichtigen Daten. Denn verschlüsselte Daten stellen für die von Kriminellen oft angedrohte Veröffentlichung kein Risiko dar. Mit dem passenden Backup, welches viele Versionen aller Daten an verschiedenen Orten speichert, kann sich das betroffene Unternehmen auch die Lösegeldzahlung sparen.

Zusammenfassend lässt sich sagen, dass die beschriebenen Maßnahmen keine Raketenwissenschaft sind. Viele Unternehmen gehen leider noch zu sorglos mit ihren Daten und Systemen um und unternehmen zu wenig gegen das Risiko, gehackt zu werden. Das ist der eigentliche Grund, warum wir in den Nachrichten regelmäßig von schweren Angriffen erfahren. Unternehmen und Verantwortliche müssen endlich anfangen, die Bedrohungen nicht mehr hinzunehmen, sondern aktiv etwas dagegen zu tun.