Cybersicherheit | IT-Schutz | Angriffsvektoren
Im vergangenen Monat kam es zu mehreren Cybersicherheitsvorfällen, die kritische Infrastrukturen, einschließlich Gesundheitseinrichtungen, auf der ganzen Welt zum Ziel hatten. Besonders interessant ist, dass die Angreifer angaben „keinen Schaden anrichten zu wollen“.
Was ist genau passiert und warum ist es relevant?
Eine kurze Definition zur Einordnung der Thematik: Kritische Infrastrukturen sind die Gesamtheit der Systeme, Netzwerke und Anlagen, die so wichtig sind, dass ihr kontinuierlicher Betrieb erforderlich ist, um die Sicherheit einer bestimmten Nation, ihrer Wirtschaft und die Gesundheit und/oder Sicherheit der Öffentlichkeit zu gewährleisten (TechTarget).
Im vergangenen Jahr hatten wir bereits über die Auswirkungen von Cyberangriffen auf Kritische Infrastrukturen berichtet. Wie schon damals dargestellt, kann ein Angriff auf eine Kritische Infrastruktur fatalen Folgen mit sich bringen. Nun ist es in der jüngsten Vergangenheit zu erneuten Vorfällen gekommen. Besonders stachen die Angriffe auf die US-amerikanische Colonial Pipeline, auf das irische und neuseeländische Gesundheitssystem sowie auf 150 verschiedene Regierungsorganisationen in den USA hervor.
Der Angriffe auf die amerikanische Pipeline, die fast 50 % des Kraftstoffs an der US-Ostküste liefert, führte dazu, dass diese den Betrieb einstellen musste und viele Tankstellen gezwungen waren Beschränkungen von 20 USD pro Person einzuführen, um Engpässe zu vermeiden. Trotz dessen gingen 7 % der Tankstellen der Treibstoff komplett aus. Um die Funktionsfähigkeit wiederherzustellen, entschied sich der CEO der Colonial Pipeline, das geforderte Lösegeld in Höhe von 4,4 Mio. USD an die Angreifer zu zahlen. Nach Erhalt der Zahlung erklärten die Angreifer, dass ihre Aktionen keinen politischen Hintergrund hätten und dass sie nicht beabsichtigten, der Gesellschaft Probleme zu bereiten. Verantwortlich für den Angriff ist offenbar DarkSide, ein Ransomware-as-a-Service (RaaS) Betreiber. Dabei handelt es sich um eine Cyber-Business-Lösung, bei der das DarkSide-Kernteam 20-30 % einer Lösegeldzahlung verdient und der Rest an den Partner geht, der den Angriff durchgeführt hat. Anfang Mai zahlte auch das in Deutschland ansässige Chemiedistributionsunternehmen Brenntag ein Lösegeld in Höhe von 4,4 Millionen an die DarkSide-Ransomware-Bande, um einen Entschlüsseler für verschlüsselte Dateien zu erhalten und die Bedrohungsakteure daran zu hindern, gestohlene Daten öffentlich bekannt zu machen.
Gesundheitssysteme im Visier
In Irland hatten es die Angreifer auf das Gesundheitssystem abgesehen. Die Cyberattacke führte dazu, dass der Zugriff auf sämtliche Gesundheitsdaten der Patienten gesperrt war. Mehrere Gesundheitschecks und Labortests mussten manuell durchgeführt werden und die Ergebnisse wurden mit Stift und Papier aufgeschrieben. Der Vorfall wurde als „großes Desaster“ bezeichnet. Die Angreifer forderten in diesem Fall 20 Millionen USD. Letztlich haben die Kriminellen das Software-Tool allerdings kostenlos herausgegeben. Die irische Regierung ist nun dabei das Tool zu testen. Sie weist ausdrücklich darauf hin, dass die Regierung der Lösegeldforderung der Hacker nicht nachgekommen ist und auch nicht nachkommen wird.
Auch in Neuseeland wurden das Gesundheitssystem angegriffen und sorgte dafür, dass das System heruntergefahren wurde. Auch nach zwei Wochen hat sich die Situation noch nicht vollständig normalisiert.
Ein weiterer Angriff auf Kritische Infrastrukturen fand erst vor wenigen Tagen in den USA statt. Dabei soll es sich um einen Angriff auf Regierungsorganisationen handeln. Zum Zeitpunkt des Schreibens dieses Blogbeitrags sind die Details noch unbekannt. Sobald Näheres verkündet wird, informieren wir Sie an dieser Stelle.
Was ist in solchen Situationen zu tun?
In den oben beschriebenen Fällen nahmen die Vorfälle ein relativ gutes Ende, aber man muss bedenken, dass die meisten Angriffe nicht dazu führen, dass die Angreifer ein Einsehen haben, sich bei den Opfern entschuldigen und deren Systeme wieder in Ordnung bringen. Auch sind die massiven Kosten zu beachten. Da Angriffe auf Kritische Infrastrukturen jeden Zivilisten persönlich betreffen können, lohnt es sich zu sehen, welche Lehren wir daraus ziehen können. Auch wenn kleine und mittlere Unternehmen oftmals nur ein Teil der Kette sind, können sie einen wichtigen Part im Verlauf des Cyberangriffs einnehmen und dazu führen, dass gesamten Infrastrukturen zusammenbrechen.
Wir empfehlen:
Cyber security | IT protection | Attack vectors
Last month, there were several cyber security incidents targeting critical infrastructure, including healthcare facilities, around the world. What is particularly interesting is that the attackers stated that they did not intend to cause any damage.
What exactly happened and why is it relevant?
A brief definition to put the issue into context: Critical infrastructure refers to all systems, networks and facilities that are so important that their continuous operation is necessary to ensure the security of a particular nation, its economy and the health and/or safety of the public (TechTarget).
Last year, we reported on the impact of cyber attacks on critical infrastructure. As we explained at the time, an attack on critical infrastructure can have fatal consequences. Now, there have been further incidents in the recent past. Particularly noteworthy were the attacks on the US Colonial Pipeline, the Irish and New Zealand healthcare systems, and 150 different government organisations in the US.
The attack on the American pipeline, which supplies almost 50% of the fuel on the US East Coast, forced it to shut down and many petrol stations were forced to introduce restrictions of £20 per person to avoid shortages. Despite this, 7% of petrol stations ran out of fuel completely. To restore operations, the CEO of Colonial Pipeline decided to pay the ransom of $4.4 million demanded by the attackers. After receiving the payment, the attackers stated that their actions had no political motive and that they did not intend to cause problems for society. DarkSide, a ransomware-as-a-service (RaaS) operator, appears to be responsible for the attack. This is a cyber business solution in which the DarkSide core team earns 20-30% of a ransom payment and the rest goes to the partner who carried out the attack. In early May, the Germany-based chemical distribution company Brenntag also paid a ransom of 4.4 million to the DarkSide ransomware gang to obtain a decryptor for encrypted files and prevent the threat actors from publicly disclosing stolen data.
Healthcare systems targeted
In Ireland, the attackers targeted the healthcare system. The cyberattack resulted in all patient health data being blocked. Several health checks and laboratory tests had to be carried out manually, and the results were recorded with pen and paper. The incident was described as a ‘major disaster.’
In this case, the attackers demanded USD 20 million. Ultimately, however, the criminals released the software tool free of charge. The Irish government is now testing the tool. It expressly states that the government has not complied with the hackers‘ ransom demand and will not do so.
The healthcare system in New Zealand was also attacked, causing the system to shut down. Even after two weeks, the situation has not yet fully returned to normal.
Another attack on critical infrastructure took place just a few days ago in the United States. It is believed to be an attack on government organisations. At the time of writing this blog post, the details are still unknown. We will provide more information here as soon as it becomes available.
What should you do in situations like this?
In the cases described above, the incidents ended relatively well, but it is important to remember that most attacks do not result in the attackers seeing reason, apologising to their victims and restoring their systems. The massive costs must also be taken into account. Since attacks on critical infrastructure can affect every civilian personally, it is worth seeing what lessons we can learn from this. Even though small and medium-sized enterprises are often only part of the chain, they can play an important role in the course of a cyber attack and cause entire infrastructures to collapse.
We recommend: