Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Ransomware-Angriff auf Colonial Pipeline: Risikoreduzierung in OT-Umgebungen

Es ist höchste Zeit, dass Betreiber von OT-Umgebungen (Operational Technology) einen proaktiveren Ansatz für Cybersecurity verfolgen: Cyber-Wartung muss genauso zur Standardpraxis werden wie die mechanische Wartung von Systemen und Geräten.

Ein wichtiger Öl- und Gasversorger der US-Ostküste wurde am 8. Mai nach einem gemeldeten Ransomware-Angriff vom Netz genommen. Bei diesem Angriff auf die rund 8.900 km lange Colonial Pipeline, die 45 Prozent des Öl- und Gasverbrauchs an der Ostküste abdeckt, handelt es sich nur um die jüngste Attacke, die auf den Öl- und Gassektor abzielt. Die Branche gehört zu den 16 Infrastrukturbereichen, die das US-Department of Homeland Security (DHS) als kritisch eingestuft hat.

Es ist nicht überraschend, dass eine Abschaltung oder Unterbrechung einer Pipeline großes Medieninteresse hervorruft. Der Angriff wirft aber auch die Frage auf, wie anfällig unsere kritische Infrastruktur für Angriffe ist.

Ransomware-Angriff auf Colonial Pipeline: Absicherung kritischer Infrastruktur

Quelle: Colonial Pipeline

Der Paradigmenwechsel bei operativen Technologien 

Während die in der Öl- und Gasindustrie erforderliche operative Technologie (OT) früher isoliert und „Air-Gapped“ war, sind diese Systeme heute zunehmend mit der IT-Infrastruktur und dem Internet vernetzt, wodurch sich neue Angriffswege eröffnen. Diese Konvergenz schafft eine Umgebung, in der alle Aspekte des Öl- und Gasbetriebs sowohl von der IT- als auch von der OT-Seite aus angegriffen werden können und somit die Möglichkeit entsteht, sich seitwärts fortzubewegen („Lateral Movement“).

Darüber hinaus nutzen viele Ransomware-Angriffe Active Directory (AD), um nach dem ersten Eindringen Lateral Movement und Rechteausweitung durchzuführen, und neue Malware enthält zunehmend Code, der auf AD-Fehlkonfigurationen abzielt. Für Angreifer ist AD zum bevorzugten Ziel geworden, um durch Ausnutzung bekannter Schwachstellen und Fehlkonfigurationen die Zugriffsrechte zu erhöhen und sich seitwärts fortzubewegen. Leider haben die meisten Unternehmen mit der Sicherheit von Active Directory Probleme. Grund dafür sind Fehlkonfigurationen, die sich angesichts zunehmend komplexer Domänen häufen, sodass Sicherheitsteams nicht mehr in der Lage sind, Mängel zu finden und zu beheben, bevor diese geschäftsschädigende Auswirkungen nach sich ziehen.

Der Angriff auf Colonial Pipeline ist nur der jüngste in einer Reihe von Angriffen in der letzten Zeit, die sich gegen die Öl- und Gasindustrie rund um den Globus richteten:

  • Saipem, ein italienischer Auftragnehmer aus der Öl- und Gasindustrie, erlitt im Dezember 2018 einen Cyberangriff, der auf Server im Nahen Osten sowie in Indien, Aberdeen und Italien abzielte.

  • Im Anschluss an einen Cyberangriff auf ein gemeinsam genutztes Datennetzwerk waren im April 2018 vier Betreiber von Erdgas-Pipelines in den USA gezwungen, die gesamte digitale Kommunikation mit Kunden vorübergehend einzustellen.

  • Nach einem Cyberangriff auf eine US-amerikanische Erdgasanlage, bei dem IT- und OT-Netzwerke zeitgleich verschlüsselt wurden, war kein Zugriff auf Mensch-Maschine-Schnittstellen (HMI), Historian-Datenbanken und Abfrageserver mehr möglich. Die Pipeline musste daraufhin im Februar 2020 zwei Tage lang stillgelegt werden.


Einhaltung von Compliance-Auflagen ist nicht gleich Sicherheit

Bei unserer Arbeit mit OT-Umgebungen treffen wir häufig auf Unternehmen, die annehmen, dass die Einhaltung von Vorschriften gleichbedeutend mit Sicherheit ist. Wir möchten keinesfalls unterstellen, dass dies bei Colonial Pipeline der Fall war. Dennoch sind wir überzeugt, dass es sich für alle Unternehmen in diesem Sektor lohnt, ihre Cybersecurity-Strategie in einem umfassenderen Gesamtkontext zu betrachten. 

Es gibt fünf Sicherheitsstandards, die für die Öl- und Gasindustrie relevant sind. Alle diese Standards verlangen, dass Unternehmen über eine bestimmte Sicherheitsgrundlage verfügen. Diese Sicherheitsgrundlage umfasst Asset-Inventarisierung, Kontrollen für das Sicherheitsmanagement sowie ein Schwachstellen-Management-System. Wenngleich wir einen regulatorischen Ansatz befürworten und Compliance für lobenswert halten, betrachten wir die Einhaltung dieser Richtlinien nur als den Grundstock einer soliden Cybersecurity-Strategie.

Der Grund: Die Ausarbeitung, der Beschluss und die Durchsetzung von regulatorischen Standards können nicht mit der schnell wachsenden Angriffsoberfläche und der Geschwindigkeit Schritt halten, mit der sich Angreifer an diese anpassen. Wir können also nicht davon ausgehen, dass „Compliance“ bedeutet, das Unternehmen habe „Sicherheit“ erzielt. Wir müssen weit über die Einhaltung von Vorschriften hinausblicken, wenn wir darauf hoffen, kritische Infrastrukturen zu schützen und Angriffe wie den auf Colonial Pipeline zu verhindern.

5 Sicherheitsstandards, die für die Öl- und Gasindustrie relevant sind

API-Standard 1164 – Inhalt speziell für Pipelines, die nicht durch NIST CSF und IEC 62443 abgedeckt sind.


National Institute of Standards and Technology (NIST) Cybersecurity Framework zur Verbesserung der Cybersecurity kritischer Infrastrukturen (NIST CSF) – Maßgebliches Framework, das von Unternehmen aus sämtlichen Branchensektoren angewendet wird; Erdgas- und Ölunternehmen richten unternehmensweite Programme zunehmend auf NIST CSF aus.


Cybersecurity Capability Maturity Model (C2M2) des US-Energieministeriums – Freiwilliger Prozess, der auf branchenweit anerkannten Best Practices zur Messung des Reifegrads von Cybersecurity-Funktionen und zur Stärkung der operativen Abläufe eines Unternehmens beruht.


International Electrotechnical Commission (IEC) 62443 – Eine Reihe von Sicherheitsstandards für industrielle Steuerungssysteme (ICS), die im Produktionssegment der Erdgas- und Ölindustrie flächendeckend angewendet werden und im Bereich Erdgas und Öl für ICS aller Art geeignet sind.

ISO 27000 der Internationalen Organisation für Normung – Führender Standard der Reihe, der die Anforderungen an ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS) festlegt.


Unterbinden von Bedrohungen der OT-Sicherheit

Ironischerweise ist eine der ungünstigsten Zeiten, sich mit einer Cyberattacke zu befassen, der Zeitpunkt, an dem sie gerade stattfindet. In den kommenden Tagen und Wochen werden wir zweifellos weitere Details über den Verlauf dieses Angriffs sowie über die Kosten und Störungen erfahren, die er verursacht hat. Damit Unternehmen, die kritische Infrastrukturen betreiben, überhaupt die Hoffnung haben, aus dem Modus der Cyber-Brandbekämpfung – bei dem sie zu einer Reaktion auf Angriffe gezwungen sind – herauszukommen, müssen sie sich stattdessen darauf konzentrieren, Angriffen zuvorzukommen, indem sie diese bereits im Vorfeld vereiteln. 

Viele industrielle Umgebungen, einschließlich der Öl- und Gasindustrie, sind mit der Durchführung von routinemäßigen Wartungsarbeiten an Anlagen sehr vertraut. Ob es sich um den Austausch von Lagern, Filtern oder Flüssigkeiten handelt: Wartung wird durchgeführt, um einen katastrophalen Geräteausfall durch den sogenannten „Betrieb bis zum Eintreten eines Fehlers“ (Run to Failure, RTF) zu vermeiden. Regelmäßige Wartung spart Geld und Ärger und vermeidet eine Umleitung von Ressourcen. 

Warum also führen Unternehmen nicht die gleiche Art von regelmäßiger Wartung für die Cybersecurity ihrer OT-Systeme durch?

Ein auf „Wartung“ beruhender Ansatz für die OT-Infrastruktur bedeutet, dass speicherprogrammierbare Steuerungen (SPS), verteilte Steuerungssysteme (DCS), HMIs und andere OT-Geräte, die diese Maschinen betreiben, einer angemessenen Cyberhygiene unterzogen werden. Regelmäßige Cyberhygiene kann OT-Bedrohungen reduzieren, indem riskantes Verhalten gestoppt, „Eintrittspforten“ geschlossen und die Anzahl der Schwachstellen, die ausgenutzt werden können, verringert wird.

Für eine frühzeitige Eindämmung von Bedrohungen ist Folgendes notwendig:

  • Erzielen von Transparenz über die gesamte Angriffsoberfläche – einschließlich IT- und OT-Systeme 

  • Einsatz von tiefgreifenden Sicherheitsmaßnahmen auf Geräte- und Netzwerkebene 

  • Wiederherstellung der Kontrolle durch das Management von Konfigurationsänderungen 


Unternehmen benötigen eine angemessene Cyberhygiene sowohl in ihrer OT-Infrastruktur als auch in ihrem Active Directory, um ihre Cyber Exposure zu reduzieren und sicherzustellen, dass Angriffswege abgeschnitten werden, bevor es Angreifern gelingt, Rechte auszuweiten, das Netzwerk zu durchqueren und ihren Ransomware-Versuch zu starten. Durch diese Maßnahmen können alle kritischen Infrastrukturen und Produktionsbetriebe leichter vermeiden, dass sie auf eine Sicherheitskrise reagieren müssen, die den Betrieb stoppen und potenziell Menschenleben gefährden kann. 

Mehr erfahren

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable.io Vulnerability Management umfasst außerdem Tenable Lumin, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web Application Scanning umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.cs Cloud Security.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Tenable Lumin-Testversion umfasst außerdem Tenable.io Vulnerability Management, Tenable.io Web Application Scanning und Tenable.cs Cloud Security.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Ihre Testversion von Tenable.cs Cloud Security umfasst außerdem Tenable.io Vulnerability Management, Tenable Lumin und Tenable.io Web Application Scanning.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Sonderpreise bis 31. Dezember verlängert.
Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen