← Wissen

// Security

Colonial Pipeline

Ein altes VPN-Konto ohne Zwei-Faktor-Schutz legte die grösste Treibstoff-Pipeline der US-Ostküste lahm.

Colonial Pipeline: Ransomware traf das IT-Netz über einen alten VPN-Zugang; die Pipeline wurde vorsorglich abgeschaltetVPN-Zugangalt, ohne 2FAIT-NetzBüro & AbrechnungPipelineOT-SteuerungAufbauEin Fernzugang (VPN), das Büro-IT-Netz und die eigentliche Pipeline-Steuerung (OT).IT und OT hängen näher zusammen, als vielen bewusst ist.
Tempo:

Schritt 1 von 6

Ein Fernzugang (VPN), das Büro-IT-Netz und die eigentliche Pipeline-Steuerung (OT). IT und OT hängen näher zusammen, als vielen bewusst ist.

In 30 Sekunden

Im Mai 2021 traf ein Ransomware-Angriff die Colonial Pipeline, das grösste Treibstoff-Leitungssystem der US-Ostküste. Die Angreifergruppe DarkSide gelangte über ein altes, nicht mehr genutztes VPN-Konto (verschlüsselter Fernzugang ins Firmennetz) ins IT-Netz (die normale Büro- und Geschäfts-EDV). Dieses eine Konto hatte keinen Zwei-Faktor-Schutz, und das passende Passwort war zuvor in einem fremden Datenleck aufgetaucht. Die Angreifer verschlüsselten mit Ransomware (Erpressungs-Software, die Daten sperrt) Teile der IT, etwa die Abrechnung, und stahlen zusätzlich Daten. Wichtig: Die eigentliche Pipeline-Steuerung (die OT, also die Technik, die den physischen Betrieb regelt) wurde nicht gehackt. Colonial schaltete die Pipeline aus Vorsicht selbst ab, weil man ein Uebergreifen nicht sicher ausschliessen konnte. Die Folge waren rund sechs Tage Stillstand, Treibstoff-Engpässe und Panikkäufe.

Was geschah

Jahr

2021

Ziel

Betroffen war die Colonial Pipeline, das grösste Treibstoff-Leitungssystem der US-Ostküste, und in der Folge die Treibstoffversorgung im Südosten der USA.

Der Angriffsweg

  1. Die Angreifer nutzten ein altes, nicht mehr aktiv verwendetes VPN-Konto (Fernzugang ins Firmennetz), dessen Passwort zuvor in einem fremden Datenleck aufgetaucht war.
  2. Weil dieses eine Konto keinen Zwei-Faktor-Schutz hatte, genügte das geleakte Passwort allein für den Einstieg ins interne IT-Netz.
  3. Im IT-Netz breiteten sich die Angreifer auf weitere Systeme aus und bereiteten die Verschlüsselung vor, wobei sie zusätzlich Daten abzogen.
  4. Die Ransomware verschlüsselte Teile der IT, darunter Abrechnungssysteme, sodass zentrale Geschäftsprozesse ausfielen.
  5. Da eine strikte Trennung zur Pipeline-Steuerung (OT) nicht sicher belegt war, schaltete Colonial die Pipeline vorsorglich selbst ab.

Auswirkung

Die Pipeline stand rund sechs Tage still (vom 7. bis zum Wiederanlauf am 12. Mai 2021), was zu Treibstoff-Engpässen, langen Warteschlangen an Tankstellen und Panikkäufen im Südosten der USA führte. Colonial zahlte laut Berichten rund 4,4 Millionen Dollar Lösegeld (75 Bitcoin, eine digitale Währung mit stark schwankendem Kurs), um schneller wieder handlungsfähig zu sein. Das FBI konnte später rund 63,7 der 75 Bitcoin (etwa 84 Prozent der Coins) zurückholen, wegen des zwischenzeitlich gefallenen Kurses war der wiedererlangte Dollar-Wert mit rund 2,3 Millionen aber deutlich geringer. Der Vorfall gilt bis heute als Musterbeispiel dafür, wie ein IT-Problem indirekt die physische Versorgung lahmlegen kann.

So schützt du dich

Aktiviere Zwei-Faktor-Authentifizierung (ein zweiter Nachweis zusätzlich zum Passwort) überall, besonders bei jedem Fernzugang von aussen.
Schliesse alte und nicht mehr genutzte Konten und Zugänge konsequent, denn ein vergessenes Konto ist eine offene Tür.
Trenne das Büro-IT-Netz strikt vom Steuerungsnetz (OT), damit ein Befall der IT nicht auf die Anlagentechnik übergreifen kann.
Halte geprüfte, regelmässig getestete Backups getrennt vom Hauptsystem bereit, damit du im Ernstfall ohne Lösegeldzahlung wiederherstellen kannst.
Erstelle und übe einen Notfallplan, der klar regelt, wer wann entscheidet und wie im Zweifel sicher abgeschaltet wird.

Fakten

Jahr
Mai 2021
Betroffener Sektor
Kritische Infrastruktur, Treibstoff-Pipeline (Energie)
Angriffsart
Ransomware plus Datendiebstahl (doppelte Erpressung)
Zuschreibung
Kriminelle Gruppe DarkSide (laut FBI und Berichten)
Eintrittspunkt
Altes VPN-Konto ohne Zwei-Faktor-Schutz, Passwort aus Datenleck
Ausmass
Rund 6 Tage Pipeline-Stillstand, Engpässe an der US-Ostküste
Lösegeld
Ca. 4,4 Mio. USD (75 Bitcoin), FBI holte ca. 63,7 BTC zurück
Besonderheit
Nicht die OT wurde gehackt, die Abschaltung war Vorsicht

Im Detail

Was wirklich geschah

Am 7. Mai 2021 bemerkte die Colonial Pipeline Company, dass ihre IT-Systeme mit Ransomware verschlüsselt worden waren. IT steht für die normale Büro- und Geschäfts-EDV, also die Computer, mit denen ein Unternehmen verwaltet, abrechnet und kommuniziert. Ransomware ist Erpressungs-Software: Sie sperrt Daten und Systeme, und die Täter fordern Geld für die Freigabe. Betroffen waren vor allem Systeme der Geschäfts-IT, etwa die Abrechnung.

Die eigentliche Pipeline-Steuerung, also die Technik, die den physischen Fluss des Treibstoffs regelt (die sogenannte OT, Operational Technology, zu Deutsch Betriebstechnik), wurde nach heutigem Kenntnisstand nicht direkt angegriffen. Trotzdem stoppte Colonial den Betrieb. Der Grund war eine Vorsichtsmassnahme: Das Unternehmen konnte nicht sicher ausschliessen, dass sich der Befall aus der IT auf die Steuerung ausbreitet, und wählte im Zweifel die sichere Abschaltung.

Dieser Punkt ist zentral für das Verständnis: Ein Ausfall der Anlage muss nicht bedeuten, dass die Anlage selbst gehackt wurde. Oft ist es die Unsicherheit über die Grenze zwischen IT und OT, die zur Abschaltung führt.

Warum es möglich war

Der Einstieg gelang über ein VPN-Konto. Ein VPN (Virtual Private Network) ist ein verschlüsselter Fernzugang, mit dem Mitarbeitende von aussen sicher ins Firmennetz kommen sollen. Dieses Konto war alt und wurde nicht mehr aktiv genutzt. Trotzdem war es technisch weiterhin gültig, also weiter nutzbar.

Zwei Schwächen kamen zusammen. Erstens war das Passwort dieses Kontos zuvor in einem fremden Datenleck aufgetaucht, also in einer Sammlung gestohlener Zugangsdaten. Zweitens war für dieses Konto kein Zwei-Faktor-Schutz aktiv. Zwei-Faktor bedeutet, dass zusätzlich zum Passwort ein zweiter Nachweis nötig ist, zum Beispiel ein Code aus einer App. Fehlt dieser zweite Faktor, reicht ein einziges geleaktes Passwort für den Zugang.

Aus Sicht der Geschäftsführung ist die Lehre einfach: Nicht ein raffinierter Super-Angriff war der Auslöser, sondern eine vergessene, ungeschützte Tür. Genau solche Türen sind in vielen Organisationen vorhanden, ohne dass es jemandem auffällt.

Die Folgen und die Lösegeldzahlung

Der Stillstand dauerte rund sechs Tage (vom 7. bis zum Wiederanlauf am 12. Mai 2021). Weil die Pipeline einen grossen Teil des Treibstoffs für die US-Ostküste liefert, kam es rasch zu Engpässen. Viele Menschen begannen aus Sorge, Treibstoff zu horten, was die Lage durch Panikkäufe zusätzlich verschärfte. Der Vorfall zeigte eindrücklich, wie stark die reale Versorgung von digitaler Sicherheit abhängt.

Colonial zahlte laut Berichten rund 4,4 Millionen Dollar Lösegeld in Form von 75 Bitcoin, um die Wiederherstellung zu beschleunigen. Bitcoin ist eine digitale Währung, deren Kurs stark schwankt. Fachleute raten grundsätzlich von Zahlungen ab, weil sie das Geschäftsmodell der Täter finanzieren und keine Garantie bieten. Zusätzlich zur Verschlüsselung setzten die Täter auf sogenannte doppelte Erpressung: Sie sperren die Daten und drohen gleichzeitig, zuvor gestohlene Daten zu veröffentlichen. Dass hier gezahlt wurde, unterstreicht, unter welchem Druck Betreiber kritischer Infrastruktur stehen.

Das FBI konnte später rund 63,7 der gezahlten 75 Bitcoin zurückholen, also etwa 84 Prozent der Coins. Wegen des zwischenzeitlich gefallenen Bitcoin-Kurses war der wiedererlangte Betrag in Dollar mit rund 2,3 Millionen allerdings deutlich kleiner als die ursprüngliche Zahlung. Eine Rückholung ist also möglich, aber weder selbstverständlich noch wertmässig vollständig.

Was du daraus lernen kannst

Die wirksamsten Massnahmen in diesem Fall sind unspektakulär und für jede Organisation umsetzbar. Aktiviere Zwei-Faktor-Authentifizierung überall, wo ein Zugang von aussen möglich ist. Schliesse alte und ungenutzte Konten, statt sie einfach liegen zu lassen. Führe regelmässig eine Bestandsaufnahme, welche Zugänge überhaupt existieren.

Trenne dein Büro-Netz (IT) klar von der Steuerungstechnik (OT). Eine saubere, nachweisbare Trennung sorgt dafür, dass du im Ernstfall nicht aus reiner Unsicherheit die ganze Anlage abschalten musst. So bleibt ein IT-Problem ein IT-Problem und legt nicht den physischen Betrieb lahm.

Sorge zusätzlich für geprüfte Backups und einen geübten Notfallplan. Backups helfen nur, wenn sie regelmässig getestet werden und getrennt vom Hauptsystem liegen. Ein Notfallplan wirkt nur, wenn im Vorfeld klar ist, wer entscheidet und wie sicher abgeschaltet wird. Wer das vorbereitet hat, gerät nicht in die Zwangslage, unter Zeitdruck über ein Lösegeld entscheiden zu müssen.

Weiterführend