Oiltanking Hack

Experten-Statements zum Hackerangriff auf das Tanklogistikunternehmen Oiltanking

, München | Autor: Herbert Wieler

Experten-Statements zum Hackerangriff auf das Tanklogistikunternehmen Oiltanking

Verschiedene Statements der Security-Experten von Armis, Check Point, Nozomi Networks, Tanium, Qualys und SentinelOne

Statement von Matt Hubbard, Sr. Technical Product Marketing Manager bei Armis

Matt Hubbard, Sr. Technical Product Marketing Manager bei Armis

Der aktuelle Vorfall führt erneut vor Augen, welche weitreichenden Folgen Hackerangriffe auf die kritische Infrastruktur haben können. Der Zulieferer Oiltanking wurde vergangenes Wochenende Opfer eines Hackerangriffs, der sämtliche Be- und Entladungssysteme betrifft. Eine Beladung der Tankwagen war vorübergehend unmöglich, wodurch das Unternehmen seine Kunden nicht mehr beliefern konnte. Der Zulieferer arbeitet infolge des Hackerangriffs auch aktuell nur mit eingeschränkter Kapazität. „Jahrzehntelang gab es keine ICS-Cybersicherheit, da sie nicht notwendig war“, sagt Matt Hubbard, Sr. Technical Product Marketing Manager bei Armis. „Betriebstechnik und Informationstechnologie waren getrennte Bereiche mit separaten Systemen, die nicht miteinander verbunden waren, und ältere Industriegeräte waren nicht unabhängig mit dem Internet oder untereinander verbunden. Diese Trennung – der so genannte „Air Gap“ – wurde als die einzige Sicherheit angesehen, die OT-Systeme benötigten, abgesehen von der physischen Zugangskontrolle.

Inzwischen ist die Integration von IT/OT jedoch zur Norm geworden. Vernetzte Geräte streamen Daten, überwachen Geräte und Prozesse und unterstützen die Automatisierung von Anlagen und andere Funktionen der Industrie 4.0, sodass der Air Gap keine zuverlässige Methode der OT-Sicherheit mehr darstellt. Mit der fortschreitenden Verschmelzung von OT und IT gelten die Anforderungen an die Cybersicherheit nun für ICS genauso wie für Unternehmensnetzwerke, aber viele Unternehmen tun sich schwer, den richtigen Ansatz zum Schutz ihrer Betriebstechnologie zu finden.

Viele Betriebsleiter machen sich zum Beispiel Sorgen über Ausfallzeiten und die Auswirkungen der Implementierung von mehr Sicherheit für ihre OT-, IIoT- und anderen ICS-Geräte. Das ist verständlich, denn ältere Lösungen, die zum Scannen von IT-Netzwerken entwickelt wurden, können diese Geräte außer Betrieb setzen oder zu Fehlfunktionen führen – wenn der Scan sie überhaupt erkennen kann. Anlagen, die nicht sicher betrieben werden können, laufen Gefahr, jeden Moment offline zu gehen. Ein Ransomware-Angriff auf eine ICS-Einrichtung kann den Betrieb zum Erliegen bringen und Betriebs- und Unternehmensdaten ins Dark Web leiten – oder diese Daten ganz zerstören. Glücklicherweise müssen Unternehmen nicht mehr zwischen vorhersehbarer Betriebszeit und ICS-Cybersicherheit wählen. Eine unterbrechungsfreie Lösung zur schnellen Identifizierung und kontinuierlichen Überwachung von OT- und ICS-Geräten ist erforderlich, und die Risiken einer verzögerten Implementierung von OT-Sicherheit sind zu groß, um sie zu ignorieren.

Statement von Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point Software Technologies

Lothar Geuenich, Regional Director Central Europe/DACH bei Check Point

Der Angriff auf die Oiltanking Deutschland GmbH unterstreicht den Trend, dass Cyber-Kriminelle es zunehmend auf kritische Infrastruktur (KRITIS), Versorger und Lieferketten abgesehen haben. Die dadurch entstehenden Schäden treffen dann große Teile der Bevölkerung und die Hacker vermuten, dass sich daher vermeintlich mehr und auch einfacher Lösegeld erpressen lässt. Darum ist davon auszugehen, dass es sich bei diesem Angriff um eine Attacke mit Ransomware handelt, welche die Systeme des betroffenen Unternehmens infiltriert, die wichtigen Daten verschlüsselt und so den Betrieb lahmlegt. Grund für die Annahme sind ähnliche Zwischenfälle im vergangenen Jahr, wie der Angriff auf die Treibstoff-Pipeline von Colonial in den USA. Da Oiltanking ebenfalls ein Zulieferer ist können nun einige Tankstellen nur eingeschränkt Kraftstoff verkaufen. Obwohl es sich laut offiziellen Angaben nur um etwa 1,7 Prozent der Tankstellen in Deutschland handelt und die Grundversorgung somit nicht gestört wird – für die Menschen in den betroffenen Gegenden in Norddeutschland ist der Schlag gegen diese für sie kritische Infrastruktur deutlich zu spüren. Dieser Vorfall zeigt einmal mehr, wie wichtig es ist, die eigenen Systeme an die Entwicklungen der Bedrohungslandschaft anzupassen.

Die Versorgungsindustrie sieht sich, dass zeigt der Jahresvergleich 2021 der Forscher von Check Point Research, so sehr unter Feuer durch Malware-Angriffe wie noch nie: Im Vergleich zu 2020 stieg die Anzahl der durchschnittlichen wöchentlichen Angriffe auf diesen Sektor um unglaubliche 274 Prozent. Unser umfassendes Sicherheitskonzept sieht deswegen eine konsolidierte IT-Sicherheitsarchitektur vor, die verschiedene elementare Sicherheitslösungen unter einem Dach vereint. Sie besteht aus der bestmöglichen Absicherung für alle Geräte und Netzwerke, in Verbindung mit Forschung und Beobachtung der Gegenspieler durch die Therat Intelligence Cloud und unsere Sicherheitsforscher. So können wir den Hackern einen Schritt voraus sein und Unternehmen gegen die jüngsten Bedrohungen und sogar Zero-Day-Attacken schützen.

Statement von Chris Grove, Product Evangelist bei Nozomi Networks

Chris Grove, Product Evangelist bei Nozomi Networks

Wie am Montag bekannt wurde, kämpft der deutsche Mineralöllieferant Oiltanking seit dem Wochenende mit den Folgen eines Hackerangriffs. Das Unternehmen bestätigte am Dienstag, dass die Terminals, die für die Befüllung der Tankwagen vorgesehen sind, nur mit begrenzter Leistung arbeiten. Zu den Kunden des Betriebs zählt unter anderem die Tankstellenkette Shell. Laut Spiegel Online gab eine Shell-Sprecherin am Dienstag bekannt, dass derzeit "alternative Versorgungspunkte" genutzt werden – diese können die Folgen für die Supply Chain ausgleichen. Doch nicht nur Olitanking selbst, sondern auch das Schwesterunternehmen Mabanaft ist von dem Angriff betroffen. Beide Konzerne sind Töchter des Hamburger Mineralölkonzerns Marquard & Bahls.

Die jüngsten Angriffe auf die beiden deutschen Öltankgesellschaften folgen einem Muster, bei dem gezielt IT-Systeme angegriffen werden, was zu Ausfällen auf der OT-Seite führt. Einige bekannte Angriffe aus der Vergangenheit passen in dieses Muster, darunter der Vorfall bei der Colonial Pipeline sowie der Vorfall beim Lebensmittel-Verarbeiter JBS. Es ist eine deutliche Erinnerung daran, dass IT und OT, obwohl sie oft unabhängig voneinander behandelt werden, zunehmend voneinander abhängig sind und in vielen Umgebungen vollständig miteinander verschmelzen. Die Risiken, denen IT-Systeme ausgesetzt sind, können sich direkt oder indirekt auf den OT-Betrieb auswirken. In einigen Fällen, in denen die Sicherheit eine Rolle spielt, kann ein Angriff auf die IT dazu führen, dass der OT-Betrieb die Systeme abschaltet und somit die beabsichtige Wirkung erzielt wird, ohne dass die OT-Systeme selbst jemals berührt wurden. In einer Welt, in der die Konnektivität zwischen den Geräten rasant zunimmt, kann die Berücksichtigung von Cyber-Resilienz – zusätzlich zu den klassischen Präventionsmethoden – einen großen Beitrag zu den Wiederherstellungsmaßnahmen im Rahmen von Angriffen leisten.

Statement von Jörg Vollmer, General Manager Field Operations DACH und CEE bei Qualys

Jörg Vollmer, General Manager Field Operations DACH und CEE bei Qualys

Der deutsche Mineralölhändler Oiltanking GmbH, der Shell-Tankstellen in Deutschland beliefert, ist Opfer eines Cyberangriffs geworden, wodurch sein Betrieb stark beeinträchtigt ist. Von dem Angriff betroffen war außerdem der Öllieferant Mabanaft GmbH. Beide Unternehmen sind Tochtergesellschaften der Marquard & Bahls-Gruppe, die möglicherweise der Einbruchspunkt war. Fachleute befürchten, dass hinter der Cyberattacke auf Oiltanking Kriminelle stecken könnten, die Lösegeld fordern. „Sobald kriminelle Akteure Zugriff auf das Unternehmensnetzwerk erlangt haben, ist der dadurch entstandene Schaden in den meisten Fällen irreversibel, wenn die Hacker bereits Daten gesammelt oder manipuliert haben“, sagt Jörg Vollmer, General Manager Field Operations DACH und CEE bei Qualys. „Unternehmen setzen zum Schutz vor Hackerangriffen am besten auf einen präventiven Ansatz in Verbindung mit entsprechender Cyberhygiene. Wichtig ist, dass Unternehmen ihre Asset-Datenbank immer auf dem aktuellen Stand halten, die Behebung von Schwachstellen lückenlos verfolgen und die Einhaltung von Richtlinien sicherstellen. Dies betrifft nicht nur die lokalen IT-Umgebungen, sondern auch hybride Netzwerke. Idealerweise nutzen Unternehmen hierfür eine automatisierte Lösung, mit der System- und Netzwerkkonfigurationen, Anwendungen, Richtlinien und Patches auf dem neuesten Stand gehalten werden. Nur dann, wenn gute Cyberhygienepraktiken verfolgt und alle Assets im Unternehmensnetzwerk kontinuierlich in Echtzeit überwacht und verwaltet werden, können diese vor Angriffen von außen geschützt werden, um Ausfälle oder Datendiebstähle zu verhindern.“

Statement von René Golembewski, Director, Technical Solutions Engineering bei Tanium

René Golembewski, Director, Technical Solutions Engineering bei Tanium

Das vergangene Wochenende hat wieder gezeigt, dass zunehmend kritische Infrastrukturen und Lieferketten im Fokus der Cyberkriminellen stehen. So bestätigte das Tanklogistik-Unternehmen Oiltanking am Montag Ziel eines Hackangriffes geworden zu sein. Den Angreifern sei es gelungen, durch eine IT-Schwachstelle alle Be- und Entladesysteme der Tankwagen deutschlandweit außer Betrieb zu setzen. Das Unternehmen ist weltweit einer der größten Anbieter von Tankraum für Mineralöle aber auch Chemikalien und Gase. Durch den erfolgreichen Angriff sind die Lieferketten an Kunden unterbrochen worden – darunter viele Tankstellen aber auch der Ölriese Shell. Momentan arbeitet das Unternehmen daran das genaue Ausmaß der Attacke festzustellen und den Schaden zu minimieren – auch sei die genaue Ursache der Attacke unklar. Es sieht jedoch so aus, als sei das Unternehmen Opfer eines Ransomware-Angriffs geworden. Diese Art des Angriffs auf Unternehmen nutzt Schwachstellen in der IT-Infrastruktur als Einfallstor um zunächst das gesamte Unternehmensnetzwerk zu infiltrieren. Das sogenannte „Lateral Movement“ geschieht meist Wochen bis Monate vorher, ohne offensichtliche Symptome. Erst wenn ausreichend Daten und Informationen von den Hackern erbeutet wurden, gibt sich der bis dahin oftmals unentdeckt gebliebene Eindringling zu erkennen. Dann werden durch eine Schadsoftware die internen Systeme vollständig kompromittiert und lahmgelegt. Gegen eine Lösegeldforderung wird dem betroffenen Unternehmen dann meist ein Schlüssel in Aussicht gestellt, um die Kontrolle zurückzuerlangen.

Was den vergangenen Angriff aber so brisant macht, ist die Tatsache, dass Hacker hier gezielt ein Unternehmen anvisiert haben, das durch seine Tätigkeit kritisch für die wirtschaftliche Infrastruktur ist. Eine erfolgreiche Cyberattacke hat somit eine Auswirkung auf eine komplexe Lieferkette.

Diese Art von Angriff macht immer wieder deutlich, wie wichtig es für Unternehmen ist, ihre gesamte IT-Umgebung vollständig zu überblicken. Denn mit den richtigen Mitteln kann ein Angreifer im Netzwerk gefunden werden, bevor er sich durch den Einsatz von Schadsoftware bemerkbar macht. Hier ist eine zentral verwaltbare und automatisierte Endpoint Management und -Security Lösung von großem Nutzen, da es so möglich ist, die Endpunkte nicht nur voll zu überblicken, sondern auch volle Transparenz und Kontrolle über diese zu erhalten. Schwachstellen und Sicherheitslücken können so anhand zuverlässiger Echtzeitdaten schnell und wirksam erkannt und behoben werden. Damit kann die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs reduziert und dessen Auswirkungen erheblich minimiert werden. Denn nur durch einen allumfänglichen Überblick kann ein Unternehmen seine Netzwerke ausreichend sichern und schützen.

Statement Morgan Wright, Chief Security Advisor bei SentinelOne

Morgan Wright, Chief Security Advisor bei SentinelOne

Das Hamburger Unternehmen Oiltanking, eines der größten Tanklogistikunternehmen der Welt, ist Ziel eines Hackerangriffs geworden. Momentan werde versucht das Problem zu lösen und das Ausmaß des Angriffs zu erfassen. Das Unternehmen kooperiert hierbei auch mit den Behörden und externen Spezialisten. Bei der Cyber-Attacke auf die IT-Systeme handelt es sich nach Einschätzung von Sicherheitsexperten wohl um einen Angriff mit Ransomware.

Schon bei dem Angriff auf Colonial Pipeline in den Vereinigten Staaten im Mai 2021 wurden die computergestützten Systeme angegriffen, die den Fluss von Öl und Ölprodukten verwalteten. Eine wichtige Erkenntnis für die Angreifer war, dass man nicht zwangsweise die Produktionsmittel angreifen muss, um Panik auszulösen und die Lieferkette zu unterbrechen – genauso funktioniert auch ein Angriff auf die Organisationen, die für die Verteilung der Güter zuständig sind. Für die Öffentlichkeit macht es keinen Unterschied, ob es sich tatsächlich um eine Knappheit von Gütern handelt oder nur um eine wahrgenommene Knappheit; sie sieht die Situation als realen Engpass an und reagiert auch so. Die Wahrscheinlichkeit ist hoch, dass ein staatlicher Akteur involviert war. Untersuchungen zeigen, dass die Werkzeuge und Taktiken denen ähneln, die bereits bekannten APTs (Advanced Persistent Threats) zugeschrieben werden. Das Bundesamt für Verfassungsschutz (BfV) warnte erst kürzlich davor, dass APT27, eine bekannte chinesische Cyberspionagegruppe, in den letzten Monaten aktiv deutsche Unternehmen angegriffen hat. Der Angriff auf die deutsche Ölverteilungsinfrastruktur in den Wintermonaten schürt nicht nur die Ängste der Öffentlichkeit, sondern dient den Bedrohungsakteuren auch dazu, die wahrgenommenen Auswirkungen ihrer Angriffe zu verstärken.

Die wahren Ziele von APT27 müssen noch ermittelt werden. Da Cyberangriffe jedoch zunehmend zu einer beliebten Waffe werden, um die Ziele von Nationalstaaten voranzutreiben und Einfluss auf internationale diplomatische Beziehungen zu nehmen, besteht das größte Ziel der Hacker darin, die Wahrnehmung in die Realität umzusetzen. Und die Realität ist, dass es immer mehr solcher Angriffe geben wird.

Fazit

Es wird befürchtet, dass hinter der Cyber-Attacke einmal mehr staatliche Bedrohungsakteure stecken könnten, die mithilfe von Ransomware Schaden anrichten und Chaos herbeiführen wollen. Diese Ransomware-Angriffe werden immer beliebter und können erheblichen finanziellen Schaden verursachen und für Unsicherheit in der Bevölkerung sorgen – vor allem wenn es wie so oft Unternehmen trifft, die zuständig für die Aufrechterhaltung von Lieferketten und der kritischen Infrastruktur sind.