OT Security
Sicherheit in OT-Umgebungen – Erwartungen für 2023
2022 war ein rekordverdächtiges Jahr für Cyberangriffe, und das nicht im positiven Sinne. Kritische Infrastrukturen (insbesondere Öl- und Gas- sowie Wasseraufbereitungsanlagen), die industrielle Fertigung, das Transportwesen und vieles mehr – sie alle waren betroffen und wurden schwer getroffen.
Was sind einige der kritischsten und auffälligsten Angriffe im Jahr 2022, und welche Auswirkungen haben sie auf das Jahr 2023 und darüber hinaus? Daniel Bren, CEO und Mitbegründer von Otorio blickt zurück und schaut voraus.
„Die Aktivitäten reichten von privat initiierten Ransomware-Angriffen bis hin zu ausgewachsenen, von Nationalstaaten beeinflussten oder gesponserten Angriffen. Im Jahr 2022 wurde deutlich, dass Angreifer OT/IT/IIoT-Netzwerke gezielt und häufig ins Visier nehmen. Lieferketten aller Art – von Energie bis hin zu Computerkomponenten und allem dazwischen – zahlen den Preis dafür. 2022 wurde auch deutlich, wie geopolitische Ereignisse wie der Krieg Russlands gegen die Ukraine das Cyberrisiko dramatisch verschärfen können. Der Cyberschatten des Ukraine-Krieges reicht viel weiter, als man sich hätte vorstellen können. Volatile Energiemärkte – zum Teil bedingt durch das Ende der Abhängigkeit Europas von russischen Energielieferungen – bedeuten, dass Öl-, Gas-, Energie- und Stromanbieter auf der ganzen Welt angreifbar sind und auch Angriffe erleiden.
Die wichtigsten Cyberangriffe des Jahres 2022 nach Sektor
Öl und Gas
In den zwei Wochen vor dem Einmarsch in die Ukraine konzentrierten sich russische Hacker Berichten zufolge auf Cyberangriffe gegen LNG-Unternehmen. Nach Angaben von Bloomberg und Resecurity wurden mehr als 21 LNG-Raffinerien, -Lieferanten und -Vertreiber während eines zweiwöchigen Blitzangriffs attackiert, bevor der Krieg im Februar begann. Zu den angegriffenen Unternehmen mit Sitz in den USA, die mit LNG zu tun haben, gehören Chevron, Kinder Morgan, Cheniere Energy und EQT Corp.
Ebenfalls kurz vor dem Einmarsch Russlands brachte ein massiver Ransomware-Angriff den Betrieb von Ölterminals in den Niederlanden, Deutschland und Belgien zum Erliegen. Der Angriff betraf Dutzende von Terminals, darunter Evos in den Niederlanden, Oiltanking in Deutschland und SEA-Invest in Belgien. Er behinderte die Verladung von Raffinerieprodukten in den Öllagerterminals im Raffineriezentrum Amsterdam-Rotterdam-Antwerpen. Während der Cyberangriff auf Colonial Pipeline im Mai 2021 den Öl- und Gastransport und -vertrieb in großen Teilen des Ostens und des Südens der USA für fünf Tage lahmlegte, sind die Angriffe auf LNG-Anlagen im Jahr 2022 ein Weckruf für ein proaktives Management der Sicherheitsrisiken für cyber-physische Systeme.
Kernenergie
Neben den physischen Angriffen auf die ukrainische Kernkraftinfrastruktur haben staatlich geförderte Angreifer auch die digitale Infrastruktur von Kernkraftwerken ins Visier genommen. Im August starteten russische Hacker einen ehrgeizigen, aber letztlich erfolglosen Angriff auf Energoatom, die ukrainische Behörde, die die 15 Reaktoren des Landes überwacht und betreibt.
Erneuerbare Energien
Erneuerbare Energien (insbesondere Windenergie) sind seit dem Einmarsch Russlands intensiv ins Visier genommen worden, da sie eine potenzielle Ersatzenergiequelle für russisches Öl und Gas darstellen. Im April 2022 führte ein Cyberangriff auf die Deutsche Windtechnik, ein führendes deutsches Windenergieunternehmen, dazu, dass das Unternehmen die Fernsteuerungssysteme für rund 2.000 Windturbinen für fast 24 Stunden abschalten musste. Der Turbinenhersteller Nordex SE meldete im März einen Ransomware-Angriff, der einen IT-Ausfall verursachte, für den sich später eine pro-russische Hackergruppe verantwortlich erklärte. Ein weiterer Turbinenhersteller, die Enercon GmbH, war ebenfalls von einem Angriff betroffen, bei dem fast 6.000 Turbinen vom Netz genommen wurden.
Kraftwerke
Tata Power, Indiens größtes integriertes Energieunternehmen mit rund zwölf Millionen Kunden, wurde im Oktober 2022 von Ransomware heimgesucht. Die Hacker gaben personenbezogene Daten von Mitarbeitern, nationale ID-Nummern, Steuerkontonummern, Gehaltsinformationen und mehr sowie technische Zeichnungen, Finanz- und Bankdaten und Kundendaten frei.
In Afrika konnten die Kunden der Electricity Company of Ghana nach einem offensichtlichen Ransomware-Angriff fast eine Woche lang keinen Strom kaufen oder abrufen. Noch beunruhigender ist, dass eine Quelle behauptete, ein ECG-Projekt sei gekapert worden, wobei Hacker den Quellcode änderten und die Kontrolle über die Server übernahmen.
Wassersysteme
Ein weiterer kritischer Infrastruktursektor, die Wasseraufbereitung, war im Jahr 2022 weltweit Ziel von Cyberangriffen. Im Juli stellten Hacker fest, dass das Abwassersystem der israelischen Stadt Or Akiva völlig ungeschützt war und nicht einmal die grundlegendste Cybersicherheit bot. Sie verschafften sich erfolgreich Zugang zur Schnittstelle der städtischen Wasserpumpen und veröffentlichten als Beweis einen Screenshot des Systems. Zum Glück wurde diese Schwachstelle nicht ausgenutzt.
Im August wurde der britische regionale Wasserversorger South Staffordshire Water Opfer eines Cyberangriffs, bei dem sich Hacker Zugang zu den SCADA-Systemen verschafften, die die industriellen Prozesse in den Kläranlagen steuern, so dass sie die chemische Zusammensetzung des Wassers für die 500.000 Haushaltskunden des Unternehmens ändern konnten. Im September gab die Hackergruppe GhostSec bekannt, dass sie erfolgreich die Kontrolle über das Wassersystem eines israelischen Hotelschwimmbads übernommen hatte, das den pH-Wert und den Chlorgehalt des Pools steuerte. Auch dieses Mal richteten die Hacker keinen Schaden an.
Autohersteller
Im Februar zwang ein Angriff auf den Teile- und Komponentenlieferanten von Toyota Motor, Kojima Industries, den Autohersteller, den Betrieb von 28 Produktionslinien in 14 Werken in Japan für mindestens einen Tag einzustellen. Die Auswirkungen des Angriffs, von dem auch Hino und Daihatsu Motors betroffen waren, waren massiv: Toyota gab bekannt, dass es seine Produktion vorübergehend um fünf Prozent oder 13.000 Einheiten – ein Drittel seiner weltweiten Produktion – reduzieren musste.
Ein Ransomware-Angriff auf Bridgestone Tire im Februar 2022 führte dazu, dass das Unternehmen den Betrieb in Dutzenden von Produktionsstätten in den USA, Kanada, Mittelamerika, Lateinamerika und der Karibik einstellen musste, wovon etwa 50.000 Mitarbeiter betroffen waren. Der Cyberangriff wurde Berichten zufolge von der Ransomware-Bande LockBit durchgeführt. Im März 2022 wurde auch Toyotas Hauptzulieferer Denso Opfer eines Ransomware-Cyberangriffs auf seine deutsche Geschäftseinheit, die Denso Automotive Deutschland GmbH, doch nach Angaben des Unternehmens hatte der Angriff keine Auswirkungen auf seine Produktion.
Transportwesen
Ein Cyberangriff auf einen externen IT-Dienstleister legte im November den Zugverkehr in Dänemark lahm. Die Züge der DSB, der größten dänischen Bahngesellschaft, blieben buchstäblich stehen und konnten mehrere Stunden lang nicht weiterfahren. Der Angriff auf einen Softwareanbieter für DSB-Zugführer veranlasste das Unternehmen, die Server abzuschalten, um zu verhindern, dass die Bedrohung auf die OT-Umgebung übergreift, und so den Stillstand zu verursachen.
Elektronikfertigung
Ende Mai bestätigte der Smartphone-Hersteller Foxconn die Unterbrechung des Betriebs in einer seiner Produktionsstätten in Mexiko aufgrund eines Cyberangriffs. Die Hackergruppe, die die Ransomware-as-a-Service (RaaS) LockBit entwickelt hat, erklärte sich für den Angriff verantwortlich und drohte damit, die von Foxconn gestohlenen Daten weiterzugeben, falls das Lösegeld nicht gezahlt würde.
Zellstoff und Papier
Im Januar 2022 wurde die CPH-Gruppe mit Sitz in der Schweiz Opfer eines Cyberangriffs auf ihre IT-Systeme, der zur vorübergehenden Einstellung der Zellstoff- und Papierproduktion in den Werken in Perlen (Schweiz) und Mülheim (Deutschland) führte. Etwa zwei Wochen nach dem Angriff teilte das Unternehmen mit, dass „alle IT-Systeme der CPH-Gruppe weltweit zusammen mit externen Cyberspezialisten aus den Backup-Systemen überprüft und wiederhergestellt wurden.“
Im Oktober legte eine Ransomware-Attacke den Druck mehrerer deutscher Zeitungen lahm – so wurde das Drucksystem der Heilbronner Stimme mit einer täglichen Auflage von 75.000 gedruckten Exemplaren sowie mehrerer anderer Publikationen, die die Gruppe vertreibt, abgeschaltet. Neben den Druckproblemen wurden auch die Telefon- und E-Mail-Systeme des Unternehmens lahmgelegt, und die Redaktion war gezwungen, einen Drittanbieterdienst zu nutzen, um eine eingeschränkte E-Zeitung zu veröffentlichen.
Lebensmittel und Getränke
Eine bekannte US-amerikanische Marke für laktosefreie Milch, Lactaid, verschwand aufgrund eines Cyberangriffs aus den Regalen von Supermarktketten wie Costco und Publix. Das Unternehmen, dem die Marke Lactaid gehört, HP Hood Dairy, gab keine Einzelheiten des Angriffs bekannt, aber Cyberexperten behaupteten, dass es sich höchstwahrscheinlich um einen Ransomware-Angriff handelte, der das Unternehmen zwang, alle seine Anlagen offline zu nehmen.
2023 Schlussfolgerungen
Nationalstaaten und private Hackerorganisationen haben kritische Infrastrukturen und die Industrie fest im Fadenkreuz. Das Jahr 2022 wird nicht nur wegen der öffentlichkeitswirksamen Angriffe auf kritische Energieinfrastrukturen im Zusammenhang mit dem Krieg in der Ukraine in Erinnerung bleiben, sondern hat auch deutlich gezeigt, wie wichtig es für OT-Sicherheitsexperten ist, Cyberrisiken in allen Branchen besser zu managen. Verantwortliche für Cybersicherheit müssen einen widerstandsfähigen Betrieb aufrechterhalten und wären gut beraten, einen risikobasierten Ansatz zu verwenden, um Sicherheitslücken und Schwachstellen zu minimieren und Angriffe im Jahr 2023 und darüber hinaus zu verhindern.
Die Sicherung von Netzwerkumgebungen in der Industrie und in kritischen Infrastrukturen erfordert eine andere Art von Ansatz für die digitale Sicherheit und Cybersicherheit. Betreiber kritischer Infrastrukturen und Regierungsbehörden werden sich immer mehr des Bedarfs an industriegerechten Risikomanagement-Tools bewusst, die für IT- und OT-Sicherheitsexperten entwickelt wurden.“