Der jüngste militärische Konflikt Russlands mit der Ukraine begann bereits 2014, als prorussische Separatisten in der Ukraine die Halbinsel Krim eroberten. Im Februar 2022 eskalierte der Konflikt zu einem kompletten Krieg mit Tausenden von zivilen Toten, 200.000 militärischen Opfern und Millionen von Vertriebenen. Die von vielen westlichen Ländern gegen Russland verhängten Wirtschaftssanktionen haben dazu beigetragen, dass Russland in großem Umfang Cyber-Attacken durchführt.
Daniel Bren, Mitbegründer und CEO von Otorio zieht eine Zwischenbilanz, wie sich die Bedrohungslage in Sachen OT-Sicherheit (Operational Technology) seither verändert hat:
Die Angriffe auf kritische Infrastrukturen und Industrieunternehmen haben im vergangenen Jahr stetig zugenommen. Selbst wenn der Krieg aufhört, werden die Cyber-Attacken wahrscheinlich nicht zu Ende gehen. Seit Beginn des Krieges mussten die Ukrainer ihre kritischen Infrastrukturen und digitalen Netzwerke gegen Cyber-Angriffe und gegen psychologische Kriegsführung durch Informationskampagnen verteidigen.
Dank einer proaktiven Haltung und der Unterstützung des Westens hat die Ukraine eine gewisse Widerstandsfähigkeit gegenüber russischen Cyber-Attacken aufgebaut. Allerdings tauchen immer wieder neue Schwachstellen auf, da die Malware selbst immer ausgefeilter wird.
Russische Hackerangriffe auf die ukrainische Infrastruktur sind kein neues Phänomen. Die Angriffe auf das ukrainische Stromnetz in den Jahren 2015 und 2016 hatten weitreichende Auswirkungen, und seither hat Russland weitere Angriffe ausgeübt. In den ersten vier Monaten des Jahres 2022 haben Forscher mehr zerstörerische Malware-Angriffe auf die Ukraine durch Russland festgestellt als in den acht Jahren zuvor. Cyber-Attacken auf kritische Infrastrukturen wie Strom-, Wasser-, Öl- und Gasversorgung haben sogar das Potenzial, noch größeren Schaden anzurichten.
SSSCIP, die ukrainische Behörde für Cyber Security, meldete für das vergangene Jahr eine Verdreifachung der Cyber-Attacken, darunter auch Angriffe auf die ukrainische Energieinfrastruktur im vergangenen Herbst, die mit anhaltenden Bombenangriffen verbunden waren. Die Koordinierung zwischen Bombenangriffen und Attacken auf kritische Infrastrukturen wird von ukrainischen Beamten als Kriegsverbrechen bezeichnet.
Russland setzt auch Desinformation und Propaganda ein, um Panik zu verbreiten. Es wird behauptet, dass Russland versucht, in Netzwerke einzudringen und Daten zu extrahieren, um Personen zu identifizieren und ins Visier zu nehmen, die seine militärische Offensive gefährden könnten.
Von den laufenden Cyber-Angriffen sind Bürger und Unternehmen in verschiedenen Branchen in mehreren Ländern betroffen, insbesondere in Bereichen, in denen Russland ein starkes wirtschaftliches Interesse hat. Solche Angriffe waren zum Beispiel:
- Bei einer frühen Cyber-Attacke auf den Öl- und Gassektor wurde eine Reihe von Angriffen auf 21 in den USA ansässige Produzenten von Flüssiggas durch Hacker mit russischer Unterstützung durchgeführt, kurz bevor der Krieg begann. Mindestens eine der beteiligten Gruppen wurde mit dem russischen Militärgeheimdienst in Verbindung gebracht. Es besteht Grund zu der Annahme, dass Russland auch europäische Unternehmen für Liquefied Natural Gas (LNG) im Fadenkreuz haben könnte.
- Ein groß angelegter Ransomware-Angriff im Januar 2022 legte den Betrieb von Ölterminals in Belgien, Deutschland und den Niederlanden lahm. Hinter dem Angriff steckt die mit Russland verbundene Gruppe von Cyber-Kriminellen BlackCat, die bereits andere folgenschwere Angriffe in den USA, Europa und auf den Philippinen durchgeführt hat.
- Die Hacker hatten es auf drei in Deutschland ansässige Unternehmen für Windenergie abgesehen, da die Regierungen eine Abkehr von der Abhängigkeit von russischem Brennstoff ankündigten. Cyber-Angriffe auf die Energieinfrastruktur legten Systeme lahm und betrafen zahlreiche Bürger.
- Russische Hacker haben mehrmals Italien angegriffen. Ende Mai 2022 führte Russland einen groß angelegten Cyber-Angriff auf Italien durch, nachdem italienische Beamte ihre Unterstützung für die Ukraine in dem Konflikt zum Ausdruck gebracht hatten. Bei dem Angriff wurden mehrere Ziele angegriffen, darunter auch das italienische Postsystem. Im September 2022 stahl die BlackCat-Gruppe 700 Gigabyte an Daten von der italienischen Energiebehörde und drohte mit der Veröffentlichung der Informationen, falls die Lösegeldforderungen nicht erfüllt würden.
- Im Oktober 2022 griff die mit Russland verbundene Ransomware-Gruppe Hive Tata Power an, das größte integrierte Energieunternehmen Indiens. Bei diesem Angriff stahl Hive sensible Daten, darunter Kundendaten, Finanzunterlagen und technische Zeichnungen.
- Im Januar 2023 legte die von Russland unterstützte Ransomware-Gruppe LockBit den britischen Postdienst lahm, so dass internationale Lieferungen mehrere Tage lang nicht zugestellt werden konnten. Die Angriffe der Gruppe haben seit 2021 um 600 Prozent zugenommen, wobei immer ausgefeiltere Methoden zur Erpressung der Opfer eingesetzt werden.
Erhöhte regulatorische Anforderungen
Als Reaktion auf solche Attacken wurden in vielen Ländern die rechtlichen Anforderungen für kritische Infrastrukturen verschärft. In den USA ist die Transparenz bei bestimmten Cyber-Angriffen nun gesetzlich vorgeschrieben. Betreiber kritischer nationaler Infrastrukturen (CNI, Critical National Infrastructure) müssen wesentliche Cyber-Angriffe an die Cybersecurity and Infrastructure Security Agency (CISA) melden. Angriffe müssen innerhalb von 72 Stunden gemeldet werden, und Zahlungen für Ransomware müssen innerhalb von 24 Stunden gemeldet werden. Diese Berichte werden das Verständnis der Regierung für Angriffe auf kritische Netzwerke und Infrastrukturen verbessern und die Fähigkeit zur Schadensbegrenzung bei Angriffen erhöhen.
Im Januar 2023 teilte das US-Justizministerium mit, dass die Hackergruppe Hive im Rahmen einer globalen Strafverfolgungsoperation zerschlagen wurde, nachdem sie bereits mehr als 1.500 Opfer in über 80 Ländern, darunter Unternehmen und Einrichtungen des öffentlichen Gesundheitswesens, angegriffen hatte. Während die Operation eine klare Botschaft aussendet, dass Cyber-Kriminelle zur Rechenschaft gezogen werden, muss man davon ausgehen, dass sich Mitglieder der Gruppe anderen Gruppen anschließen oder sich neu formieren werden.
ENISA, die European Union Agency for Cybersecurity, hat zusammen mit der Europäischen Kommission (GD CNECT) eine aktivere Haltung gegenüber der OT-Sicherheit eingenommen und große Cyber-Angriffe der letzten Zeit aufgedeckt. Die Agentur aktualisierte bestehende Rechtsvorschriften zur Cyber-Sicherheit und schlug den Cyber Resilience Act vor, der Hardware- und Software-Herstellern Anforderungen an die Cyber Security auferlegen soll.
Die aktualisierte EU-Gesetzgebung zur Cyber-Sicherheit, die NIS2-Richtlinie, umfasst rechtliche Maßnahmen zur Erhöhung des Niveaus an Cyber Security in der gesamten Union. Der erweiterte Geltungsbereich der Richtlinie betrifft die Systeme von Energie, Gesundheitswesen, Anbieter digitaler Infrastrukturdienste, öffentlicher Verwaltung, Lebensmittelsektor und Abfallwirtschaft. Die Verabschiedung von Rechtsvorschriften zur Cyber-Sicherheit wie die NIS2 der EU und der amerikanische Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) bedeuten, dass industrielle Hersteller und Organisationen mit kritischen Infrastrukturen größere Verpflichtungen auf sich nehmen müssen, um sich adäquat zu schützen.
Experten warnen, dass Cyber-Angriffe auf kritische Infrastrukturen mit hoher Wahrscheinlichkeit weitergehen werden. Sie werden sich aufgrund der politischen und militärischen Unterstützung der Ukraine durch Länder wie Australien und Südkorea vermutlich auf den asiatisch-pazifischen Raum ausweiten.
Die USA haben bereits im April 2022 eine Warnung vor von Russland unterstützten Cyber-Angriffen auf kritische Infrastrukturen herausgegeben. In der Warnung fordern die Sicherheitsbehörden der USA, Kanadas, des Vereinigten Königreichs, Australiens und Neuseelands “die Verteidiger kritischer Infrastrukturnetze auf, sich auf potenzielle Cyber-Bedrohungen – einschließlich destruktiver Malware, Ransomware, DDoS-Angriffe und Cyberspionage – vorzubereiten und diese zu entschärfen, indem sie ihre Cyber-Abwehr verstärken und bei der Identifizierung von Indikatoren für bösartige Aktivitäten die erforderliche Sorgfalt walten lassen“.
Auch im Vereinigten Königreich haben die Behörden vor der Bedrohung gewarnt und die Eigentümer und Betreiber kritischer Infrastrukturen aufgefordert, Maßnahmen zu ergreifen, um sich und ihre Unternehmen effektiv zu schützen. Angesichts des Krieges zwischen der Ukraine und Russland ist die OT-Sicherheit in der Industrie weltweit in Gefahr.
Die Ereignisse des vergangenen Jahres machen deutlich, dass Unternehmen mit kritischen Infrastrukturen ihre Sicherheitsvorkehrungen proaktiv verbessern müssen. Bösartige Angriffe sind durch den jüngsten Konflikt zwischen Russland und der Ukraine in den Vordergrund gerückt, und ihre Verbreitung macht deutlich, dass diese Bedrohungen nicht so schnell verschwinden werden.