Meldungen von Cyberangriffen auf die Energiebranche sind keine Seltenheit. Im Gegenteil: Erst kürzlich wurde von erfolgreichen Attacken auf Elexon in Großbritannien oder TWL in Deutschland berichtet. Dass es sich hierbei nicht um Zufallstreffer handelt, sondern mutmaßlich um gezielte Attacken auf die Energiebranche, stützt eine Untersuchung des Cloud Security Providers für E-Mail, Hornetsecurity. Die Sicherheitsexperten des Hornetsecurity Security Labs konnten durch eine Analyse von rund 1.000 Domains mit dem größten E-Mail-Volumen die Top 10 der Branchen ermitteln, die im Jahr 2019 weltweit besonders stark von Cyberangriffen per E-Mail betroffen waren. Das alarmierende Ergebnis: Die Energiebranche ist das Cyberangriffsziel Nummer eins — noch vor der Logistik- und Automobilbranche.
Systemausfall mit drastischen Folgen
Als Teil der Kritischen Infrastruktur eines Landes gilt die Energiebranche als besonders schützenswert und unterliegt beispielsweise in Deutschland strengen gesetzlichen Anforderungen. Ein Ausfall oder die Beeinträchtigung der Versorgungsdienstleistungen hätten enorme Auswirkungen auf Wirtschaft, Staat und Gesellschaft. Dies ist auch Cyberkriminellen bewusst. Neben Bedrohungsvektoren wie gehackte Webapplikationen, ungepatchte und veraltete Systeme sowie ungesicherte Server, sollten Unternehmen ganz besonders die E-Mail als Einfallstor für Cyberangriffe im Blick behalten.
E-Mail ist das Haupteinfallstor
Der Auswertung des Security Labs zufolge, versuchten Hacker im vergangenen Jahr vorwiegend mittels schädlicher Links (46,86 %), platziert in E-Mail-Nachrichten, in die Systeme von Betrieben der Energiebranche einzudringen. Auch schädliche Anhänge (31,47 %) und Phishing-Mails (21,51 %) gehören zu den bevorzugten Angriffstypen der Cyberkriminellen. Es wird deutlich: Der Mensch ist die beliebteste IT-Schwachstelle unter Hackern. Mit geringem technischen Aufwand und Social-Engineering-Taktiken verleiten die Cyberkriminellen Mitarbeiter dazu, auf infizierte Links zu klicken, die beispielsweise Schadsoftware herunterladen oder Login-Daten abfangen, die den Hackern Tore für weitere Angriffe öffnen. Gerade bei den hohen gesetzlichen IT-Sicherheitsstandards, denen Kritische
Infrastrukturen unterliegen, ist der Mensch häufig die eine Sicherheitslücke, die einen vermeintlich umfassenden Schutz mit einem Klick zunichtemachen kann.
Wer verbirgt sich hinter den Attacken?
„Hinter solchen Angriffen stecken nicht selten größere und professionell organisierte Hackerteams: Im Auftrag von Regierungen oder Geheimdiensten wollen sie sich beispielsweise Zugriff auf geheime Informationen verschaffen oder bei möglichen Konflikten Druck auf den betroffenen Staat ausüben. Dazu reicht oftmals die Stilllegung einzelner Bereiche im Betrieb, beispielsweise durch Verschlüsselung wichtiger Dateien“, so ein IT-Sicherheitsexperte des Hornetsecurity Security Labs. „Denkbar sind allerdings auch Angriffe durch kleinere cyberkriminelle Banden. Grundsätzlich liegt nahe: Je kritischer die angegriffene Infrastruktur, desto höher auch die Wahrscheinlichkeit, dass die Betroffenen, beispielsweise im Falle einer Ransomware-Attacke, für einen Entschlüsselungskey zahlen, in der Hoffnung, dass der Betriebsablauf so zügig wie möglich fortgesetzt werden kann.“
Eine der bekanntesten Hackergruppen, die mit ihren Angriffen vor allem auf den Energiesektor abzielt, ist „APT19“, auch bekannt als „Codoso Team“. In ihren großangelegten Phishing-Kampagnen verwendet die Gruppe unter anderem die „Cobalt Strike“-Software und versendet von dieser das sogenannte „Beacon Implant“ in infizierten RTF-Anhängen und schädlichen Microsoft-Excel-Dateien mit Makros (XLSM-Dokument). Die Malware ermöglicht den Angreifern verschiedene Funktionen aus der Ferne auszuführen — unter anderem Schlüsselprotokollierung, Dateiübertragung, Berechtigungserweiterung, den Einsatz von Mimikatz und Port-Scanning.
Die ausführliche Analyse von Hornetsecurity ist in dem kürzlich erschienen Cybersecurity Special — Energiebranche: Cyberangriffsziel Nummer eins zu finden, das als kostenloser Download zur Verfügung steht.
Systemausfall mit drastischen Folgen
Als Teil der Kritischen Infrastruktur eines Landes gilt die Energiebranche als besonders schützenswert und unterliegt beispielsweise in Deutschland strengen gesetzlichen Anforderungen. Ein Ausfall oder die Beeinträchtigung der Versorgungsdienstleistungen hätten enorme Auswirkungen auf Wirtschaft, Staat und Gesellschaft. Dies ist auch Cyberkriminellen bewusst. Neben Bedrohungsvektoren wie gehackte Webapplikationen, ungepatchte und veraltete Systeme sowie ungesicherte Server, sollten Unternehmen ganz besonders die E-Mail als Einfallstor für Cyberangriffe im Blick behalten.
E-Mail ist das Haupteinfallstor
Der Auswertung des Security Labs zufolge, versuchten Hacker im vergangenen Jahr vorwiegend mittels schädlicher Links (46,86 %), platziert in E-Mail-Nachrichten, in die Systeme von Betrieben der Energiebranche einzudringen. Auch schädliche Anhänge (31,47 %) und Phishing-Mails (21,51 %) gehören zu den bevorzugten Angriffstypen der Cyberkriminellen. Es wird deutlich: Der Mensch ist die beliebteste IT-Schwachstelle unter Hackern. Mit geringem technischen Aufwand und Social-Engineering-Taktiken verleiten die Cyberkriminellen Mitarbeiter dazu, auf infizierte Links zu klicken, die beispielsweise Schadsoftware herunterladen oder Login-Daten abfangen, die den Hackern Tore für weitere Angriffe öffnen. Gerade bei den hohen gesetzlichen IT-Sicherheitsstandards, denen Kritische
Infrastrukturen unterliegen, ist der Mensch häufig die eine Sicherheitslücke, die einen vermeintlich umfassenden Schutz mit einem Klick zunichtemachen kann.
Wer verbirgt sich hinter den Attacken?
„Hinter solchen Angriffen stecken nicht selten größere und professionell organisierte Hackerteams: Im Auftrag von Regierungen oder Geheimdiensten wollen sie sich beispielsweise Zugriff auf geheime Informationen verschaffen oder bei möglichen Konflikten Druck auf den betroffenen Staat ausüben. Dazu reicht oftmals die Stilllegung einzelner Bereiche im Betrieb, beispielsweise durch Verschlüsselung wichtiger Dateien“, so ein IT-Sicherheitsexperte des Hornetsecurity Security Labs. „Denkbar sind allerdings auch Angriffe durch kleinere cyberkriminelle Banden. Grundsätzlich liegt nahe: Je kritischer die angegriffene Infrastruktur, desto höher auch die Wahrscheinlichkeit, dass die Betroffenen, beispielsweise im Falle einer Ransomware-Attacke, für einen Entschlüsselungskey zahlen, in der Hoffnung, dass der Betriebsablauf so zügig wie möglich fortgesetzt werden kann.“
Eine der bekanntesten Hackergruppen, die mit ihren Angriffen vor allem auf den Energiesektor abzielt, ist „APT19“, auch bekannt als „Codoso Team“. In ihren großangelegten Phishing-Kampagnen verwendet die Gruppe unter anderem die „Cobalt Strike“-Software und versendet von dieser das sogenannte „Beacon Implant“ in infizierten RTF-Anhängen und schädlichen Microsoft-Excel-Dateien mit Makros (XLSM-Dokument). Die Malware ermöglicht den Angreifern verschiedene Funktionen aus der Ferne auszuführen — unter anderem Schlüsselprotokollierung, Dateiübertragung, Berechtigungserweiterung, den Einsatz von Mimikatz und Port-Scanning.
Die ausführliche Analyse von Hornetsecurity ist in dem kürzlich erschienen Cybersecurity Special — Energiebranche: Cyberangriffsziel Nummer eins zu finden, das als kostenloser Download zur Verfügung steht.
