Seit Jahren führen Regierungsbeamte und Führungskräfte der Industrie ausführliche Simulationen eines gezielten Cyberangriffs auf das Stromnetz oder die Gaspipelines in den USA durch und stellen sich vor, wie das Land reagieren würde.
Aber als der wahre Moment kam, in dem es sich nicht um eine Übung handelt, sah es nicht nach den Kriegsspielen aus.
Der Angreifer war keine Terrorgruppe oder ein feindlicher Staat wie Russland, China oder Iran, wie in den Simulationen angenommen worden war. Es war ein krimineller Erpressungsring. Ziel war es nicht, die Wirtschaft zu stören, indem eine Pipeline offline geschaltet wird, sondern Unternehmensdaten als Lösegeld zu speichern.
Die sichtbarsten Auswirkungen – lange Schlangen nervöser Autofahrer an Tankstellen – resultierten nicht aus einer Reaktion der Regierung, sondern aus einer Entscheidung des Opfers Colonial Pipeline, das fast die Hälfte des an der Ostküste fließenden Benzins, Düsentreibstoffs und Diesels kontrolliert, umzudrehen aus dem Zapfen. Dies geschah aus Sorge, dass die Malware, die ihre Back-Office-Funktionen infiziert hatte, es schwierig machen könnte, den entlang der Pipeline gelieferten Kraftstoff in Rechnung zu stellen oder sich sogar auf das Betriebssystem der Pipeline auszubreiten.
Was als nächstes geschah, war ein anschauliches Beispiel für den Unterschied zwischen Tischsimulationen und der Kaskade von Konsequenzen, die selbst einem relativ unkomplizierten Angriff folgen können. Die Nachwirkungen der Episode spielen sich immer noch ab, aber einige der Lehren sind bereits klar und zeigen, wie weit die Regierung und die Privatwirtschaft gehen müssen, um Cyberangriffe zu verhindern und zu bewältigen und schnelle Backup-Systeme für den Fall zu schaffen, dass kritische Infrastrukturen ausfallen.
In diesem Fall erwies sich die lang gehegte Überzeugung, dass der Betrieb der Pipeline vollständig von den Datensystemen isoliert war, die von DarkSide, einer Ransomware-Bande, von der angenommen wird, dass sie von Russland aus operiert, gesperrt wurden, als falsch. Und die Entscheidung des Unternehmens, die Pipeline auszuschalten, löste eine Reihe von Dominosteinen aus, darunter Panikkäufe an den Pumpen und die stille Angst innerhalb der Regierung, dass sich der Schaden schnell ausbreiten könnte.
Eine vertrauliche Bewertung der Ministerien für Energie und innere Sicherheit ergab, dass sich das Land nur noch drei bis fünf Tage leisten konnte, wenn die Kolonialpipeline stillgelegt wurde, bevor Busse und andere Nahverkehrsmittel den Betrieb aufgrund eines Mangels an Dieselkraftstoff einschränken mussten. Chemiefabriken und Raffineriebetriebe würden ebenfalls stillgelegt, da es keine Möglichkeit gäbe, das zu vertreiben, was sie produzierten, heißt es in dem Bericht.
Und während die Berater von Präsident Biden Bemühungen ankündigten, alternative Wege zu finden, um Benzin und Düsentreibstoff an die Ostküste zu transportieren, waren keine sofort vorhanden. Es gab einen Mangel an LKW-Fahrern und Tankwagen für Züge.
“Jede Fragilität wurde aufgedeckt”, sagte Dmitri Alperovitch, Mitbegründer von CrowdStrike, einem Cybersicherheitsunternehmen und jetzt Vorsitzender des Think Tanks Silverado Policy Accelerator. „Wir haben viel darüber gelernt, was schief gehen könnte. Leider auch unsere Gegner. “
Die Liste der Lektionen ist lang. Colonial, ein privates Unternehmen, hat vielleicht gedacht, es hätte eine undurchlässige Schutzmauer, aber es war leicht zu durchbrechen. Selbst nachdem es den Erpressern fast 5 Millionen US-Dollar in digitaler Währung für die Wiederherstellung ihrer Daten gezahlt hatte, stellte das Unternehmen fest, dass der Prozess des Entschlüsselns seiner Daten und des erneuten Einschaltens der Pipeline quälend langsam war, was bedeutet, dass es noch Tage dauern wird, bis die Ostküste zurückkommt zu normal.
“Das ist nicht so, als würde man einen Lichtschalter betätigen”, sagte Biden am Donnerstag und stellte fest, dass die 5.500-Meilen-Pipeline noch nie zuvor stillgelegt worden war.
Für die Verwaltung war die Veranstaltung eine gefährliche Woche im Krisenmanagement. Herr Biden sagte den Adjutanten, man erinnere sich, dass nichts schneller politischen Schaden anrichten könne als Fernsehbilder von Gasleitungen und steigenden Preisen, mit dem unvermeidlichen Vergleich zu Jimmy Carters schlimmsten Momenten als Präsident.
Herr Biden befürchtete, dass die Situation Bedenken aufkommen lassen würde, dass die wirtschaftliche Erholung noch fragil ist und die Inflation steigt, wenn die Pipeline nicht wieder in Betrieb genommen wird, die Panik nachlässt und die Preissenkung im Keim erstickt.
Neben den zahlreichen Maßnahmen zur Förderung des Ölverkehrs auf Lastwagen, Zügen und Schiffen veröffentlichte Herr Biden eine langjährige Verordnung, mit der erstmals Änderungen in der Cybersicherheit vorgeschrieben werden sollen.
Und er schlug vor, dass er bereit sei, Schritte zu unternehmen, die die Obama-Regierung während der Wahlkampagnen 2016 nur zögerte – direkte Maßnahmen, um die Angreifer zurückzuschlagen.
“Wir werden auch eine Maßnahme ergreifen, um ihre Betriebsfähigkeit zu stören”, sagte Biden, eine Linie, die darauf hindeutete, dass das United States Cyber Command, die Cyberwarfare-Truppe des Militärs, befugt war, DarkSide aus dem Verkehr zu ziehen wie bei einer anderen Ransomware-Gruppe im Herbst vor den Präsidentschaftswahlen.
Stunden später wurden die Internetseiten der Gruppe dunkel. Am frühen Freitag gaben DarkSide und mehrere andere Ransomware-Gruppen, darunter Babuk, der die Polizeibehörde von Washington DC gehackt hat, bekannt, dass sie aus dem Spiel aussteigen würden.
Darkside spielte auf störende Maßnahmen einer nicht näher bezeichneten Strafverfolgungsbehörde an, obwohl nicht klar war, ob dies das Ergebnis von US-Maßnahmen oder Druck Russlands vor dem erwarteten Gipfeltreffen von Herrn Biden mit Präsident Wladimir V. Putin war. Und das Schweigen könnte einfach eine Entscheidung der Ransomware-Bande zum Ausdruck gebracht haben, Vergeltungsmaßnahmen zu vereiteln, indem sie ihren Betrieb möglicherweise vorübergehend einstellt.
Das Cyber Command des Pentagon verwies Fragen an den Nationalen Sicherheitsrat, der sich weigerte, einen Kommentar abzugeben.
Die Episode unterstrich die Entstehung einer neuen „gemischten Bedrohung“, die möglicherweise von Cyberkriminellen ausgeht, aber von einer Nation, die die Angriffe als ihren Interessen dienend ansieht, oft toleriert und manchmal ermutigt wird. Deshalb hat Herr Biden Russland herausgegriffen – nicht als Schuldiger, sondern als Nation, die mehr Ransomware-Gruppen beherbergt als jedes andere Land.
“Wir glauben nicht, dass die russische Regierung an diesem Angriff beteiligt war, aber wir haben starken Grund zu der Annahme, dass die Kriminellen, die diesen Angriff durchgeführt haben, in Russland leben”, sagte Biden. “Wir haben in direkter Kommunikation mit Moskau über die Notwendigkeit gesprochen, dass verantwortungsbewusste Länder gegen diese Ransomware-Netzwerke vorgehen müssen.”
Da die Systeme von Darkside ausgefallen sind, ist unklar, wie sich die Regierung von Herrn Biden weiter rächen würde, über mögliche Anklagen und Sanktionen hinaus, die russische Cyberkriminelle zuvor nicht abgeschreckt haben. Das Zurückschlagen mit einem Cyberangriff birgt auch das Risiko einer Eskalation.
Die Regierung muss auch damit rechnen, dass ein Großteil der kritischen Infrastruktur Amerikas im Besitz des Privatsektors ist und von diesem betrieben wird und weiterhin reif für Angriffe ist.
“Dieser Angriff hat gezeigt, wie schlecht unsere Widerstandsfähigkeit ist”, sagte Kiersten E. Todt, Geschäftsführer des gemeinnützigen Cyber Readiness Institute. “Wir überdenken die Bedrohung, wenn wir immer noch nicht die Grundlagen für die Sicherung unserer kritischen Infrastruktur schaffen.”
Die gute Nachricht, sagten einige Beamte, war, dass die Amerikaner einen Weckruf erhielten. Der Kongress sah sich der Realität gegenüber, dass der Bundesregierung die Befugnis fehlt, von den Unternehmen, die mehr als 80 Prozent der kritischen Infrastruktur des Landes kontrollieren, ein Mindestmaß an Cybersicherheit zu verlangen.
Die schlechte Nachricht sei, dass amerikanische Gegner – nicht nur Supermächte, sondern auch Terroristen und Cyberkriminelle – erfuhren, wie wenig es braucht, um in einem großen Teil des Landes Chaos auszulösen, auch wenn sie nicht in den Kern des Stromnetzes eindringen oder die Betriebskontrollsysteme, die Benzin, Wasser und Propan im ganzen Land bewegen.
Etwas so Grundlegendes wie ein gut konzipierter Ransomware-Angriff kann leicht den Trick tun und gleichzeitig Staaten wie Russland, China und Iran, die häufig Außenstehende für sensible Cyberoperationen ansprechen, plausible Leugnung bieten.
Es bleibt ein Rätsel, wie Darkside zum ersten Mal in das Geschäftsnetzwerk von Colonial eingebrochen ist. Das in Privatbesitz befindliche Unternehmen hat zumindest in der Öffentlichkeit praktisch nichts darüber gesagt, wie sich der Angriff entwickelt hat. Es wartete vier Tage, bevor es wesentliche Gespräche mit der Verwaltung führte, eine Ewigkeit während eines Cyberangriffs.
Cybersecurity-Experten stellen außerdem fest, dass die Colonial Pipeline ihre Pipeline niemals hätte herunterfahren müssen, wenn sie mehr Vertrauen in die Trennung zwischen ihrem Geschäftsnetzwerk und dem Pipeline-Betrieb gehabt hätte.
“Es sollte unbedingt eine Trennung zwischen Datenmanagement und der tatsächlichen Betriebstechnologie geben”, sagte Frau Todt. “Für ein Unternehmen, das 45 Prozent des Gases an die Ostküste transportiert, ist es offen gesagt unentschuldbar, die Grundlagen nicht zu tun.”
Andere Pipeline-Betreiber in den USA setzen fortschrittliche Firewalls zwischen ihren Daten und ihren Vorgängen ein, die es nur ermöglichen, dass Daten aus der Pipeline in eine Richtung fließen, und verhindern, dass sich ein Ransomware-Angriff ausbreitet.
Colonial Pipeline hat nicht angegeben, ob diese Sicherheitsstufe in ihrer Pipeline bereitgestellt wurde. Branchenanalysten sagen, dass viele kritische Infrastrukturbetreiber sagen, dass die Installation solcher unidirektionaler Gateways entlang einer 5.500-Meilen-Pipeline kompliziert oder unerschwinglich teuer sein kann. Andere sagen, dass die Kosten für die Bereitstellung dieser Schutzmaßnahmen immer noch günstiger sind als die Verluste durch potenzielle Ausfallzeiten.
Die Abschreckung von Ransomware-Kriminellen, deren Zahl und Kühnheit in den letzten Jahren zugenommen hat, wird sicherlich schwieriger sein als die Abschreckung von Nationen. Aber diese Woche machte die Dringlichkeit klar.
“Es ist alles Spaß und Spiel, wenn wir uns gegenseitig das Geld stehlen”, sagte Sue Gordon, ehemalige stellvertretende Hauptdirektorin für nationale Geheimdienste und langjährige CIA-Analystin mit Spezialisierung auf Cyberfragen, auf einer Konferenz von The Cipher Brief, einer Online-Intelligence-Newsletter. “Wenn wir mit der Funktionsfähigkeit einer Gesellschaft herumspielen, können wir das nicht tolerieren.”