Darum drohen nach dem Cyberangriff auf die SBB noch weit gefährlichere Attacken
Ransomware-Banden sind zur grössten Gefahr für Verkehrsbetriebe geworden, wie ein europäischer Cybersecurity-Bericht zeigt. Und die Fachleute warnen vor verheerenden Attacken gegen sogenannte OT-Systeme.
Ein aktueller Bericht (PDF) der Agentur für Cybersicherheit der Europäischen Union (ENISA) lässt aufhorchen und dürfte auch die Verantwortlichen bei den SBB beschäftigen.
Gemäss der am Dienstag veröffentlichten 50-seitigen Analyse sind Ransomware-Angriffe die grösste Cyberbedrohung für den Verkehrssektor in Europa. Dabei geht es aber nicht nur um die bislang bekannten Erpressungsversuche.
Während die meisten Ransomware-Angriffe bisher auf IT-Systeme wie Datenbanken abzielten, warnt die europäische Cybersicherheit-Behörde, dass die kriminellen Hackerbanden in absehbarer Zukunft wahrscheinlich auch auf OT-Systeme abzielen und diese stören werden, was für die ganze Gesellschaft schwerwiegende Folgen haben könnte.
Warum droht Verkehrsbetrieben neue Gefahr?
OT steht für Operational Technology. Gemeint sind Systeme, die typischerweise mechanische Prozesse überwachen oder steuern. Das macht sie besonders wichtig für die Sicherheit von Flughäfen, Häfen, Schienenverkehr und anderen Aspekten des Transportsektors, wie The Record festhält.
Die EU-Agentur ENISA sagt, dass sie keine "verlässlichen Informationen" über einen konkreten Cyberangriff erhalten habe, der die Verkehrssicherheit beeinträchtigen könnte. Doch nennt sie in ihrer Analyse mehrere Gründe, warum die Gefahr verheerender Cyberangriffe steigt:
- Die fortschreitende digitale Transformation und das Zusammenwachsen von ursprünglich getrennten IT- und OT-Netzwerken macht die Systeme angreifbar.
- In der vor allem in Osteuropa angesiedelten Szene der Ransomware-Banden gibt es fortlaufend neue Zusammenschlüsse. Dies führe dazu, dass mächtige Angriffswerkzeuge (Malware) in immer mehr Hände geraten.
- Kriminelle Hacker entwickeln vermehrt Fähigkeiten, OT-Netzwerke anzugreifen und zu stören. Dazu passt eine steigende Zahl neu identifizierter Sicherheitslücken, bzw. Schwachstellen, in OT-Umgebungen.
- Russlands militärische Aggression gegen die Ukraine führt dazu, dass Ransomware-Gruppen Partei ergreifen und wahrscheinlich Vergeltungsangriffe gegen kritische westliche Infrastrukturen durchführen.
- Für die Betreiber von Verkehrsinfrastruktur könnte eine erhöhte Dringlichkeit bestehen, Lösegeld zu zahlen, um kritische geschäftliche und soziale Folgen zu vermeiden.
Es sind nicht nur Europas Behörden, die warnen: Anfang März hat die US-Transportsicherheitsbehörde NTSB neue Notfall-Sicherheitsprotokolle für Flughafenbetreiber und Fluggesellschaften herausgegeben – wegen "anhaltender Cybersicherheits-Bedrohungen gegen kritische Infrastrukturen".
Wer steckt hinter den Angriffen?
Das grösste Bedrohungspotenzial geht von Ransomware-Banden wie Lockbit und ALPHV aus, die ihre digitale Angriffs-Infrastruktur gegen Bezahlung Dritten zur Verfügung stellen und schon wiederholt in der Schweiz zugeschlagen haben.
Zwei Hackerangriffe, die hiesige Unternehmen aus der Luftfahrtbranche betrafen, werden im aktuellen Bericht der EU-Cybersicherheits-Agentur in der Liste der gravierenden Vorfälle der vergangenen zwei Jahre aufgeführt:
- Im März 2021 wurden Daten von Hunderttausenden Fluggästen durch einen «hochentwickelten» Hackerangriff auf den IT-Systembetreiber Sita in Genf gestohlen.
- Im Februar 2022 übernahm ALPHV (Blackcat) die Verantwortung für eine Ransomware-Attacke auf die Flughafen-Dienstleistungsfirma Swissport.
(Source: Screenshot: enisa.europa.eu)
Im Bericht erwähnt wird auch ein Angriff auf die Allgemeine Schifffahrtsgesellschaft auf dem Genfersee (CGN) im August 2021. Hacker manipulierten das Ticket-Verkaufssystem auf der Website des Verkehrsbetriebes und so gelang es ihnen, die Kreditkartendaten einiger Kunden zu stehlen.
Staatliche Hacker
Neben kriminellen Angreifern stellen auch Hacker, die im Staatsauftrag vor allem Werkspionage betreiben, eine zunehmende Bedrohung dar. Die Ursprünge solcher Attacken lassen häufig auf Russland oder China schliessen, wobei die sichere Zuordnung ("Attribution") fast unmöglich ist.
Solche staatlichen Hacker waren laut ENISA-Bericht in den letzten zwei Jahren besonders am maritimen Sektor interessiert und nahmen dort Unternehmen ins Visier.
Die Mehrzahl der Hackerangriffe auf den europäischen Verkehrssektor wurden aber von Kriminellen mit finanziellen Motiven verübt. Ob der Cyberangriff auf die Schweizerischen Bundesbahnen (SBB) im März 2023 in diese Kategorie gehört, ist nach wie vor nicht offiziell bestätigt.
Damit sind wir bei einem springenden Punkt anbelangt.
Wo harzt es auf Seite der Unternehmen?
Die europäischen Cybersicherheits-Fachleute kommen in ihrer Analyse zu einem Fazit, das sich mit den Erfahrungen des watson-Redaktors zur Situation hierzulande deckt:
"Im Allgemeinen werden Cyberangriffe nur selten gemeldet, insbesondere solche mit unbedeutenden Auswirkungen oder Beinaheunfälle. Die meisten Organisationen ziehen es vor, das Problem intern zu lösen und schlechte Publicity zu vermeiden."
Da es an zuverlässigen Daten von den betroffenen Organisationen mangele, sei es sehr schwierig, das Problem vollständig zu verstehen oder überhaupt zu wissen, wie viele Cyberangriffe auf den Verkehrssektor tatsächlich stattfinden.
Selbst wenn man die Informationen analysiert, die von den Kriminellen auf Leak-Sites im Darknet veröffentlicht werden, ist es sehr schwierig, respektive unmöglich, die tatsächliche Zahl der entsprechenden Angriffe zu ermitteln.
"Die wichtigste Information, die fehlt, ist die technische Erklärung, wie die Angreifer Zugang zu den Zielen erhalten haben. Dabei handelt es sich in der Regel um private Daten, die die Sicherheitslage des Ziels beschreiben und daher nie an die Öffentlichkeit weitergegeben werden. Dies hat zur Folge, dass wir als Gemeinschaft nur bruchstückhaft und isoliert von den zu lösenden Problemen lernen", heisst es im ENISA-Bericht.
Bleibt anzumerken, dass die Betreiber von kritischen Infrastrukturen in der Schweiz in Zukunft Cyberangriffe mit erheblichem Schadenspotenzial dem Bund melden müssen, wenn nach dem Nationalrat auch noch der Ständerat einer entsprechenden Vorlage zustimmt. Das Zentrum für Cybersicherheit (NCSC) ist als Meldestelle vorgesehen.
Partner
Update: Bund trägt Mitschuld am Cyberangriff auf Xplain
Datengetriebenes ITSM & AIOps: moderne IT-Herausforderungen beherrschen
Betrüger wickeln Opfer mit geschenkten Klavieren um den Finger
Bienen lösen Rätsel und spielen mit Bällen
Künstliche Intelligenz – ist Ihre Infrastruktur bereit dafür?
Das E-Rezept als Treiber der Digitalisierung
KI in der Softwareentwicklung: Co-Pilot statt Konkurrent
Sicherheit im digitalen Zeitalter: Die Rolle von NIS2 für die Schweizer Wirtschaft
Dank Nutanix mit klarem Blick in die Zukunft
