Zuletzt aktualisiert am

In diesem Beitrag werden Cyber-Angriffe auf Kritische Infrastrukturen bzw. wichtige öffentliche Einrichtungen gesammelt, wo es zu weitreichenden oder längeren Störungen gekommen ist. Seit Anfang Jänner 2020 kommt es bereits fast täglich zu Meldungen. Daher werden nur mehr besonders herausstechende Ereignisse aufgenommen.

09.03.20: ENTSO-E has recently found evidence of a successful cyber intrusion into its office network

Quelle: www.entsoe.eu

A risk assessment has been performed and contingency plans are now in place to reduce the risk and impact of any further attacks. It is important to note that the ENTSO-E office network is not connected to any operational TSO system. Our TSO members have been informed and we continue to monitor and assess the situation.

02.03.20: Was Emotet anrichtet – und welche Lehren die Opfer daraus ziehen

Quelle: www.heise.de

Im niedersächsischen Neustadt am Rübenberge hat der Trojaner Emotet mit voller Wucht zugeschlagen. Nun spricht die Stadtverwaltung offen über das Desaster, damit andere daraus lernen.

Am Morgen des 6. September 2019 bemerkte ein Mitarbeiter der IT-Abteilung der Stadtverwaltung von Neustadt am Rübenberge etwas Seltsames. Sein Monitor zeigte ihm eine extrem hohe Auslastung der Server im Rechenzentrum der Kommune – obwohl keine Tests oder Wartungsarbeiten anstanden. Es könnte Schadsoftware am Werk sein, folgerte der Mitarbeiter. Sicherheitshalber fuhr er die Server sofort herunter.

Doch da war es längst zu spät. Schon am Vorabend oder in der Nacht hatten Unbekannte damit begonnen, die Server der Verwaltung der niedersächsischen 45.000-Einwohner-Stadt zu verschlüsseln. Mails und Formulare, Flächennutzungspläne und Bauzeichnungen, die Hochzeitstermine des Standesamts und Elterngeldanträge – der eingeschleuste Kryptotrojaner machte vor nichts Halt.

„Das Schlimmste für mich als Kämmerer war, dass die Daten der Buchhaltungs­software verschlüsselt wurden“, sagt er. „Darunter 220.000 digitale Steuerakten und 350.000 Adressen von Debitoren und Kreditoren.“

Die gute Nachricht: Es gab noch ein unverschlüsseltes, nur 24 Stunden altes Backup der Buchhaltungsdaten. Allerdings erfuhren Schillack und Niemeyer auch viele schlechte Neuigkeiten. Der Trojaner hatte zahlreiche andere Datenbanken sowie einige Backups verschlüsselt. Auf dem zentralen Fileserver der Stadt wurden etwa 550.000 Dateien verschlüsselt, etwa 830.000 blieben verschont.

Damit war die Stadtverwaltung von Neustadt mit ihren rund 560 Mitarbeitern weitgehend lahmgelegt. Fast alle Bürgerdienste – von der Ausstellung der Geburtsurkunde über die Ehe-Anmeldung bis zur Übernahme von Bestattungskosten – mussten vorerst eingestellt werden. Die Verwaltung konnte auch keine Zahlungen mehr leisten. Deshalb mussten zum Beispiel Familien vorerst auf Elterngeld und damit auf einen großen Teil ihres Einkommens verzichten.

Es dauerte eine Woche, bis die Verwaltungsmaschinerie langsam wieder in Tritt kam. 

Lehren

Auf technischer Ebene habe man zum Beispiel strengere Regeln für Mail-Anhänge eingeführt. Alte Office-Formate wie DOC sowie verschlüsselte ZIP-Dateien würden nicht mehr akzeptiert – was im Alltag immer wieder zu Diskussionen mit anderen Behörden führe, die noch DOC-Dateien versendeten, sagt Nie­meyer. Das neue Netzwerk habe man zudem streng segmentiert, um Schädlingen die Ausbreitung zu erschweren. Ein Sicherheitstest durch externe Experten sei geplant.

Außerdem habe man wieder Band­sicherungen eingeführt: Bänder mit essenziellen Daten lägen im feuerfesten Tresor der Stadt und in einem Bankschließfach. Damit könne man nach Notfällen die Grundstruktur der IT schnell wiederherstellen. Hinzu kämen wöchentliche Backups aktueller Daten auf weiteren Bändern. „Diese sind offline, also gibt es keine Angriffsmöglichkeit“, betont Niemeyer.

Absolute Sicherheit könne es trotz all dieser Maßnahmen niemals geben, betont Niemeyer. „Die Frage ist nicht, ob man befallen wird, sondern wann.“ Man müsse also auf den Notfall vorbereitet sein – und dann schnell und konsequent handeln. „Jemand muss Entscheidungen fällen, statt um den heißen Brei herumzureden.“

19.02.20: Ransomware Ekans: Gefahr für OT- und ICS-Umgebungen

Quelle: www.ikarussecurity.com

Seit fünf Jahren dominiert Ransomware die Liste der erfolgreichsten Schadprogramme. Seit Ende 2019 ist der „Evergreen“ der Malwareklassen um eine Nuance reicher: Ekans (Snake rückwärts geschrieben, wird auch Snakehose genannt) greift auch in OT- und ICS-Netzwerke ein.

Ransomware verschlüsselt Daten, löscht Backups und stoppt Prozesse

Ekans verbreitet sich manuell vor allem via E-Mails und über Exploits schlecht gesicherter Systeme. 

Neben der typischen Verschlüsselung von Dateien und Programmen sucht und löscht Ekans Backups auf infizierten Geräten. Verschlüsselten Daten können dadurch nicht wiederhergestellt werden. Zusätzlich bringt die Malware eine „kill list“ mit Prozessen, die gestoppt werden, mit. Darunter finden sich Sicherheits- und Verwaltungssoftware, Datenbanken und Datensicherungslösungen – und auch ICS-bezogene Prozesse. Industriebetriebe sind unmittelbar in Gefahr.

Erstmals auch industrielle Steuerungsprozesse im Visier

Die Kenntnisse der Angreifer über industrielle Kontrollsysteme scheinen rudimentär. Es könnte sich bei den ICS-bezogenen Prozessen auf der „kill list“ um einen „Seitenhieb“ zu handeln, um in den IT-Netzwerken möglichst breiten Schaden anzurichten. Denn der Großteil der Prozesse habe nichts mit industriellen Kontrollsystemen zu tun. Die gleiche Prozessliste, die in Ekans hinterlegt ist, hatte bereits die Ransomware MegaCortex verwendet. FireEye vermutet daher „Synergieeffekte“. Weitere Überschneidungen zwischen den beiden Malware-Familien scheint es nicht zu geben.

Laut Analysen der Sicherheitsforscher von Dragos, die die Malware im Jänner entdeckten, kann Ekans keine Befehle in die Steuerungssysteme eingeben oder Abläufe manipulieren. Dennoch scheint Gefahr in Verzug: Die tatsächlichen Auswirkungen der hardgecodeten „kill list“ auf industrielle Steuerungssysteme sind unklar. Verlust von Sichtbarkeit und Kontrolle sind mögliche Folgen. Auch bei abgesicherten Systemen, die im Notfall auf manuelle Steuerung zurückfallen, bleibt zumindest das Risiko hoher finanzieller Folgen bestehen.

19.02.20: DHS says ransomware hit US gas pipeline operator

Quelle: www.zdnet.com

Operations halted for two days at unnamed US natural gas compression facility.

A ransomware attack has impacted the operations of a US-based natural gas compression facility, according to a security advisory from the US government.

Blow are CISA’s findings and conclusions from its recent investigation into the event:

  • At no time did the threat actor obtain the ability to control or manipulate operations. The victim took offline the HMIs that read and control operations at the facility. A separate and geographically distinct central control office was able to maintain visibility but was not instrumented for control of operations.
  • The victim’s existing emergency response plan focused on threats to physical safety and not cyber incidents. Although the plan called for a full emergency declaration and immediate shutdown, the victim judged the operational impact of the incident as less severe than those anticipated by the plan and decided to implement limited emergency response measures. These included a four-hour transition from operational to shutdown mode combined with increased physical security.
  • Although the direct operational impact of the cyberattack was limited to one control facility, geographically distinct compression facilities also had to halt operations because of pipeline transmission dependencies. This resulted in an operational shutdown of the entire pipeline asset lasting approximately two days.
  • Although they considered a range of physical emergency scenarios, the victim’s emergency response plan did not specifically consider the risk posed by cyberattacks. Consequently, emergency response exercises also failed to provide employees with decision-making experience in dealing with cyberattacks.
  • The victim cited gaps in cybersecurity knowledge and the wide range of possible scenarios as reasons for failing to adequately incorporate cybersecurity into emergency response planning.

07.02.20: Mysterious New Ransomware Targets Industrial Control Systems

Quelle: www.wired.com

EKANS appears to be the work of cybercriminals, rather than nation-state hackers—a worrying development, if so.

Only a few times in the history of hacking has a piece of malicious code been spotted attempting to meddle directly with industrial control systems, the computers that bridge the gap between digital and physical systems. Those rare specimens of malware have destroyed nuclear enrichment centrifuges in Iran and caused a blackout in Ukraine. Now, a malware sample has surfaced that uses specific knowledge of control systems to target them with a far blunter, and more familiar, tactic: Kill the target’s software processes, encrypt the underlying data, and hold it hostage.

„These industrial control system machines are some of the most high-value targets.“

EKANS could signal that industrial hacking tactics are proliferating to common criminals. „It implies an increasing willingness and ability of non-state actors to significantly impact or impair critical infrastructure entities,“ says Slowik. As disturbing as the idea of Iranian hackers waging cyberwar on its neighbors‘ physical infrastructure may be, the prospect of criminal hackers making a business of breaking those systems for profit may be even worse.

31.01.20: „Snake“ hat Industrie im Visier – Greift Iran mit einem Erpresser-Trojaner an?

Quelle: www.n-tv.de

Ein neuer gefährlicher Erpresser-Trojaner ist offenbar in der Lage, die Kontrollsysteme von Industrieanlagen außer Gefecht zu setzen. Sicherheitsforscher vermuten den Ursprung der „Snake“ getauften Ransomware im Iran.

Den ersten Erkenntnissen nach greift die Ransomware vor allem SCADA-Systeme zur Steuerung und Überwachung technischer Prozesse an. Solche Systeme werden unter anderem in Kraftwerken, Raffinerien, Gas- und Wasserwerken, Transport und Telekommunikation eingesetzt. „Snake“ hat es also möglicherweise auf kritische Infrastrukturen abgesehen.

15.01.20: Ransomware lähmt Unternehmen, Verwaltung und Kritische Infrastrukturen

Quelle: ag.kritis.info

Die Meldungen von Institutionen, die teilweise tagelang vom Internet getrennt waren bzw. sich als Maßnahme zur Schadensreduktion selber vom Internet getrennt haben, häuften sich zum Jahresende 2019. Viele der Vorfälle waren auf die Schadsoftware Emotet und die damit in Verbindung stehenden Malware-Familien zurückzuführen. Nach fast zwei Wochen „Urlaub“ ist Emotet zurück und infiziert erneut Institutionen und Privatpersonen auf der ganzen Welt. Selbst ein anschauliches Video einer Infektion der initialen und unsichtbaren ersten Schadsoftware ist verfügbar. Das Perfide daran ist, dass Betroffene erst den Angriff bemerken, wenn die Verschlüsselung bereits begonnen hat. Die Dunkelziffer von Betroffenen, die keine Mitteilung machen, ist vermutlich sehr hoch.

Allein im November und Dezember 2019 waren unter anderem folgende KRITIS-Sektoren durch Emotet-Angriffe betroffen: siehe ag.kritis.info

Eine kontinuierlich gepflegte Liste von Ransomware-Infektionen führt der Twitter Nutzer @GerritOpper.

11.01.20: Iranian Hackers Have Been ‘Password-Spraying’ the US Grid

Quelle: www.wired.com

A state-sponsored group called Magnallium has been probing American electric utilities for the past year.

In the wake of the US assassination of Iranian general Qasem Soleimani and the retaliatory missile strike that followed, Iran-watchers have warned that the country could deploy cyberattacks as well, perhaps even targeting US critical infrastructure like the electric grid. A new report lends some fresh details to the nature of that threat: By all appearances, Iranian hackers don’t currently have the capability to start causing blackouts in the US. But they’ve been working to gain access to American electric utilities, long before tensions between the two countries came to a head.

On Thursday morning, industrial control system security firm Dragos detailed newly revealed hacking activity that it has tracked and attributed to a group of state-sponsored hackers it calls Magnallium. The same group is also known as APT33, Refined Kitten, or Elfin, and has previously been linked to Iran. Dragos says it has observed Magnallium carrying out a broad campaign of so-called password-spraying attacks, which guess a set of common passwords for hundreds or even thousands of different accounts, targeting US electric utilities as well as oil and gas firms.

But given the the threat of Iranian counterattacks, infrastructure owners should nonetheless be aware of the campaign, argues Dragos founder and former NSA critical infrastructure threat intelligence analyst Rob Lee. And they should consider not just new attempts to breach their networks but also the possibility that those systems have already been compromised. „My concern with the Iran situation is not that we’re going to see some new big operation spin up,“ Lee says. „My concern is with access that groups might already have.“

„We know what they’re capable of,“ Hultquist says. „Again and again we’ve seen them wipe the drives that companies are using to run their business, and business grinds to a halt, and it costs them a fortune.“

29.12.19: Gefährlicher Trend: Ransomware-Angriffe auf städtische Einrichtungen in 2019 um 60 Prozent gestiegen

Quelle: www.kaspersky.de

 

Im Jahr 2019  waren insbesondere städtische Verwaltungen von Ransomware-Angriffen – also von Erpressersoftware – betroffen. So wurden laut den Sicherheitsexperten von Kaspersky seit Januar bislang mehr als 174 kommunale Einrichtungen (beziehungsweise über 3.000 einzelne Dienststellen) weltweit von Ransomware attackiert – darunter vor allem Schulen (61 Prozent), Rathäuser (29 Prozent) und medizinische Einrichtungen (sieben Prozent). Das entspricht einem Anstieg von 60 Prozent gegenüber dem Vorjahr. Die Lösegeldforderungen betrugen bis zu fünf Millionen US-Dollar, doch dürften die tatsächlichen Folgekosten noch höher ausgefallen sein. 

Dass Cyberkriminelle auch kommunale Verwaltungen mit Erpressungssoftware bedrohen, ist ein Trend, der zwar schon länger beobachtet wird, 2019 jedoch eine rasche Weiterentwicklung erfahren hat. Ein möglicher Grund: Obwohl Städte und Gemeinden oft wenig finanzkräftig sind, zeigen sie sich eher bereit, auf Lösegeldforderungen einzugehen. Denn die Blockade wichtiger Dienstleistungen wirkt sich sofort auf das Gemeinwohl aus und zieht neben finanziellen häufig auch empfindliche soziale Konsequenzen nach sich.

Gemäß öffentlich verfügbarer Daten war die Summe der Lösegeldforderungen sehr unterschiedlich. Im Durchschnitt wurden etwas über eine Million US-Dollar und maximal 5,3 Millionen Dollar gefordert.

Man muss sich vor Augen führen, dass die Zahlung von Lösegeld nur eine sehr kurz gedachte Lösung ist, die Erpresser weiter ermutigt, finanziert und nicht selten zu erneuten Erpressungsversuchen animieren kann. Angriffe auf Kommunen gefährden außerdem die gesamte städtische Infrastruktur und erfordern eine Vorfalluntersuchung und gründliche Prüfung. Das verursacht zwangsläufig über die Lösegeldzahlung hinausgehende Kosten. Unseren Beobachtung nach sind Städte eher geneigt zu zahlen, da sie üblicherweise gegen Cyberrisiken versichert sind und ein Budget für die Vorfallreaktion eingeplant haben. Dabei wäre es weit besser, in proaktive Maßnahmen wie in bewährte Sicherheits- und Backup-Lösungen zu investieren und regelmäßige Sicherheits-Audits durchzuführen. Der Trend von Angriffen auf kommunale Verwaltungen nimmt zu. Mit angepassten Sicherheitsmaßnahmen lässt er sich jedoch eindämmen und im Keim ersticken. Noch wichtiger ist es, Lösegeldzahlungen zu verweigern und diese Entscheidung auch öffentlich zu machen.

21.12.19: OT-Cybersecurity und Risikomanagement in der Prozessindustrie

Quelle: www.chemietechnik.de

In der chemischen Industrie sind Produktionsanlagen bis hin zu einzelnen Pumpen, Ventilen und Antrieben zunehmend von Computersystemen abhängig. Damit steigt auch die Gefahr von Hackerangriffen – mit potenziell drastischen Folgen für die Anlagensicherheit. Viele Unternehmen sind noch nicht auf die wachsende Bedrohung vorbereitet.

  • Nur jedes fünfte Industrieunternehmen hat seine Cybersecurity-Maßnahmen speziell auf Industrieanlagen zugeschnitten. Dabei sind besonders Anlagen in der Chemieindustrie von einer zunehmenden Bedrohungslage betroffen.
  • OT-Security erfordert nicht nur technische Maßnahmen, sondern vor allem auch eine Veränderung der Organisationsstrukturen und die klare Definition von Verantwortlichkeiten.

Schon 2005 standen weltweit Anlagen in 13 vernetzten Daimler-Chrysler-Werken still, und 50.000 Fabrikangestellte konnten nicht mehr arbeiten – Grund war ein Computerwurm. 2010 fand der unter Stuxnet bekannte Angriff auf iranische Atomanlagen statt. Im April 2019 wurde bekannt, dass der Dax-Konzern Bayer bereits 2018 Opfer eines zielgerichteten Spionageangriffs war. Kurz darauf kam die Meldung, dass unter anderem Großkonzerne wie BASF, Siemens und Roche Opfer von Industriespionage durch einen Cyberangriff waren. Die genannten Angriffe stellen nur einen kleinen Ausschnitt dar. 

 Im Schnitt dauert es heute rund 200 Tage, bis ein Unternehmen einen Angriff erkennt. Und je länger es dauert, eine Bedrohung zu erkennen und entsprechend zu reagieren, desto größer wird der Schaden.

Ein wesentlicher Angriffspunkt für Cyberattacken ist Operational Technology (OT), also Computersysteme, die Motoren, Ventile, Pumpen, Stromnetze und ganze Industrieanlagen steuern. Auch ältere Maschinen und Anlagen, die ursprünglich gar nicht dafür ausgerichtet waren, vernetzt zu werden, sind nun mit dem Internet direkt oder indirekt verbunden. Dadurch entstehen Schwachstellen. In der weltweiten Studie „Industrial Security in 2019“ fragte TÜV Rheinland 370 Firmen-Verantwortliche danach, wie Unternehmen und Organisationen ihre Industrieanlagen vor Cyberangriffen schützen. 40 % der Befragten gaben an, die Risiken noch nie untersucht zu haben. Zudem hat nur jedes fünfte Unternehmen seine Maßnahmen für Cybersecurity speziell auf Industrieanlagen zugeschnitten. Durch den Einzug des Industrial Internet of Things (IIoT), steigender Konnektivität und der Verwendung vernetzter Cloud-Infrastrukturen, spitzt sich die Lage weiter zu. Die Angriffsfläche wird unausweichlich steigen.

Die wichtigste Hürde ist die Veränderung der Organisationsstrukturen und Definition von Verantwortlichkeiten. Fachbereiche in der Produktion verfolgen primär Ziele hinsichtlich kostenoptimierter Produktionsprozesse unter Berücksichtigung von Betriebssicherheit und Qualität. Cybersecurity kommt als komplexes Thema mit hoher Bedeutung hinzu.

Auch bei größter Sorgfalt werden sich jedoch nicht sämtliche Sicherheitslücken schließen lassen – vor allem, wo ältere Technologien zum Einsatz kommen. „Daher ist ein wichtiger Schritt – neben dem präventiven Schutz – die komplette Überwachung der Infrastruktur“, meint Sicherheitsexperte Kiener. „Ziel muss es sein, einen Angriff möglichst schnell zu entdecken und entsprechend zu reagieren.“

14.12.19: Computervirus: Klinikum Fürth offline und mit eingeschränktem Betrieb

Quelle: www.heise.de

Wegen eines Computervirus im IT-System hat das Klinikum in Fürth seinen Betrieb stark eingeschränkt. Der Befall wurde Berichten zufolge bereits am Donnerstag entdeckt. Am Freitagvormittag hat sich das Klinikum von der Notfallversorgung abgemeldet und nimmt vorübergehend keine neuen Patienten auf. Die Verbindung zum Internet wurde gekappt. Das Klinikum Fürth war bereits 2016 Opfer eines Trojaner-Angriffs. Das Krankenhaus behandelt jährlich rund 58.000 Patienten ambulant und 42.000 stationär.

11.12.19: 5 Gründe, die das Risiko Kritischer Infrastrukturen erhöhen

Quelle: www.security-insider.de

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Im Folgenden werden fünf Gründe skizziert, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

1. Grund: Cyberangriffe nehmen zu

2. Grund: KRITIS zunehmend vernetzt

3. Grund: KRITIS sind attraktive Ziele

4. Grund: Allianzen noch nicht verbreitet genug

5. Grund: Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert

11.12.19: HACKER NEHMEN KRITIS-STRUKTUREN INS VISIER

Quelle: www.it-daily.net

Eine kritische Infrastruktur oder kurz KRITIS ist eine Anlage, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen ist. Dazu gehören Systeme oder Teile davon, die essenziell für die Gesundheit, die Sicherheit und das wirtschaftliche oder soziale Wohlergehen der Bevölkerung sind.

Auf der CyberwarCon-Konferenz in Arlington in den USA wurde nun bekannt, dass genau solche systemrelevante Infrastruktur in den Fokus einer bekannten iranischen Hacker-Gruppe geraten ist. Das verkündete Ned Moran von Microsofts Threat Intelligence Group. Mit seinem Team hat er die jüngsten Aktivitäten der iranischen Hacker-Gruppe APT33 analysiert und kommt zu dem Schluss, dass sie sich eine neue Zielgruppe gesucht hat. So attackiert sie aktuell verstärkt Hersteller, Zulieferer und Dienstleister für Industrial Control Systems (ICS). Zwar hat Moran die genauen Ziele nicht namentlich genannt, allerdings äußerte er den begründeten Verdacht, dass diese Unternehmen nicht das eigentliche Ziel der Angriffe sind, sondern deren Kunden, die die Kontroll-Systeme einsetzen. Dazu zählen auch KRITIS-Strukturen, in die auf diesem Wege  Schadsoftware eingeschleust wird, um Daten auszulesen und zu manipulieren oder deren Systeme zum Absturz bringen zu können.

Noch konnten Microsofts Sicherheitsforscher der Hackergruppe keine durchschlagende Cyberattacke nachweisen, sondern fanden nur ihre Spuren in Bezug auf Spionageaktivitäten. Allerdings wurden die Opfer dieser Ausspähversuche in vielen Fällen später durch eine Attacke mit Shamoon getroffen. Diese  Malware löscht und vernichtet Daten auf den Systemen der Opfer. Darüber hinaus wurden Hinweise darauf gefunden, dass eine weitere Angriffswelle in der Zukunft vorbereitet werden sollte.

Die Konzentration der iranischen Hackergruppe auf ICS-Strukturen stellt eine echte Gefahr dar. Dass viele Energieversorger und andere KRITIS-Unternehmen bei der Steuerung ihrer Anlagen blind auf die Software vertrauen, erscheint deshalb geradezu fahrlässig. Ein erfolgreicher Angriff könnte angefangen bei Stromausfällen bis hin zu Explosionen alles zur Folge haben.

23.11.19: Bon sang! French hospital contracts 6,000 PC-locking ransomware infection

Quelle: www.theregister.co.uk

A French hospital has suffered a ransomware attack that reportedly caused the lockdown of 6,000 computers.

The attack, which took place on Friday November 15 at around 1900 local time, according to a hospital statement „made access to most business applications inaccessible, but also infected some of the workstations.“

„Many services operated in degraded mode and hospital staff were confronted with disruptions, particularly in regards to computerised prescriptions, reports or admissions management, which instead had to be operated in a degraded state, [or had to be transmitted via] telephone or paper,“ continued the official statement.

Cesar Cerrudo, chief techie of rival biz IOActive, opined: „Sadly, the targeting of hospitals with ransomware is a growing trend; earlier this year seven hospitals in Australia were also impacted by ransomware. Hospitals are becoming a major target as despite new technology adoption being high, there is often a lack of cyber security knowledge, even though health data can be a very lucrative area for cybercriminals. This makes busy hospital staff the perfect targets.“

17.07.19: Deutsche Krankenhäuser mit Ransomware infiziert

Quelle: www.sueddeutsche.de

  • Die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes ist offenbar Opfer eines Ransomware-Angriffs geworden.
  • 13 Krankenhäuser waren betroffen, auf die Patienten hat sich die Infektion des IT-Systems der Gesellschaft zufolge nicht ausgewirkt.

Die Probleme begannen am Sonntagmorgen: Angestellte des Krankenhaus-Betreibers DRK Trägergesellschaft Süd-West bemerkten, dass etwas mit dem IT-System nicht stimmte: Eine Schadsoftware hatte das IT-Netzwerk befallen und begonnen Datenbanken und Server zu verschlüsseln. Ein einfacher Hackerangriff, der enorme Tragweite entfalten könnte: Die Trägergesellschaft betreibt im Südwesten Deutschlands insgesamt 13 Krankenhäuser, einen Großteil davon zwischen Mannheim und Bonn, zwei weitere in der Nähe der Grenzen zur Frankreich und Luxemburg. Am Sonntagnachmittag beschloss die IT-Abteilung der Gesellschaft, die Systeme herunterzufahren, um die Verschlüsselung zu stoppen.

10.10.18: Stromausfall durch Hacker? Cyber-Abwehrzentrum fordert besseren Schutz statt Angriffe

Quelle: netzpolitik.org

Droht Europa ein Stromausfall durch Hacker-Angriffe? Das Nationale Cyber-Abwehrzentrum hat dazu ein Lagebild erstellt, das wir veröffentlichen. Die Koordinierungsstelle fordert bessere Schutzmaßnahmen, aber keine offensiven Fähigkeiten. Verteidigung bleibt die beste Verteidigung.

Im August berichtete Spiegel Online, das „Cyber-Abwehrzentrum warnt vor Stromausfall in ganz Europa“. Quelle war eine Lageeinschätzung des Nationalen Cyber-Abwehrzentrums. Wir haben das Original-Dokument per Informationsfreiheitsgesetz angefragt und veröffentlichen es an dieser Stelle.

Leider ist die freigegebene Version an ein paar Stellen geschwärzt, zwei Zitate aus dem Spiegel fehlen:

Aktuelle Erkenntnisse zu Gruppen wie Berserk Bear zeigten, „dass mittlerweile auch kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“, heißt es in dem Bericht. Bei einer gewissen Größe von Angriffen könnten „Auswirkungen bis hin zu einem vollständigen Blackout im europäischen Verbundnetz nicht ausgeschlossen werden“.

24.08.18: Cyber-Abwehrzentrum warnt vor Stromausfall in ganz Europa

Quelle: www.spiegel.de

Nach Hacker-Angriffen auf das ukrainische Stromnetz warnt das deutsche Abwehrzentrum vor ähnlichen Attacken hierzulande. Nach SPIEGEL-Informationen halten die Experten sogar einen europaweiten Blackout für möglich.

Laut dem Bericht liegen Erkenntnisse vor, „dass mittlerweile auch Kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“. Dabei, so das Papier, könnte es sich durchaus um Vorbereitungen für eine Attacke handeln.

Die Furcht vor einem europaweiten Blackout fußt auf der Annahme, es könne eine Art Domino-Effekt geben, da die Energieversorger in Europa vernetzt sind. Würden mehrere Kraftwerke in Deutschland mit einer bestimmten Gesamterzeugungsleistung gezielt attackiert und auch nur zeitweise lahmgelegt, heißt es in dem Papier, könne die Netzstabilität innerhalb der EU gefährdet sein.

Die Folgen wären dramatisch, da sich in diesem Fall automatisch auch andere Kraftwerke europaweit abschalten würden, warnt das Papier. Dies führe „zwangsläufig zu einem weiträumigen, wenn nicht gar vollständigen, Blackout“.

In dem 22-seitigen Dokument, das im Cyber-Abwehrzentrum von Experten des Bundeskriminalamts (BKA), des Bundesnachrichtendienstes (BND), des Verfassungsschutzes und des Bundesamts für Informationssicherheit sowie anderen Behörden erarbeitet wurde, werden zwei Cyberangriffe auf Energieversorger in der Westukraine aus den Jahren 2015 und 2016 analysiert.

Damals fiel für mehrere Hunderttausend Einwohner stundenlang der Strom aus. Sicherheitsbehörden machten zwei Hackergruppen für die Angriffe verantwortlich: „Sandworm“ und „Berserk Bear“. Beide sollen von russischen Nachrichtendiensten gesteuert sein. Die Kampagne war offenbar eine Machtdemonstration des Kreml.

Die deutschen Experten beunruhigt laut dem Dokument vor allem die Qualität der Schadsoftware, die beim zweiten Angriff eingesetzt wurde. Sie sei mit „Stuxnet“ gleichzusetzen, der bislang mächtigsten bekannten Cyberwaffe, die mutmaßlich von den USA und Israel entwickelt wurde, um das iranische Atom-Programm zu sabotieren.

Beruhigend liest sich der Schluss der Analyse nicht. So registrieren die Behörden bei den Schnüffel-Versuchen der Hacker-Gruppen bei deutschen Energieunternehmen, „dass die beobachteten Aktivitäten nicht nur auf reine Informationsbeschaffung abzielen, sondern auch Sabotagefähigkeiten und -absichten zeigen“.

Anmerkung: Um das europäische Verbundsystem durch einen Cyber-Angriff zum Kollabieren zu bringen, muss man nicht deutsche Einrichtungen hacken. Das geht vielleicht in anderen Ländern sogar noch viel einfacher. Daher helfen IT-Schutzmaßnahmen nur bedingt. Zumindest ist man dann nicht Schuld. Was bei einem Blackout aber recht wenig hilft, da man genauso massiv betroffen ist.

05.08.18: Viren mit fatalen Folgen: Wie Cyberangriffe den Gesundheitssektor bedrohen

Quelle: computerwelt.at

Es ist etwas mehr als ein Jahr her seit der Ransomware-Angriff namens WannaCry den Globus erfasst und verheerenden Schaden angerichtet hat. Eine Cyberattacke so schwerwiegend, dass sie nicht nur Schäden in Milliardenhöhe verursacht hat, sondern auch die allgegenwärtige Gefahr, die von Cyberkriminellen ausgeht, weltweit ins Bewusstseins rückte.

Das tatsächliche Ausmaß solcher Angriffe ist für viele trotzdem schwer greifbar. So wissen vermutlich nur wenige, dass WannaCry damals den britischen Gesundheitsdienst besonders hart getroffen hat. Denn auch Patienten und Pflegekräfte waren direkt von dem Angriff betroffen – mit teils fatalen Folgen: aufgeschobene Chemotherapie-Behandlungen, verzögerte Medikamentengabe und umgeleitete Notfallpatienten.
Cyberattacken können nicht zu 100 Prozent verhindert werden, dafür sind die Angriffsstrategien moderner Hacker zu ausgeklügelt.

31.07.18: Russische Hacker sollen Hunderte US-Stromversorger angegriffen haben

Quelle: www.spiegel.de

Die USA verdächtigen Russland seit Langem, hinter einer Angriffsreihe auf das US-Stromnetz zu stecken. Nun gab das Heimatschutzministerium einem Medienbericht zufolge neue, alarmierende Details bekannt.
Die Angriffe laufen vermutlich seit mehreren Jahren – und sind noch immer nicht gestoppt: Das amerikanische Heimatschutzministerium hat neue Details über Hackerangriffe auf US-Stromversorger bekannt gegeben.

Das berichtet das „Wall Street Journal“ und beruft sich auf eine Unterrichtung durch das Ministerium.
Die Angreifer seien so erfolgreich gewesen, dass sie theoretisch „den Schalter hätten umlegen“ und Stromausfälle hätten verursachen können, zitiert die Zeitung Jonathan Homer, einen Spezialisten für Industrieanlagen des Heimatschutzministeriums. Zudem ist die Zahl der betroffenen Firmen höher als bisher gedacht: Statt mehreren Dutzend Opfern ist nun von „Hunderten“ die Rede.

Aktuelle Erkenntnisse zu Gruppen wie Berserk Bear zeigten, „dass mittlerweile auch kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“, heißt es in dem Bericht. Bei einer gewissen Größe von Angriffen könnten „Auswirkungen bis hin zu einem vollständigen Blackout im europäischen Verbundnetz nicht ausgeschlossen werden“.

31.07.18: WDR und ZDF von russischen Hackern angegriffen

Quelle: www.spiegel.de
Öffentlich-rechtliche Sender wurden offenbar von russischen Hackern angegriffen. Nach Informationen aus Sicherheitskreisen sollen die IT-Netzwerke des ZDF und des WDR Anfang Juni von einer Kampagne der Gruppe „Sandworm“ betroffen gewesen sein.
Das Bundesamt für Verfassungsschutz hatte in seinem jüngsten „Cyber-Brief“ von Angriffen auf deutsche Medienunternehmen berichtet. Auch von Attacken gegen „Organisationen im Bereich der Chemiewaffenforschung“ war die Rede. Laut Sicherheitskreisen könnte das Labor Spiez betroffen gewesen sein, die schweizerische Fachstelle zum Schutz vor ABC-Angriffen.
„Sandworm“ ist mutmaßlich eine Hackergruppe des russischen Militärgeheimdienstes GRU und ist auf Sabotageaktionen spezialisiert.