Zuletzt aktualisiert am

In diesem Beitrag werden Cyber-Angriffe auf Kritische Infrastrukturen bzw. wichtige öffentliche Einrichtungen gesammelt, wo es zu weitreichenden oder längeren Störungen gekommen ist. Seit Anfang Jänner 2020 kommt es bereits fast täglich zu Meldungen. Daher werden nur mehr besonders herausstechende Ereignisse aufgenommen.

15.01.20: Ransomware lähmt Unternehmen, Verwaltung und Kritische Infrastrukturen

Quelle: ag.kritis.info

Die Meldungen von Institutionen, die teilweise tagelang vom Internet getrennt waren bzw. sich als Maßnahme zur Schadensreduktion selber vom Internet getrennt haben, häuften sich zum Jahresende 2019. Viele der Vorfälle waren auf die Schadsoftware Emotet und die damit in Verbindung stehenden Malware-Familien zurückzuführen. Nach fast zwei Wochen „Urlaub“ ist Emotet zurück und infiziert erneut Institutionen und Privatpersonen auf der ganzen Welt. Selbst ein anschauliches Video einer Infektion der initialen und unsichtbaren ersten Schadsoftware ist verfügbar. Das Perfide daran ist, dass Betroffene erst den Angriff bemerken, wenn die Verschlüsselung bereits begonnen hat. Die Dunkelziffer von Betroffenen, die keine Mitteilung machen, ist vermutlich sehr hoch.

Allein im November und Dezember 2019 waren unter anderem folgende KRITIS-Sektoren durch Emotet-Angriffe betroffen: siehe ag.kritis.info

Eine kontinuierlich gepflegte Liste von Ransomware-Infektionen führt der Twitter Nutzer @GerritOpper.

11.01.20: Iranian Hackers Have Been ‘Password-Spraying’ the US Grid

Quelle: www.wired.com

A state-sponsored group called Magnallium has been probing American electric utilities for the past year.

In the wake of the US assassination of Iranian general Qasem Soleimani and the retaliatory missile strike that followed, Iran-watchers have warned that the country could deploy cyberattacks as well, perhaps even targeting US critical infrastructure like the electric grid. A new report lends some fresh details to the nature of that threat: By all appearances, Iranian hackers don’t currently have the capability to start causing blackouts in the US. But they’ve been working to gain access to American electric utilities, long before tensions between the two countries came to a head.

On Thursday morning, industrial control system security firm Dragos detailed newly revealed hacking activity that it has tracked and attributed to a group of state-sponsored hackers it calls Magnallium. The same group is also known as APT33, Refined Kitten, or Elfin, and has previously been linked to Iran. Dragos says it has observed Magnallium carrying out a broad campaign of so-called password-spraying attacks, which guess a set of common passwords for hundreds or even thousands of different accounts, targeting US electric utilities as well as oil and gas firms.

But given the the threat of Iranian counterattacks, infrastructure owners should nonetheless be aware of the campaign, argues Dragos founder and former NSA critical infrastructure threat intelligence analyst Rob Lee. And they should consider not just new attempts to breach their networks but also the possibility that those systems have already been compromised. „My concern with the Iran situation is not that we’re going to see some new big operation spin up,“ Lee says. „My concern is with access that groups might already have.“

„We know what they’re capable of,“ Hultquist says. „Again and again we’ve seen them wipe the drives that companies are using to run their business, and business grinds to a halt, and it costs them a fortune.“

29.12.19: Gefährlicher Trend: Ransomware-Angriffe auf städtische Einrichtungen in 2019 um 60 Prozent gestiegen

Quelle: www.kaspersky.de

 

Im Jahr 2019  waren insbesondere städtische Verwaltungen von Ransomware-Angriffen – also von Erpressersoftware – betroffen. So wurden laut den Sicherheitsexperten von Kaspersky seit Januar bislang mehr als 174 kommunale Einrichtungen (beziehungsweise über 3.000 einzelne Dienststellen) weltweit von Ransomware attackiert – darunter vor allem Schulen (61 Prozent), Rathäuser (29 Prozent) und medizinische Einrichtungen (sieben Prozent). Das entspricht einem Anstieg von 60 Prozent gegenüber dem Vorjahr. Die Lösegeldforderungen betrugen bis zu fünf Millionen US-Dollar, doch dürften die tatsächlichen Folgekosten noch höher ausgefallen sein. 

Dass Cyberkriminelle auch kommunale Verwaltungen mit Erpressungssoftware bedrohen, ist ein Trend, der zwar schon länger beobachtet wird, 2019 jedoch eine rasche Weiterentwicklung erfahren hat. Ein möglicher Grund: Obwohl Städte und Gemeinden oft wenig finanzkräftig sind, zeigen sie sich eher bereit, auf Lösegeldforderungen einzugehen. Denn die Blockade wichtiger Dienstleistungen wirkt sich sofort auf das Gemeinwohl aus und zieht neben finanziellen häufig auch empfindliche soziale Konsequenzen nach sich.

Gemäß öffentlich verfügbarer Daten war die Summe der Lösegeldforderungen sehr unterschiedlich. Im Durchschnitt wurden etwas über eine Million US-Dollar und maximal 5,3 Millionen Dollar gefordert.

Man muss sich vor Augen führen, dass die Zahlung von Lösegeld nur eine sehr kurz gedachte Lösung ist, die Erpresser weiter ermutigt, finanziert und nicht selten zu erneuten Erpressungsversuchen animieren kann. Angriffe auf Kommunen gefährden außerdem die gesamte städtische Infrastruktur und erfordern eine Vorfalluntersuchung und gründliche Prüfung. Das verursacht zwangsläufig über die Lösegeldzahlung hinausgehende Kosten. Unseren Beobachtung nach sind Städte eher geneigt zu zahlen, da sie üblicherweise gegen Cyberrisiken versichert sind und ein Budget für die Vorfallreaktion eingeplant haben. Dabei wäre es weit besser, in proaktive Maßnahmen wie in bewährte Sicherheits- und Backup-Lösungen zu investieren und regelmäßige Sicherheits-Audits durchzuführen. Der Trend von Angriffen auf kommunale Verwaltungen nimmt zu. Mit angepassten Sicherheitsmaßnahmen lässt er sich jedoch eindämmen und im Keim ersticken. Noch wichtiger ist es, Lösegeldzahlungen zu verweigern und diese Entscheidung auch öffentlich zu machen.

21.12.19: OT-Cybersecurity und Risikomanagement in der Prozessindustrie

Quelle: www.chemietechnik.de

In der chemischen Industrie sind Produktionsanlagen bis hin zu einzelnen Pumpen, Ventilen und Antrieben zunehmend von Computersystemen abhängig. Damit steigt auch die Gefahr von Hackerangriffen – mit potenziell drastischen Folgen für die Anlagensicherheit. Viele Unternehmen sind noch nicht auf die wachsende Bedrohung vorbereitet.

  • Nur jedes fünfte Industrieunternehmen hat seine Cybersecurity-Maßnahmen speziell auf Industrieanlagen zugeschnitten. Dabei sind besonders Anlagen in der Chemieindustrie von einer zunehmenden Bedrohungslage betroffen.
  • OT-Security erfordert nicht nur technische Maßnahmen, sondern vor allem auch eine Veränderung der Organisationsstrukturen und die klare Definition von Verantwortlichkeiten.

Schon 2005 standen weltweit Anlagen in 13 vernetzten Daimler-Chrysler-Werken still, und 50.000 Fabrikangestellte konnten nicht mehr arbeiten – Grund war ein Computerwurm. 2010 fand der unter Stuxnet bekannte Angriff auf iranische Atomanlagen statt. Im April 2019 wurde bekannt, dass der Dax-Konzern Bayer bereits 2018 Opfer eines zielgerichteten Spionageangriffs war. Kurz darauf kam die Meldung, dass unter anderem Großkonzerne wie BASF, Siemens und Roche Opfer von Industriespionage durch einen Cyberangriff waren. Die genannten Angriffe stellen nur einen kleinen Ausschnitt dar. 

 Im Schnitt dauert es heute rund 200 Tage, bis ein Unternehmen einen Angriff erkennt. Und je länger es dauert, eine Bedrohung zu erkennen und entsprechend zu reagieren, desto größer wird der Schaden.

Ein wesentlicher Angriffspunkt für Cyberattacken ist Operational Technology (OT), also Computersysteme, die Motoren, Ventile, Pumpen, Stromnetze und ganze Industrieanlagen steuern. Auch ältere Maschinen und Anlagen, die ursprünglich gar nicht dafür ausgerichtet waren, vernetzt zu werden, sind nun mit dem Internet direkt oder indirekt verbunden. Dadurch entstehen Schwachstellen. In der weltweiten Studie „Industrial Security in 2019“ fragte TÜV Rheinland 370 Firmen-Verantwortliche danach, wie Unternehmen und Organisationen ihre Industrieanlagen vor Cyberangriffen schützen. 40 % der Befragten gaben an, die Risiken noch nie untersucht zu haben. Zudem hat nur jedes fünfte Unternehmen seine Maßnahmen für Cybersecurity speziell auf Industrieanlagen zugeschnitten. Durch den Einzug des Industrial Internet of Things (IIoT), steigender Konnektivität und der Verwendung vernetzter Cloud-Infrastrukturen, spitzt sich die Lage weiter zu. Die Angriffsfläche wird unausweichlich steigen.

Die wichtigste Hürde ist die Veränderung der Organisationsstrukturen und Definition von Verantwortlichkeiten. Fachbereiche in der Produktion verfolgen primär Ziele hinsichtlich kostenoptimierter Produktionsprozesse unter Berücksichtigung von Betriebssicherheit und Qualität. Cybersecurity kommt als komplexes Thema mit hoher Bedeutung hinzu.

Auch bei größter Sorgfalt werden sich jedoch nicht sämtliche Sicherheitslücken schließen lassen – vor allem, wo ältere Technologien zum Einsatz kommen. „Daher ist ein wichtiger Schritt – neben dem präventiven Schutz – die komplette Überwachung der Infrastruktur“, meint Sicherheitsexperte Kiener. „Ziel muss es sein, einen Angriff möglichst schnell zu entdecken und entsprechend zu reagieren.“

14.12.19: Computervirus: Klinikum Fürth offline und mit eingeschränktem Betrieb

Quelle: www.heise.de

Wegen eines Computervirus im IT-System hat das Klinikum in Fürth seinen Betrieb stark eingeschränkt. Der Befall wurde Berichten zufolge bereits am Donnerstag entdeckt. Am Freitagvormittag hat sich das Klinikum von der Notfallversorgung abgemeldet und nimmt vorübergehend keine neuen Patienten auf. Die Verbindung zum Internet wurde gekappt. Das Klinikum Fürth war bereits 2016 Opfer eines Trojaner-Angriffs. Das Krankenhaus behandelt jährlich rund 58.000 Patienten ambulant und 42.000 stationär.

11.12.19: 5 Gründe, die das Risiko Kritischer Infrastrukturen erhöhen

Quelle: www.security-insider.de

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Im Folgenden werden fünf Gründe skizziert, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

1. Grund: Cyberangriffe nehmen zu

2. Grund: KRITIS zunehmend vernetzt

3. Grund: KRITIS sind attraktive Ziele

4. Grund: Allianzen noch nicht verbreitet genug

5. Grund: Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert

11.12.19: HACKER NEHMEN KRITIS-STRUKTUREN INS VISIER

Quelle: www.it-daily.net

Eine kritische Infrastruktur oder kurz KRITIS ist eine Anlage, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen ist. Dazu gehören Systeme oder Teile davon, die essenziell für die Gesundheit, die Sicherheit und das wirtschaftliche oder soziale Wohlergehen der Bevölkerung sind.

Auf der CyberwarCon-Konferenz in Arlington in den USA wurde nun bekannt, dass genau solche systemrelevante Infrastruktur in den Fokus einer bekannten iranischen Hacker-Gruppe geraten ist. Das verkündete Ned Moran von Microsofts Threat Intelligence Group. Mit seinem Team hat er die jüngsten Aktivitäten der iranischen Hacker-Gruppe APT33 analysiert und kommt zu dem Schluss, dass sie sich eine neue Zielgruppe gesucht hat. So attackiert sie aktuell verstärkt Hersteller, Zulieferer und Dienstleister für Industrial Control Systems (ICS). Zwar hat Moran die genauen Ziele nicht namentlich genannt, allerdings äußerte er den begründeten Verdacht, dass diese Unternehmen nicht das eigentliche Ziel der Angriffe sind, sondern deren Kunden, die die Kontroll-Systeme einsetzen. Dazu zählen auch KRITIS-Strukturen, in die auf diesem Wege  Schadsoftware eingeschleust wird, um Daten auszulesen und zu manipulieren oder deren Systeme zum Absturz bringen zu können.

Noch konnten Microsofts Sicherheitsforscher der Hackergruppe keine durchschlagende Cyberattacke nachweisen, sondern fanden nur ihre Spuren in Bezug auf Spionageaktivitäten. Allerdings wurden die Opfer dieser Ausspähversuche in vielen Fällen später durch eine Attacke mit Shamoon getroffen. Diese  Malware löscht und vernichtet Daten auf den Systemen der Opfer. Darüber hinaus wurden Hinweise darauf gefunden, dass eine weitere Angriffswelle in der Zukunft vorbereitet werden sollte.

Die Konzentration der iranischen Hackergruppe auf ICS-Strukturen stellt eine echte Gefahr dar. Dass viele Energieversorger und andere KRITIS-Unternehmen bei der Steuerung ihrer Anlagen blind auf die Software vertrauen, erscheint deshalb geradezu fahrlässig. Ein erfolgreicher Angriff könnte angefangen bei Stromausfällen bis hin zu Explosionen alles zur Folge haben.

23.11.19: Bon sang! French hospital contracts 6,000 PC-locking ransomware infection

Quelle: www.theregister.co.uk

A French hospital has suffered a ransomware attack that reportedly caused the lockdown of 6,000 computers.

The attack, which took place on Friday November 15 at around 1900 local time, according to a hospital statement „made access to most business applications inaccessible, but also infected some of the workstations.“

„Many services operated in degraded mode and hospital staff were confronted with disruptions, particularly in regards to computerised prescriptions, reports or admissions management, which instead had to be operated in a degraded state, [or had to be transmitted via] telephone or paper,“ continued the official statement.

Cesar Cerrudo, chief techie of rival biz IOActive, opined: „Sadly, the targeting of hospitals with ransomware is a growing trend; earlier this year seven hospitals in Australia were also impacted by ransomware. Hospitals are becoming a major target as despite new technology adoption being high, there is often a lack of cyber security knowledge, even though health data can be a very lucrative area for cybercriminals. This makes busy hospital staff the perfect targets.“

17.07.19: Deutsche Krankenhäuser mit Ransomware infiziert

Quelle: www.sueddeutsche.de

  • Die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes ist offenbar Opfer eines Ransomware-Angriffs geworden.
  • 13 Krankenhäuser waren betroffen, auf die Patienten hat sich die Infektion des IT-Systems der Gesellschaft zufolge nicht ausgewirkt.

Die Probleme begannen am Sonntagmorgen: Angestellte des Krankenhaus-Betreibers DRK Trägergesellschaft Süd-West bemerkten, dass etwas mit dem IT-System nicht stimmte: Eine Schadsoftware hatte das IT-Netzwerk befallen und begonnen Datenbanken und Server zu verschlüsseln. Ein einfacher Hackerangriff, der enorme Tragweite entfalten könnte: Die Trägergesellschaft betreibt im Südwesten Deutschlands insgesamt 13 Krankenhäuser, einen Großteil davon zwischen Mannheim und Bonn, zwei weitere in der Nähe der Grenzen zur Frankreich und Luxemburg. Am Sonntagnachmittag beschloss die IT-Abteilung der Gesellschaft, die Systeme herunterzufahren, um die Verschlüsselung zu stoppen.

10.10.18: Stromausfall durch Hacker? Cyber-Abwehrzentrum fordert besseren Schutz statt Angriffe

Quelle: netzpolitik.org

Droht Europa ein Stromausfall durch Hacker-Angriffe? Das Nationale Cyber-Abwehrzentrum hat dazu ein Lagebild erstellt, das wir veröffentlichen. Die Koordinierungsstelle fordert bessere Schutzmaßnahmen, aber keine offensiven Fähigkeiten. Verteidigung bleibt die beste Verteidigung.

Im August berichtete Spiegel Online, das „Cyber-Abwehrzentrum warnt vor Stromausfall in ganz Europa“. Quelle war eine Lageeinschätzung des Nationalen Cyber-Abwehrzentrums. Wir haben das Original-Dokument per Informationsfreiheitsgesetz angefragt und veröffentlichen es an dieser Stelle.

Leider ist die freigegebene Version an ein paar Stellen geschwärzt, zwei Zitate aus dem Spiegel fehlen:

Aktuelle Erkenntnisse zu Gruppen wie Berserk Bear zeigten, „dass mittlerweile auch kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“, heißt es in dem Bericht. Bei einer gewissen Größe von Angriffen könnten „Auswirkungen bis hin zu einem vollständigen Blackout im europäischen Verbundnetz nicht ausgeschlossen werden“.

24.08.18: Cyber-Abwehrzentrum warnt vor Stromausfall in ganz Europa

Quelle: www.spiegel.de

Nach Hacker-Angriffen auf das ukrainische Stromnetz warnt das deutsche Abwehrzentrum vor ähnlichen Attacken hierzulande. Nach SPIEGEL-Informationen halten die Experten sogar einen europaweiten Blackout für möglich.

Laut dem Bericht liegen Erkenntnisse vor, „dass mittlerweile auch Kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“. Dabei, so das Papier, könnte es sich durchaus um Vorbereitungen für eine Attacke handeln.

Die Furcht vor einem europaweiten Blackout fußt auf der Annahme, es könne eine Art Domino-Effekt geben, da die Energieversorger in Europa vernetzt sind. Würden mehrere Kraftwerke in Deutschland mit einer bestimmten Gesamterzeugungsleistung gezielt attackiert und auch nur zeitweise lahmgelegt, heißt es in dem Papier, könne die Netzstabilität innerhalb der EU gefährdet sein.

Die Folgen wären dramatisch, da sich in diesem Fall automatisch auch andere Kraftwerke europaweit abschalten würden, warnt das Papier. Dies führe „zwangsläufig zu einem weiträumigen, wenn nicht gar vollständigen, Blackout“.

In dem 22-seitigen Dokument, das im Cyber-Abwehrzentrum von Experten des Bundeskriminalamts (BKA), des Bundesnachrichtendienstes (BND), des Verfassungsschutzes und des Bundesamts für Informationssicherheit sowie anderen Behörden erarbeitet wurde, werden zwei Cyberangriffe auf Energieversorger in der Westukraine aus den Jahren 2015 und 2016 analysiert.

Damals fiel für mehrere Hunderttausend Einwohner stundenlang der Strom aus. Sicherheitsbehörden machten zwei Hackergruppen für die Angriffe verantwortlich: „Sandworm“ und „Berserk Bear“. Beide sollen von russischen Nachrichtendiensten gesteuert sein. Die Kampagne war offenbar eine Machtdemonstration des Kreml.

Die deutschen Experten beunruhigt laut dem Dokument vor allem die Qualität der Schadsoftware, die beim zweiten Angriff eingesetzt wurde. Sie sei mit „Stuxnet“ gleichzusetzen, der bislang mächtigsten bekannten Cyberwaffe, die mutmaßlich von den USA und Israel entwickelt wurde, um das iranische Atom-Programm zu sabotieren.

Beruhigend liest sich der Schluss der Analyse nicht. So registrieren die Behörden bei den Schnüffel-Versuchen der Hacker-Gruppen bei deutschen Energieunternehmen, „dass die beobachteten Aktivitäten nicht nur auf reine Informationsbeschaffung abzielen, sondern auch Sabotagefähigkeiten und -absichten zeigen“.

Anmerkung: Um das europäische Verbundsystem durch einen Cyber-Angriff zum Kollabieren zu bringen, muss man nicht deutsche Einrichtungen hacken. Das geht vielleicht in anderen Ländern sogar noch viel einfacher. Daher helfen IT-Schutzmaßnahmen nur bedingt. Zumindest ist man dann nicht Schuld. Was bei einem Blackout aber recht wenig hilft, da man genauso massiv betroffen ist.

05.08.18: Viren mit fatalen Folgen: Wie Cyberangriffe den Gesundheitssektor bedrohen

Quelle: computerwelt.at

Es ist etwas mehr als ein Jahr her seit der Ransomware-Angriff namens WannaCry den Globus erfasst und verheerenden Schaden angerichtet hat. Eine Cyberattacke so schwerwiegend, dass sie nicht nur Schäden in Milliardenhöhe verursacht hat, sondern auch die allgegenwärtige Gefahr, die von Cyberkriminellen ausgeht, weltweit ins Bewusstseins rückte.

Das tatsächliche Ausmaß solcher Angriffe ist für viele trotzdem schwer greifbar. So wissen vermutlich nur wenige, dass WannaCry damals den britischen Gesundheitsdienst besonders hart getroffen hat. Denn auch Patienten und Pflegekräfte waren direkt von dem Angriff betroffen – mit teils fatalen Folgen: aufgeschobene Chemotherapie-Behandlungen, verzögerte Medikamentengabe und umgeleitete Notfallpatienten.
Cyberattacken können nicht zu 100 Prozent verhindert werden, dafür sind die Angriffsstrategien moderner Hacker zu ausgeklügelt.

31.07.18: Russische Hacker sollen Hunderte US-Stromversorger angegriffen haben

Quelle: www.spiegel.de

Die USA verdächtigen Russland seit Langem, hinter einer Angriffsreihe auf das US-Stromnetz zu stecken. Nun gab das Heimatschutzministerium einem Medienbericht zufolge neue, alarmierende Details bekannt.
Die Angriffe laufen vermutlich seit mehreren Jahren – und sind noch immer nicht gestoppt: Das amerikanische Heimatschutzministerium hat neue Details über Hackerangriffe auf US-Stromversorger bekannt gegeben.

Das berichtet das „Wall Street Journal“ und beruft sich auf eine Unterrichtung durch das Ministerium.
Die Angreifer seien so erfolgreich gewesen, dass sie theoretisch „den Schalter hätten umlegen“ und Stromausfälle hätten verursachen können, zitiert die Zeitung Jonathan Homer, einen Spezialisten für Industrieanlagen des Heimatschutzministeriums. Zudem ist die Zahl der betroffenen Firmen höher als bisher gedacht: Statt mehreren Dutzend Opfern ist nun von „Hunderten“ die Rede.

Aktuelle Erkenntnisse zu Gruppen wie Berserk Bear zeigten, „dass mittlerweile auch kritische Infrastrukturen in Deutschland (vorrangig Energieversorgung) im Fokus von Aufklärungsaktivitäten stehen“, heißt es in dem Bericht. Bei einer gewissen Größe von Angriffen könnten „Auswirkungen bis hin zu einem vollständigen Blackout im europäischen Verbundnetz nicht ausgeschlossen werden“.

31.07.18: WDR und ZDF von russischen Hackern angegriffen

Quelle: www.spiegel.de
Öffentlich-rechtliche Sender wurden offenbar von russischen Hackern angegriffen. Nach Informationen aus Sicherheitskreisen sollen die IT-Netzwerke des ZDF und des WDR Anfang Juni von einer Kampagne der Gruppe „Sandworm“ betroffen gewesen sein.
Das Bundesamt für Verfassungsschutz hatte in seinem jüngsten „Cyber-Brief“ von Angriffen auf deutsche Medienunternehmen berichtet. Auch von Attacken gegen „Organisationen im Bereich der Chemiewaffenforschung“ war die Rede. Laut Sicherheitskreisen könnte das Labor Spiez betroffen gewesen sein, die schweizerische Fachstelle zum Schutz vor ABC-Angriffen.
„Sandworm“ ist mutmaßlich eine Hackergruppe des russischen Militärgeheimdienstes GRU und ist auf Sabotageaktionen spezialisiert.