Colonial-Pipeline-Tanks in Linden, USA
Reuters/Colonial Pipeline
US-Pipeline stillgelegt

Ermittlungen nach Hackerangriff

Wie am Wochenende bekanntwurde, ist der Betrieb einer der größten Pipelines der USA aufgrund eines Hackerangriffs vorübergehend eingestellt worden. Es sei Erpressungssoftware im Spiel gewesen, so der Betreiber Colonial Pipeline in der Nacht zum Sonntag. Fachleute und Behörden ermitteln. Der Vorfall weckt gerade angesichts des kürzlich zurückliegenden SolarWinds-Cyberangriffs große Sorgen um die Sicherheit der Versorgungsinfrastruktur.

Der Betreiber Colonial Pipeline hatte zunächst mitgeteilt, man habe bestimmte Systeme nach einer Cyberattacke proaktiv vom Netz genommen, um die Bedrohung einzudämmen. Die Betreiber schalteten die Behörden und eine externe IT-Sicherheitsfirma ein. Wenig später teilte das Unternehmen mit, es habe sich um einen Ransomware-Angriff gehandelt. Bei solchen Attacken werden Daten verschlüsselt, die Angreifer verlangen meist Lösegeld für die Freigabe.

Das „Wall Street Journal“ berichtete unter Berufung auf informierte Personen, Steuersysteme der Pipeline seien nicht betroffen gewesen. Sie sollten bei besonders wichtigen Infrastrukturanlagen vom Rest der IT-Netze getrennt sein. Colonial Pipeline ließ offen, ob es Lösegeldzahlungen gegeben hat. „Im Moment liegt unser Hauptaugenmerk auf der sicheren und effizienten Wiederherstellung unseres Dienstes“, gab das Unternehmen bekannt. Wann der bereits seit Freitag ruhende Betrieb wieder aufgenommen wird, blieb offen.

Zentrale Versorgungslinie

Die Pipeline, die sich zum Großteil unterirdisch auf 5.500 Meilen (rund 8.850 Kilometer) erstreckt, verbindet hauptsächlich an der Küste am Golf von Mexiko liegende Raffinerien mit dem Süden und Osten der USA. Transportiert werden unter anderem Benzin, Dieselkraftstoff und Heizöl – pro Tag um die 2,5 Millionen Barrel (je 159 Liter). Das Unternehmen transportiert laut dem Sender NPR etwa 45 Prozent aller an der Ostküste verbrauchten Kraftstoffe. Es beliefert mehr als 50 Millionen Menschen. Zu den Abnehmern gehören auch das US-Militär und der weltweit zweitgrößte Flughafen Atlanta.

Luftaufnahme der Colonial-Pipeline-Tanks in Linden, USA
Reuters/Colonial Pipeline
Der private Pipeline-Betreiber Colonial Pipeline machte den Angriff selbst öffentlich

Das Unternehmen arbeite daran, zum Normalbetrieb zurückzukehren und Auswirkungen auf die Kunden zu minimieren, hieß es in der Mitteilung. Die „New York Times“ („NYT“) schrieb, dass es wegen des gesunkenen Energiebedarfs in der Pandemie unwahrscheinlich sei, dass der Angriff und die damit verbundenen Einschränkungen des Betriebs der Pipeline unmittelbare Konsequenzen haben würden.

Dass die Pipeline nun stillsteht, deutete der Experte Mike Chapple im Gespräch mit NPR als Zeichen dafür, dass die Systeme entweder „nicht gut gesichert“ oder der Angriff extrem ausgeklügelt gewesen sei. Laut „NYT“ gehen die Behörden davon aus, dass das Ziel weniger die Schwächung nationaler Infrastruktur, sondern eher kriminelle bzw. monetäre Motiv waren. Allerdings verlaufen die Grenzen oft fließend. Laut US-Medien soll es den Verdacht geben, dass eine Gruppe namens DarkSide involviert ist.

„Werden wir öfter sehen“

Der Angriff weckte jedenfalls große Sorgen um die Sicherheit öffentlicher Infrastruktur. Vor wenigen Monaten waren die USA aufgrund von Sicherheitslücken in der weitverbreiteten Software SolarWinds sowie in Microsofts E-Mail-Software Exchange Server von Cyberangriffen schwer getroffen worden. Beim SolarWinds-Hack waren auch mehrere US-Ministerien und andere neuralgische Stellen betroffen. US-Präsident Joe Biden erließ als Reaktion ein Dekret zur Verbesserung der IT-Sicherheit.

IT-Sicherheitsexperten warnen schon seit Jahren, dass die Infrastruktur im Westen nicht ausreichend auf Cybergefahren vorbereitet sei. „Fälle wie diesen werden wir in naher Zukunft öfter sehen, da Hackergruppen viele Netzwerke über SolarWinds und Exchange bereits infiltriert haben“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure zum Pipeline-Angriff. Dabei seien große Ziele wie Ölpipelines für die Angreifer lukrativer als kleinere Unternehmen, da sie dort mehr Lösegeld erpressen könnten.

Erinnerung an „NotPetya“-Debakel

Attacken mit Erpressungstrojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. Allein 2017 legte im Mai der Erpressungstrojaner „WannaCry“ neben den Computern vieler Privatleute unter anderem Systeme in britischen Krankenhäusern lahm. Wenige Woche später traf „NotPetya“ neben der öffentlichen Infrastruktur der Ukraine auch zahlreiche international operierende Großunternehmen. Schwer geschädigt wurden unter anderem die Reederei Maersk. Sie allein bezifferte die Schäden auf bis zu 300 Millionen US-Dollar.

Zwar wurden bisher kaum Fälle erfolgreicher Sabotage auf öffentliche Infrastruktur bekannt, Hackerangriffe auf Einrichtungen wie Pipelines, Kraftwerke und ähnliche Versorgungsanlagen gelten aber seit Jahren als Horrorszenario. Erst im Februar war in den USA ein Versuch bekanntgeworden, Trinkwasser in einer Aufbereitungsanlage im US-Bundesstaat Florida per Hack chemisch zu manipulieren. Dabei wurde der Anteil von Natriumhydroxid mehr als verhundertfacht. Mitarbeiter der Anlage hatten die „potenziell gefährliche“ Änderung aber sofort bemerkt und rückgängig gemacht, wie die Behörden damals mitteilten.

US-Heimatschutzminister Alejandro Mayorkas rief angesichts des Angriffes auf den Pipeline-Betreiber andere Unternehmen auf, wachsam zu sein und sich gegen Erpressungssoftware und andere Arten von Cyberangriffen zu schützen. Sein Ministerium verfolge den Vorfall. Die US-Behörde für Transportsicherheit teilte Reuters mit, zusammen mit anderen Behörden werde an dem Fall gearbeitet.