«Das ist definitiv kein Schulbubenstreich. Das ist eine hochgradig ausgeklügelte Attacke auf ein Stück kritische Infrastruktur», sagt ein Experte der «Financial Times» zum Hackerangriff auf eine der grössten Ölpipelines in den USA. Was war passiert? Was sind die Folgen? 

Die Attacke

Die Angreifer kamen unbemerkt und stahlen dem Vernehmen nach 100 Gigabyte Daten. Womöglich wäre die  Hackerattacke gar nicht öffentlich geworden. Doch sah sich das Opfer, die US-Firma Colonial Pipeline, gezwungen, die wichtigste Versorgungsleitung des Landes für Kerosin, Benzin und Diesel komplett stillzulegen.

Für eine direkte Verantwortung eines Staates für die Attacke auf Colonial Pipeline gibt es keine Hinweise, sie ist offenbar ein Erpressungsversuch einer seit August 2020 bekannten Hackergruppe, die sich DarkSide nennt. Die Angreifer schleusen bei ihren Attacken ein Schadprogramm, sogenannte Ransomware, durch Sicherheitslücken in ein Netzwerk ein. Die für Cybersicherheit zuständige US-Behörde CISA hatte bereits vor einem Jahr Pipeline-Betreiber vor solchen Attacken gewarnt.

Mit ihren Schadprogrammen stehlen die Angreifer Daten und drohen, diese zu veröffentlichen. Oder sie verschlüsseln Daten in dem Netzwerk und machen damit legitimen Nutzern den Zugriff unmöglich. Um sie wieder lesbar zu machen, fordern sie ebenfalls Lösegeld. Häufig bedienen sich Angriffe beider Methoden. DarkSide hat in die Attacken auch Sicherungskopien einbezogen, sodass viele Opfer keine Alternative sehen, als zu bezahlen. Da diese Summen in Kryptowährungen wie Bitcoin über das Internet geleistet werden, können die Ermittler den Tätern so nicht auf die Spur kommen.

Die Folgen

Nach der Hackerattacke hat die Regierung in Washington am Sonntagaben den regionalen Notstand ausgerufen. Dieser Schritt gehe auf die dringende Notwendigkeit ein, «den sofortigen Transport von Benzin, Diesel, Kerosin und anderen Erdölprodukten» sicherzustellen, erklärte das US-Transportministerium.

Für die USA ist der Angriff und die damit verbundene Stilllegung der Ölpipeline ein Rückschlag. Nach dem Corona-bedingten Absturz der Wirtschaft befinden sich viele Märkte auf Erholungskurs. So etwa nehmen die Reisetätigkeit und der Tourismus gerade wieder Fahrt auf. Es stehen Feiertage und bald die Sommerferien an. Sollten Treibstoffe knapp werden, wird dieser Aufschwung gebremst.

Normalerweise fließen etwa 400 Millionen Liter Treibstoffe pro Tag vom Golf von Mexiko durch das Netz mit einer Gesamtlänge von fast 9000 Kilometern, 45 Prozent des Bedarfs an der Ostküste. Versorgt werden damit etwa der Hafen von New York, die drei Flughäfen der Metropole sowie der von Atlanta, der als größter der Welt gilt, sowie die Tankstellen für 50 Millionen Amerikaner.

Die nervösen Reaktionen

Hackerangriffe auf Infrastruktur wie Pipelines oder Kraftwerke gelten seit Jahren als Horrorszenario. «Fälle wie diesen werden wir in naher Zukunft öfter sehen, da Hackergruppen viele Netzwerke (...) bereits infiltriert haben», sagt ein Experte auf Anfrage der Agentur DPA zum Pipeline-Angriff. Dabei seien grosse Ziele wie Öl-Pipelines für die Angreifer lukrativer als Mittelstandsunternehmen, da sie dort mehr Lösegeld erpressen könnten.

US-Präsident Joe Biden wurde bereits am Wochenende über den Vorfall informiert. Die Regierung arbeite daran, die Implikationen des Angriffs zu bewerten und dem Unternehmen zu helfen, die Pipeline so schnell wie möglich wieder in Betrieb zu nehmen. Es wird erwartet, dass Biden in den kommenden Tagen ein Dekret erlässt, um den Schutz von Netzwerken sowohl der Regierung als auch von Unternehmen zu verbessern. Damit reagiert er auf Hackerangriffe, die seine Regierung China und Russland anlastet.

Der Angriff macht auch die Rohöl-Anleger nervös. Die Sorte Brent aus der Nordsee verteuerte sich am Montag um bis zu 1,3 Prozent auf 69,20 Dollar je Barrel (159 Liter). Das US-Öl WTI gewann ähnlich stark auf 65,75 Dollar.

«Böse Jungs sind sehr geschickt darin, neue Wege für Angriffe auf die Infrastruktur zu finden», sagte Andrew Lipow, Chef der Beratungsfirma Lipow Oil. «Diese hat nicht die notwendigen Verteidigungsmöglichkeiten, um alle Wege, über die ein System infiziert werden kann, zu versperren.»

Die verstärkte Verteilung von Treibstoff per Tanklaster könne die weggefallenen Pipeline-Kapazitäten nicht wettmachen, warnte Neil Wilson, Chef-Analyst des Online-Brokers Markets.com. Da unklar sei, wann das Leitungsnetzwerk wieder in Betrieb gehe, müsse mit weiter steigenden Preisen für Erdöl-Produkte gerechnet werden.

Gefährliche Attacken auf Infrastruktur

Der bekannteste Fall von Cyber-Sabotage war ein grossflächiger Stromausfall in der Ukraine im Dezember 2015, der als Werk russischer Hacker gilt. Erst im Februar war ein Versuch bekanntgeworden, Trinkwasser in einer Aufbereitungsanlage im US-Bundesstaat Florida per Hacker-Angriff chemisch zu manipulieren. Dabei wurde der Anteil von Natriumhydroxid mehr als verhundertfacht. Mitarbeiter der Anlage hatten die «potenziell gefährliche» Änderung aber sofort bemerkt und rückgängig gemacht, wie die Behörden damals mitteilten.

Auch in der Schweiz wurden schon Angriffe auf Wasserversorgungs-Systeme registriert. So meldete die Gemeinde Ebikon 2019 eine Cyber-Attacke. Aus London und Korea seien die Angriffe gekommen, hiess es. «Die Attacken nehmen zu und werden professioneller», sagt damals René Gehlen, Leiter der Fachstelle Informationssicherheit bei der Stadt Zürich.

Um selbst Angriffe abzuwehren, betreibt zum Beispiel die Stadt Zürich eine digitale Verteidigungszentrale. Im sogenannten Security Operation Center (SOC) überwachen Spezialisten die städtischen Computersysteme und versuchen, verdächtige Muster zu erkennen.

Jüngst warnte der Bund vor Lücken bei Microsoft-Servern. Wie eine Recherche des Tamedia-Datenteams Ende April zeigte, waren auch Wochen nach Bekanntwerden dieses Falls in der Schweiz noch mehrere Dutzend Systeme ungeschützt. Dieses Versäumnis dürfte einige Betroffene teuer zu stehen kommen.

Ein interessantes Experiment machte die «SonntagsZeitung» im Jahr 2015: Mittels einer Software gab sie drei Wochen lang vor, ein Wasserkraftwerk zu sein. Folge: Die virtuelle Einrichtung wurde aus weltweit 15 Destinationen von Hackern angegriffen (lesen Sie hier mehr dazu).

Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach weltweit für Schlagzeilen gesorgt. Allein 2017 legte im Mai der Erpressungstrojaner «WannaCry» neben den Computern vieler Privatleute auch Computer von Unternehmen und Organisationen lahm. 

In den vergangenen Monaten waren Hacker über eine Sicherheitslücke in Microsofts E-Mail-Software Exchange Server in die Systeme diverser Unternehmen eingedrungen. Und zuvor wurden Ausspähattacken über das Wartungsprogramm der Firma Solarwinds bekannt, die unter anderem US-Regierungsbehörden trafen.

cpm/Paul-Anton Krüger/dpa

Fehler gefunden?Jetzt melden.