Schwachstelle VPN: Wie bei Colonial eine sichere MFA einen Ransomware-Angriff verhindert hätte
Über die Bedeutung des Zero-Trust-Ansatzes und die Funktionsweise sowie den Sinn und Nutzen einer Multifaktor-Authentifizierung haben wir in unserem Blog schon ein ums andere Mal berichtet. Ransomware-Angriffe sind mittlerweile leider an der Tagesordnung, allein die Dimension des Schadens und seiner Auswirkungen macht noch einen Unterschied. Das Beispiel von Colonial als größter Benzin-Pipeline-Betreiber in den USA ließ aufgrund des Ausmaßes vor einigen Wochen besonders aufhorchen, selbst die Tagesschau berichtete darüber. Dabei hätte der Einsatz von Multifaktor-Authentifizierung diesen Angriff durchaus verhindern können.
Die Colonial-Pipeline transportiert an normalen Tagen über eine Strecke von 5.500 Kilometern rund 400 Millionen Liter Treibstoff vom Süden in den Osten der Vereinigten Staaten. Am 7. Mai wurde sie von einem groß angelegten Cyberangriff schwer getroffen. Cyberkriminelle der DarkSide-Gruppe verschafften sich mithilfe von Ransomware Zugang zu den Systemen. Sie entwendeten rund 100 GB an Daten und blockierten den Zugriff darauf, indem sie diese verschlüsselten und ein Lösegeld verlangten – das klassische Vorgehen bei Attacken dieser Art.
Die Folgen waren weitreichend: Die Pipelineversorgung musste vorübergehend abgeschaltet werden, um die IT-Systeme wiederherstellen zu können. Diese Unterbrechung führte jedoch schnell zu akuten Treibstoffengpässen, von denen Transportunternehmen und sogar der Charlotte-Douglas International Airport in North Carolina betroffen waren. Der Vorfall gewann an nationaler Bedeutung und löste eine direkte Reaktion des Weißen Hauses aus: Präsident Joe Biden rief für das betroffene Gebiet den Notstand aus.
Unsicheres VPN
Forensische Untersuchungen deuten darauf hin, dass beim Einschleusen der Malware durch die DarkSide-Gruppe ein VPN-Zugang als Einfallstor diente. Nebenbei bemerkt: VPN rückt als Angriffsvektor aufgrund der zunehmenden, vor allem durch die Pandemie bedingten Nutzung im Homeoffice immer häufiger ins Visier von Hackern.
Die Analysten gehen davon aus, dass sich die Hacker bei Colonial über geleakte und im Dark Web veröffentlichte Passwörter Zugang verschafft haben. Sie glauben, dass dafür bereits eines der durchgesickerten Passwörter ausgereicht haben könnte. Da keines durch ein Multifaktor-Authentifizierungssystem zusätzlich geschützt war, konnte die vermeintlich sichere Infrastruktur in dem Fall relativ einfach komplett ausgehebelt werden. Eine doppelte Überprüfung über ein mobiles Gerät oder andere Methoden hätte die Wahrscheinlichkeit erheblich verringert, dass ein noch aktives Passwort von jemandem außerhalb des Unternehmens verwendet wird.
Darüber hinaus haben die Analysten allerdings keine Hinweise darauf gefunden, dass auch Operation Technology (OT)-Systeme zur direkten Steuerung der Industrieanlagen betroffen waren. Dies schmälert jedoch nicht die Schwere des Vorfalls, ganz im Gegenteil: Obwohl es nicht das Ziel der Hacker war, wurde der Betrieb in der Praxis quasi als „Beifang“ trotzdem massiv beeinträchtigt.
Multifaktor-Authentifizierung: Unverzichtbar für kritische Infrastrukturen
Colonial ist nicht die einzige Organisation mit kritischen Infrastrukturen, die in diesem Jahr von einem groß angelegten Cyberangriff betroffen war – siehe unseren Beitrag zum Thema USB-Sticks. Dieser Vorfall hatte aber die (bislang) größten Auswirkungen und zeigte die Sicherheitsmängel der Branche – insbesondere hinsichtlich der Kontrolle von Zugriffsrechten – schonungslos auf.
Für kritische Infrastrukturen zuständige Managed Security Provider (MSP) und IT-Administratoren sollten geltende Policies im Rahmen der Absicherung von Zugangspasswörtern daher unbedingt auf den Prüfstand stellen und gegebenenfalls verschärfen. Dies gilt für alle Systeme. In jedem Fall sollte eine sichere Multifaktor-Authentifizierung zum Tragen kommen. Denn gerade in diesem Bereich ist es nicht einfach, die Vielzahl an Berechtigungen, Passwörtern und Authentifizierungen für eine große Anzahl von Mitarbeitern mit herkömmlichen Methoden oder Softwarelösungen zu verwalten.
Mit WatchGuard AuthPoint lässt sich nicht nur das Sicherheitsniveau deutlich anheben. Gleichzeitig geht die Verwaltung via WatchGuard Cloud einfach von der Hand. Über die intuitive Benutzeroberfläche können Zugangsberechtigungen auf einen Blick erfasst und effizient gemanagt werden. Zudem haben Unternehmen hinsichtlich der konkreten Authentifizierungsmethode stets die Wahl. Egal ob Absicherung per Smartphone-App oder Hardware-Token: AuthPoint passt sich flexibel an die spezifischen Bedürfnisse jeder Organisation an. Vorfälle wie bei Colonial können auf diese Weise wirksam verhindert werden.