Colonial Pipeline: Lösegeld-Zahlung trotz Backups

Nach dem Ransomware-Angriff auf den US-Pipelinebetreiber Colonial hat das Unternehmen Medienberichten zufolge ein gefordertes Lösegeld von fünf Millionen US-Dollar bezahlt. Zuerst berichtete Bloomberg darüber und verwies auf zwei Insider, NBC News berief sich auf einen "mit der Angelegenheit vertrauten US-Beamten".

Colonial hatte eine der größten Benzin-Pipelines in den USA stillgelegt, nachdem der Ransomware-Befall bekannt geworden war. Die Abschaltung sei als Vorsichtsmaßnahme erfolgt. Das führte zu Kraftstoff-Engpässen und Preissteigerungen in Teilen des Landes. Bereits am Mittwoch teilte Colonial mit, dass der Betrieb schrittweise wieder aufgenommen werde, mittlerweile soll das gesamte Pipeline-System wieder angelaufen sein.

Die Wiederherstellung der verschlüsselten Systeme erfolgte offenbar nicht mit der Entschlüsselungssoftware der Erpresser, sondern durch eigene Backups von Colonial. Das Tool der Ransomware-Gruppe sei sehr langsam gewesen, berichtet Bloomberg. Dass das Unternehmen ein Lösegeld zahlte, obwohl es selbst zur Wiederherstellung in der Lage zu sein schien, kann andere Gründe haben: Die Erpresser sollen rund 100 GByte Daten aus dem Unternehmensnetzwerk kopiert und mit der Veröffentlichung gedroht haben.

Eine offizielle Bestätigung von Colonial Pipeline zur Lösegeldzahlung bekamen die Medien nicht, auch US-Präsident Joe Biden gab keinen Kommentar. Das von Colonial beauftragte IT-Sicherheitsunternehmen Mandiant sagte NBC News, es zahle selbst kein Geld an Ransomware-Gruppen, Opfer könnten sich aber entscheiden, dies zu tun.

Die US-Regierung verkündete, den Schutz vor Hackern zu verbessern und die IT-Sicherheitsvorkehrungen zu erhöhen. Unter anderem sollen Empfehlungen für Schutzmaßnahmen erarbeitet und der Informationsaustausch zwischen staatlichen Stellen und privaten Unternehmen verstärkt werden. "Wir ermutigen private Unternehmen, dem Beispiel der Regierung zu folgen und ehrgeizige Maßnahmen zu ergreifen, um die Investitionen in die IT-Sicherheit zu erhöhen und aufeinander abzustimmen, um zukünftige Vorfälle zu minimieren", teilte das Weiße Haus mit. Die Vorfälle bei Colonial Pipeline, aber auch der Solar-Winds-Hack seien eine "ernüchternde Erinnerung", dass sowohl öffentliche als auch private Stellen zunehmend mit ausgeklügelten und bösartigen Cyberaktivitäten konfrontiert seien.

Im Gegensatz zu anderen Sektoren wie der Elektrizitätsversorgung gebe es für Pipeline-Betreiber noch keine verpflichtenden IT-Sicherheitsstandards, sagte der Vorsitzende der US-Energieaufsichtsbehörde Richard Glick. Er appellierte, auch diesen Sektor in die Pflicht zu nehmen, um "die Infrastruktur zu schützen, auf die wir alle angewiesen sind".

Laut Associated Press hatte es bei Colonial Pipeline in der Vergangenheit IT-Sicherheitsdefizite gegeben. Ein Bericht aus dem Jahr 2018 identifizierte "einen Flickenteppich schlecht verbundener und gesicherter Systeme". Ob die damals festgestellten Probleme vollständig behoben wurden, ist nicht bekannt. Colonial kommentierte, die Sicherheitsvorkehrungen würden ständig evaluiert und verbessert. Seit 2017 seien mehrere unabhängige Unternehmen mit IT-Sicherheitsprüfungen beauftragt worden. Durch Monitoring- und Angriffserkennungssysteme sei der Ransomware-Angriff erkannt worden. Wie die Ransomware Colonials Netzwerk befallen konnte, offenbarte das Unternehmen bisher nicht.