Cyberangriffe auf Häfen in Deutschland, Belgien und Niederlande

Sicherheit (Pexels, allgemeine Nutzung)[English]Es gab nicht nur den Cyberangriff auf den im Hamburger Hafen ansässigen Tanklager-Betreiber Oiltanking und den Mineralölhändler Mabanaft. Auch die belgischen Häfen Gent und Antwerpen waren Ziel von Cyberangriffen, die zu Störungen der Aktivitäten dieser Häfen führte. Besteht ein Zusammenhang? Die belgische Staatsanwaltschaft untersucht diese Angriffe auf die Häfen bzw. Ölterminals des Landes. Und auch in Deutschland sind Staatsanwälte aktiv.


Anzeige

Angriffe im Hamburger Hafen

In Hamburg kam es am Samstag, den 29. Januar 2022,  zu einem Cyberangriff auf die zur Hamburger Firmengruppe Marquard & Bahls gehörende Firma Oiltanking und den zur gleichen Firmengruppe gehörenden Mineralölhändler Mabanaft. In Folge sind 13 von Oiltanking betroffen Tanklager in Deutschland durch den Cyberangriff lahm gelegt, denn die Ladesysteme von Oiltanking funktionieren nicht mehr. Ich hatte einige Details im Blog-Beitrag Cyberangriff auf Oiltanking legt Tanklager lahm, Shell auch betroffen berichtet. Dort ist inzwischen bekannt, dass der Angriff auf die Black Cat-Ransomware-Gruppe zurückgeht (siehe meinen Blog-Beitrag Cyberangriff auf Oiltanking: Black Cat-Ransomware legt Tankversorgung lahm, auch für Colonial Pipeline verantwortlich).

Weitere Angriffe in Häfen

Über nachfolgenden Tweet bin ich auf den Artikel von Le Monde gestoßen, die sich dabei auf Material von AP beziehen. Neben den beiden oben erwähnten deutschen Firmen waren auch Firmen in den belgischen Häfen Gent und Antwerpen durch Cyberangriffe betroffen.

Im Artikel heißt es, dass deutsche, niederländische und belgische Hafenanlagen Ziel einer groß angelegten Cyber-Attacke waren. Dies habe die deutschen und belgischen Justizbehörden zu Ermittlungen veranlasst. Der Hackerangriff richtete sich gegen die beiden oben erwähnten und in Hamburg angesiedelten Firmen in Hamburg, sowie gegen mindestens sechs Ölterminals in belgischen und niederländischen Häfen.


Anzeige

Die belgische Tageszeitung De Morgen berichtete, dass unter anderem Firmen in Häfen in Antwerpen und Amsterdam angegriffen wurden. Laut De Morgen traf es unter anderem Anlagen der Betreiber Evos (in Terneuzen in den Niederlanden), sowie Oiltanking und Sea-Tank, einer Tochtergesellschaft der in Gent (Nordwestbelgien) ansässigen Sea-Invest-Gruppe. In Belgien kam es in den Häfen von Gent und Antwerpen zu Betriebsstörungen, was die belgische Justiz dazu veranlasste, eine Untersuchung einzuleiten. Diese wurde einer auf Cyberkriminalität spezialisierten Einheit der Bundespolizei anvertraut.

Ein Manager der in Rotterdam (Europas größter Frachthafen vor Antwerpen und Hamburg) ansässigen Maklerfirma Riverlake sprach davon, dass Software gehackt wurde, die das Entladen von Öltankern verhindert. "Es gab eine Cyberattacke auf mehrere Terminals, von denen einige gestört wurden. Ihre Software wurde gehackt und sie können die Lastkähne nicht abfertigen. Im Grunde ist das Betriebssystem ausgefallen", sagte Jelle Vreema gegenüber AFP. Das wird auch in diesem deutschsprachigen Euronews-Beitrag so beschrieben.

Vermutlich keine koordinierte Aktion

Auch der NDR spekuliert hier über einen Zusammenhang dieser Cyberangriffe. Gestern kam mir eine Schlagzeile unter die Augen, die davon ausgeht, dass diese Angriffe vermutlich nicht koordiniert waren – es stecken also keine staatlichen Hacker dahinter. Das Nationale Cybersicherheitszentrum der Niederlande erklärte dazu:

Die NCSC ist der Ansicht, dass es im Moment keinen koordinierten Angriff zu geben scheint und dass die Angriffe wahrscheinlich aus einem kriminellen Motiv heraus begangen wurden. Die NCSC beobachtet die Entwicklungen genau und wird bei Bedarf weitere Maßnahmen ergreifen.

Vom Sicherheitsanbieter Vectra AI gibt es eine ähnliche Einschätzung, die mir heute per Mail zuging:

Ob diese jüngste Flut von Cyberangriffen koordiniert oder opportunistisch ist oder nicht, der Punkt bleibt, dass das Handwerk der Ransomware-Kriminellen von heute einen Eskalationspunkt erreicht hat. In der Vergangenheit wurden Sicherheitsverletzungen oft hauptsächlich mit Datenverlust in Verbindung gebracht, und obwohl messbar, könnten sich die Auswirkungen auf Einzelpersonen etwas abstrakter anfühlen. Dies hatte den unglücklichen Nebeneffekt, dass ein unentdeckter oder unveröffentlichter Datenverlust möglicherweise nicht zu den erforderlichen Korrekturmaßnahmen führt, um ein erneutes Auftreten zu verhindern.

Die heutigen Angriffe werden nicht abstrakt zu spüren sein – es gibt sehr reale, sehr physische Folgen, die Heizung, Transport, Waren, Dienstleistungen und offen gesagt das menschliche Wohlbefinden betreffen können. Es gibt keine Möglichkeit, sie unter den Teppich zu kehren. Darüber hinaus wird der Schutz vor diesen Angriffen in vielen Sektoren nicht ohne ernsthafte Modernisierungsbemühungen in Bezug auf das Management und die Minderung technischer Risiken erreicht. Dies ist ein ernstes Problem, das nicht im luftleeren Raum gelöst werden kann. Mehr private/öffentliche Partnerschaften (PPP) werden notwendig sein, um die Hürden für die Angreifer durch Widerstandsfähigkeit, Problembewusstsein und gemeinsames Fachwissen höher zu legen.

Absolute Software sieht einen starken Anstieg von Cyberangriffen im vergangenen Jahr. Dabei wurde insbesondere Ransomware eingesetzt, um kritische Infrastrukturen wie Versorgungs- und Energieunternehmen, Regierungsbehörden sowie Organisationen anzugreifen, die Dienstleistungen und Produkte anbieten, auf die wir uns stark verlassen. Denn da ist ggf. Geld zu holen.

Für diejenigen, die mit dem Schutz kritischer Infrastrukturen beauftragt sind, sind Angriffe wie die, die Anfang dieser Woche von den in Deutschland ansässigen Unternehmen Oiltanking und Mabanaft oder jetzt von zwei belgischen Energieunternehmen gemeldet wurden, nicht überraschend. Laut dem Global State of Industrial Cybersecurity 2021 erlebten 80 Prozent der Organisationen mit kritischer Infrastruktur im vergangenen Jahr Ransomware-Angriffe.

Durch die Unterbrechung kritischer Infrastrukturen können Cyberkriminelle den Einsatz und ihr Lösegeld erhöhen, was diese Angriffe zu einem lukrativen Geschäftsangebot macht. Laut dem Cyber ​​Report 2021 von Allianz Global Corporate & Speciality sind die Lösegeldforderungen in den letzten 18 Monaten in die Höhe geschossen und belaufen sich jetzt auf durchschnittlich 5 Millionen US-Dollar.

Anbieter kritischer Infrastrukturen wiederum müssen ihre Investitionen und Prioritäten auf die Implementierung neuer Technologielösungen ausrichten, um die Widerstandsfähigkeit von Geräten, Personen, Netzwerken, Daten und Workloads zu ermöglichen, um nicht nur ihre Risikoexposition zu minimieren, sondern auch in der Lage zu sein, sich schnell von diesen Angriffen zu erholen.

Das ist also alles der tägliche Wahnsinn in der IT in Bezug auf Sicherheit.

KP Snacks und Wisag betroffen

Business Insider berichtete beispielsweise hier, dass einer der größten deutschen Flughafen- und Gebäudedienstleister, die Wisag, ebenfalls Opfer eines Cyberangriffs wurde. Der Angriff fand wohl letzte Woche Donnerstag statt. Hier die offizielle Information der WISAG-Gruppe vom zum Cyberangriff:

Offizielle Information der WISAG Unternehmensgruppe zum Cyberangriff

Die IT-Systeme der WISAG sind am Donnerstag, 27.1.2022, in Folge eines Cyberangriffs von außen maßgeblich gestört worden. Die zuständigen Behörden wurden von uns eingeschaltet, um die Täter zu ermitteln. Unsere IT-Experten haben am 27.1.2022 unmittelbar nach Bekanntwerden des Angriffs alle Systeme des Konzerns offline genommen, um weiteren Schaden abzuwenden. Wir bedauern sehr, dass durch diese Maßnahmen auch die Kommunikation für Kunden, Mitarbeitende und Geschäftspartner vorübergehend nur sehr eingeschränkt möglich war.

Die Notfallpläne der WISAG haben gegriffen, der operative Betrieb wurde sofort auf Ersatzsysteme umgestellt. Maßgebliche Störungen in den Betriebsabläufen waren nicht zu verzeichnen.

Alle wesentlichen Funktionen konnten mittlerweile wiederhergestellt werden. Unsere IT-Experten arbeiten weiter mit Hochdruck an einer vollständigen Entstörung. Geprüfte Systeme gehen so schnell wie möglich und schrittweise wieder ans Netz. Es ist nach wie vor vereinzelt mit Einschränkungen in der Systemverfügbarkeit und Erreichbarkeit zu rechnen.

Über die Ursachen und Auswirkungen des Vorfalls können wir zu diesem Zeitpunkt – auch mit Blick auf die laufenden Ermittlungen – noch keine weiteren Aussagen treffen. Das gesicherte Wiederhochfahren der Systeme hat allerhöchste Priorität.

In Großbritannien ist zudem, laut Bleeping Computer, der Anbieter KP Snacks einem Ransomware-Angriff zum Opfer gefallen. Der Angriff scheint nach einem Angriff des internen Netzwerks von KP ermöglicht worden zu sein. Dabei verschafften sich Angreifer der Conti Ransomware-Gang Zugang zu sensiblen Dateien, darunter Mitarbeiterakten und Finanzdokumente, und verschlüsselten diese.

Zur Einordnung: KP Snacks ist ein großer Hersteller beliebter britischer Snacks, der die Produkte an führende Supermärkte  in Großbritannien liefert. Zu Kenyon Produce (KP) Snacks gehören laut Bleeping Computer beliebte Marken wie PopChips, Skips, Hula Hoops, Penn State Brezeln, McCoy's, Wheat Crunchies usw. – diese Namen sagen mir alles nichts. Aber KP Snacks beschäftigt mehr als 2.000 Mitarbeiter und der Jahresumsatz des Unternehmens wird auf über 600 Millionen Dollar geschätzt. Das macht das Unternehmen zu einem attraktiven Ziel für Bedrohungsakteure.

Marty Edwards, Vice President Operational Technology bei Tenable, schreibt dazu:

Der Ransomware-Angriff von KP Snacks ist eine weitere Erinnerung an die Notwendigkeit starker Sicherheitsprotokolle, da die IT- und OT-Netzwerke von Unternehmen weiter zusammenwachsen. Die meisten Ransomware-Angriffe nutzen einen Mangel an Cyberhygiene aus, und Bedrohungsakteure warten darauf, die Vorteile zu nutzen. Unternehmen müssen schützen sich selbst, indem sie die Grundlagen gut machen – beginnend mit einem vollständigen Einblick in alle Assets, einschließlich Cloud, IT und OT.

Angreifer nutzen eine Vielzahl von Mechanismen, einschließlich Active Directory-Fehlkonfigurationen oder Vertrauensbeziehungen, sowie das Ausnutzen bekannter Schwachstellen, die behoben werden sollten. Es ist nur eine Frage der Zeit, bis diese typisch IT-orientierten Angriffe beginnen, sich dramatischer auf OT-Systeme auszuwirken und mehr Organisationen Opfer werden. Was Organisationen aus diesem Vorfall lernen sollten, ist, dass grundlegende Sicherheitsprinzipien viel bewirken können. Ohne diese zu implementieren, kann jedes Unternehmen kann und sollte mit unterbrochenen Kernfunktionen wie Fertigung, Versand und mehr rechnen.

Mir ist aktuell aber unklar, wie sich da noch umsteuern ließe – die Hoffnung, auf irgend ein Toolchen zu setzen, und alles wird gut, dürfte nicht wirklich funktionieren. Es wird zwar von KI zur Abwehr solcher Angriffe gesprochen – aber auch die Cyberkriminellen dürften künftig auf diese Technologie setzen, um ihre Angriffe zu fahren. Die Büchse der Pandora ist halt weit geöffnet, und ich sehe wenig Hoffnung (siehe auch 60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualität und im Chaos endet).

Ähnliche Artikel:
Cyberangriff auf Oiltanking legt Tanklager lahm, Shell auch betroffen
Cyberangriff auf Oiltanking: Black Cat-Ransomware legt Tankversorgung lahm, auch für Colonial Pipeline verantwortlich


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Cyberangriffe auf Häfen in Deutschland, Belgien und Niederlande

  1. Luzifer sagt:

    Müssen ja keine staatlichen Hacker gewesen sein … aber der ein oder andere der an der Börse spekuliert ;-P

  2. Terenzi sagt:

    Cyber Polygon, Klaus hat es doch versprochen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.