Der Vorfall
Am 7. Mai 2021 bemerkte ein Mitarbeiter von Colonial Pipeline eine Erpressernachricht auf einem Computerbildschirm. Innerhalb von Stunden traf das Unternehmen eine folgenschwere Entscheidung: Die gesamte Pipeline wurde abgeschaltet. Es war das erste Mal in der 57-jährigen Geschichte des Unternehmens, dass der Betrieb komplett eingestellt wurde.
Colonial Pipeline betreibt das größte Pipelinesystem für raffinierte Erdölprodukte in den USA. Die 8.850 Kilometer lange Leitung transportiert täglich 2,5 Millionen Barrel Benzin, Diesel und Kerosin – rund 45 Prozent des gesamten Treibstoffbedarfs der US-Ostküste. Von Houston, Texas, bis nach Linden, New Jersey, versorgt die Pipeline Millionen von Haushalten, Unternehmen und Flughäfen.
Die Abschaltung dauerte sechs Tage. Die Folgen waren dramatisch: An der gesamten Ostküste kam es zu Panikkäufen. Tausende Tankstellen liefen leer. In North Carolina, Virginia und Georgia musste der Notstand ausgerufen werden. Der Preis für eine Gallone Benzin stieg auf den höchsten Stand seit 2014. Fluggesellschaften mussten Routen ändern, weil Kerosin knapp wurde.
Am 8. Mai – nur einen Tag nach dem Angriff – zahlte Colonial Pipeline ein Lösegeld von 4,4 Millionen US-Dollar in Bitcoin an die Angreifer. CEO Joseph Blount erklärte später vor dem US-Senat, die Entscheidung sei „das Schwierigste" gewesen, was er je beruflich zu tun hatte, aber er habe keine andere Wahl gesehen.
Die Ransomware-Gruppe DarkSide bekannte sich zu dem Angriff. Ironischerweise veröffentlichte DarkSide kurz darauf eine Art Entschuldigung: Man habe nicht die Absicht gehabt, „gesellschaftliche Probleme zu verursachen". Man wolle nur Geld verdienen. Wenige Tage später verschwand DarkSide von der Bildfläche – vermutlich unter dem Druck internationaler Ermittlungen.
Das FBI konnte später 2,3 Millionen Dollar des Lösegelds zurückverfolgen und beschlagnahmen. Doch der wirtschaftliche Schaden – geschätzte Gesamtkosten von mehreren hundert Millionen Dollar – war bereits entstanden.
Wie der Angriff funktionierte
Die Untersuchung des Vorfalls ergab ein ernüchterndes Bild: Der Angriff nutzte keine ausgeklügelte Zero-Day-Schwachstelle. Es war ein altes, ungenutztes VPN-Konto mit einem kompromittierten Passwort – ohne aktivierte Zwei-Faktor-Authentifizierung.
Stufe 1 – Initialer Zugang über VPN: Die Angreifer nutzten ein inaktives VPN-Konto, dessen Passwort in einem Datenleck aufgetaucht war. Das Konto hatte keinen zweiten Authentifizierungsfaktor. Mit diesen Zugangsdaten loggten sich die Angreifer am 29. April 2021 ein – eine Woche vor dem eigentlichen Angriff.
Stufe 2 – Aufklärung und laterale Bewegung: Nach dem Zugang begannen die Angreifer, das IT-Netzwerk von Colonial Pipeline zu erkunden. Sie identifizierten kritische Systeme, sammelten weitere Zugangsdaten und verschafften sich Zugriff auf immer mehr Bereiche der Infrastruktur. Dabei nutzten sie Standard-Administrationstools, die in jedem Windows-Netzwerk vorhanden sind.
Stufe 3 – Datenexfiltration: Vor der Verschlüsselung stahlen die Angreifer rund 100 Gigabyte an Unternehmensdaten. Diese Daten dienten als zusätzliches Druckmittel: Selbst wenn Colonial Pipeline die verschlüsselten Daten aus Backups wiederherstellen konnte, drohte die Veröffentlichung sensibler Geschäftsinformationen.
Stufe 4 – DarkSide-Ransomware: Am 7. Mai rollten die Angreifer die DarkSide-Ransomware aus. DarkSide operierte als „Ransomware-as-a-Service" (RaaS): Die Entwickler stellten die Ransomware bereit, sogenannte „Affiliates" führten die Angriffe durch und teilten sich das Lösegeld. DarkSide verschlüsselte Dateien und hinterließ eine Erpressernachricht mit Anweisungen zur Bitcoin-Zahlung.
Wichtig: Die Ransomware traf das IT-Netzwerk (Bürocomputer, E-Mail-Server), nicht direkt die operativen Steuerungssysteme (OT) der Pipeline. Colonial Pipeline schaltete die Pipeline vorsorglich ab, weil unklar war, ob die Angreifer auch Zugang zu den OT-Systemen hatten.
Warum Virenscanner versagten
Der Colonial-Pipeline-Angriff illustriert mehrere fundamentale Schwächen herkömmlicher Sicherheitsansätze:
Ein vergessenes VPN-Konto genügt: Der gesamte Angriff begann mit einem einzigen kompromittierten Passwort. Kein Virenscanner der Welt erkennt einen Login mit gültigen Zugangsdaten als Bedrohung. Für das System sah es aus, als würde sich ein autorisierter Mitarbeiter einloggen.
Ransomware-as-a-Service mit maßgeschneidertem Code: DarkSide lieferte seinen Affiliates jeweils individuell angepasste Versionen der Ransomware. Jeder Angriff verwendete eine andere Variante, die zum Zeitpunkt des Einsatzes von keinem Virenscanner erkannt wurde. Die Signaturen wurden erst Stunden oder Tage nach dem Angriff erstellt.
Datenexfiltration ist unsichtbar für Virenscanner: Das Stehlen von 100 Gigabyte Daten erfolgte über verschlüsselte Kanäle. Für den Virenscanner sah es aus wie normaler Netzwerkverkehr. Nur eine fortgeschrittene Netzwerküberwachung hätte die ungewöhnlichen Datenmengen erkennen können.
Menschliches Versagen lässt sich nicht wegscannen: Ein inaktives VPN-Konto ohne Zwei-Faktor-Authentifizierung ist ein Konfigurationsfehler, kein Malware-Problem. Virenscanner schützen nicht vor schlechter IT-Hygiene.
So hätte Deep Freeze geschützt
Bei Colonial Pipeline hätte Deep Freeze auf den IT-Arbeitsplatzrechnern mehrere entscheidende Auswirkungen gehabt:
Die laterale Bewegung wird eingedämmt: Die Angreifer nutzten kompromittierte Arbeitsplatzrechner als Sprungbretter, um sich durch das Netzwerk zu bewegen. Tools wie Mimikatz extrahierten Zugangsdaten aus dem Speicher und von der Festplatte. Auf einem mit Deep Freeze geschützten Rechner werden diese Tools beim Neustart gelöscht. Die Angreifer verlieren ihre Sprungbretter.
Persistenz wird verhindert: Die Angreifer waren eine Woche lang im Netzwerk, bevor sie zuschlugen. Sie installierten Backdoors, um jederzeit zurückkehren zu können. Auf Rechnern mit Deep Freeze hätten diese Backdoors keinen Neustart überlebt. Die Angreifer hätten nach jedem Arbeitstag ihren Zugang verloren.
Die Verschlüsselung wird rückgängig gemacht: DarkSide verschlüsselt Dateien auf der lokalen Festplatte. Deep Freeze setzt die Festplatte beim Neustart auf den eingefrorenen Zustand zurück. Verschlüsselte Dateien? Existieren nach dem Neustart nicht mehr. Der Originalzustand ist wiederhergestellt.
Die 4,4 Millionen Dollar wären nicht gezahlt worden: Wenn die IT-Arbeitsplätze nach einem Neustart wieder funktionieren und die kritischen Daten auf geschützten Servern liegen, gibt es keinen Grund, Lösegeld zu zahlen. Der Druck, den die Angreifer aufbauen, verpufft.
Natürlich: Deep Freeze schützt Arbeitsplatzrechner, nicht VPN-Zugänge. Ein vergessenes VPN-Konto wäre weiterhin ein Risiko. Aber die Angriffskette – vom initialen Zugang über die laterale Bewegung bis zur Verschlüsselung – wäre auf den geschützten Rechnern bei jedem Neustart unterbrochen worden. Die Angreifer hätten ihr Ziel nicht erreichen können.
Die Lehre
- Kritische Infrastruktur steht im Fadenkreuz. Pipelines, Stromnetze, Wasserwerke – Angreifer wissen, dass hier der Druck am größten ist, schnell zu zahlen. Deep Freeze reduziert diesen Druck, weil die Wiederherstellung trivial wird.
- 4,4 Millionen Dollar Lösegeld sind ein Versagen der Prävention. Mit Deep Freeze auf den Arbeitsplatzrechnern und soliden Backups für die Server wäre eine Zahlung nie nötig gewesen.
- Einfache Fehler ermöglichen große Angriffe. Ein vergessenes VPN-Konto, ein fehlendes Passwort-Update, keine Zwei-Faktor-Authentifizierung. Deep Freeze kann diese Fehler nicht verhindern – aber es kann verhindern, dass Angreifer sie in eine Katastrophe verwandeln.
- Ransomware-as-a-Service senkt die Einstiegshürde. Heute kann jeder Kriminelle für einen Anteil am Lösegeld professionelle Ransomware einsetzen. Die Anzahl der Angriffe wird weiter steigen. Deep Freeze ist eine Antwort, die unabhängig von der eingesetzten Ransomware-Variante funktioniert.
- Sechs Tage Ausfall waren unnötig. Mit Deep Freeze auf den betroffenen Systemen hätte der Betrieb nach koordinierten Neustarts innerhalb von Stunden wieder aufgenommen werden können – statt nach einer Woche.