Erpresser legen Pipeline lahm Benzinversorgung der US-Ostküste gekappt, Hacker entschuldigen sich

In den USA ist ein Horrorszenario eingetreten: Cyberkriminelle haben eine der größten Pipelines des Landes stillgelegt. Das Weiße Haus ist alarmiert, die Benzinpreise steigen. Und hinter dem Angriff stecken Kriminelle mit Robin-Hood-Image. Doch diese Sache wird ihnen nun zu heiß.
Nachschub: Entlang der Ostküste betreibt Colonial Pipeline etliche Benzinlager

Nachschub: Entlang der Ostküste betreibt Colonial Pipeline etliche Benzinlager

Foto: JIM LO SCALZO / EPA-EFE

Nichts geht mehr. Nach einem der verheerendsten bislang bekannten Cyberangriffe bleibt der Betrieb einer der größten Benzin-Pipelines in den USA bis auf Weiteres eingestellt. Bereits Ende vergangener Woche war der Betreiber Colonial Pipeline mit einer sogenannten Ransomware attackiert worden. Bei solchen Angriffen schleusen Hacker eine Erpressersoftware in die IT-Systeme ihrer Opfer, verschlüsseln deren Daten – und verlangen dann Lösegeld für die Freigabe. Seit nun vier Tagen ist es weder dem Unternehmen noch den eingeschalteten Experten und US-Behörden gelungen, das System wieder zum Laufen zu bringen. Die Regierung von Joe Biden (78) hat den Fall inzwischen als Top-Priorität eingestuft, etliche Ministerien sind über eine Task Force eingeschaltet, ein regionaler Notstand wurde verhängt.

Das FBI erklärte am Montag, hinter der Attacke stecke eine Gruppe namens Darkside. Die Hackergruppe, die im August 2020 erstmals auftauchte, umgibt sich mit einem Robin-Hood-Image, weil man vor allem Konzerne angreife und einen Teil des Lösegelds für gemeinnützige Zwecke spende. Sie behauptet, keine Krankenhäuser, Schulen oder Pflegeeinrichtungen zu attackieren. Sie zählt zu den professionellen Ransomware-Banden, deren Erpressungsversuche die Unternehmen in den vergangenen drei Jahren insgesamt zig Milliarden Dollar gekostet haben. Ob hinter Darkside russische Hacker stehen, ist unklar – auffällig ist, dass die Hacker wie viele andere Banden Ziele in den früheren Ostblockstaaten meiden.

In einer ungewöhnlichen Mitteilung  äußerten die Hacker, die sich in den Tagen zuvor bedeckt gehalten hatten, am Montag ihr Bedauern. "Wir sind unpolitisch", heißt es in dem Statement. "Unser Ziel ist es, Geld zu verdienen, nicht der Gesellschaft Probleme zu bereiten." Künftig werde die Gruppe größere Zurückhaltung üben und vorab prüfen, welche Ziele ihre Partner mit Ransomware ins Visier nehmen.

Der Angriff trifft vor allem die Wirtschaft an der Ostküste der USA. Die Pipeline, die sich zum Großteil unterirdisch auf rund 8850 Kilometer erstreckt, verbindet hauptsächlich am Golf von Mexiko liegende Raffinerien mit dem Süden und Osten der USA. Transportiert werden unter anderem Benzin, Dieselkraftstoff und Heizöl – pro Tag um die 2,5 Millionen Barrel (je 159 Liter). Laut Colonial transportiere man über die Pipeline etwa 45 Prozent aller an der Ostküste verbrauchten Kraftstoffe und beliefere mehr als 50 Millionen Amerikaner. Zu den Abnehmern gehöre auch das US-Militär und der größte Verkehrsflughafen der USA in Atlanta.

Nervöse Reaktion der Rohstoffbörsen

Entsprechend nervös reagierten die Märkte. Die Benzinpreise an den Tankstellen steigen, die Preise im Rohstoffhandel ebenfalls. Terminkontrakte auf Benzin legten am Montag um 4 Prozent auf ein Dreijahreshoch zu. Denn kurzfristig dürften die Versorgungslücken auch nicht durch die bereits extra gecharterten Tankschiffe und Lkw ausgeglichen werden können. "Meine größte Sorge ist, dass es zu einem Tankstellen-Run kommt", sagte der auf Öl spezialisierte Berater Andrew Lipow. Es sei eine "Herkulesaufgabe", den Ausfall an der US-Ostküste auszugleichen, schrieben die Analysten von RBC Capital Markets.

Colonial Pipeline, gegründet 1962, mit Sitz im US-Bundesstaat Georgia, gilt als größtes Pipelineunternehmen der USA. Zu den Haupteignern zählen unter anderem der US-Konzern Koch Industries, die Finanzinvestoren von KKR und der Ölkonzern Shell. Geführt wird der nicht-börsennotierte Konzern seit 2017 vom Branchenveteran Joseph Blount. Bis zum Ende der Woche will das Unternehmen die Pipeline wieder in Gang bringen, erklärte es am Montag.

Immer wieder Attacken mit Erpressungs-Trojanern

Deutschlands oberster Cyberkrieger Arne Schönbohm (51), Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), warnte vor ähnlichen Gefahren auch hierzulande. "Cyber-Angriffe auf kritische Infrastrukturen sind ein ernstzunehmendes realistisches Szenario auch in Deutschland", sagte er.

Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. Allein 2017 legte der Erpressungstrojaner "WannaCry" neben den Computern vieler Privatleute unter anderem Computer in britischen Krankenhäusern sowie Fahrplananzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeldsoftware "NotPetya" unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.

Hackerangriffe auf Infrastruktur wie Pipelines oder Kraftwerke gelten seit Jahren als Horrorszenario. Bisher wurden allerdings kaum Fälle von erfolgreicher Cyber-Sabotage bekannt. Der bekannteste Zwischenfall war ein großflächiger Stromausfall in der Ukraine im Dezember 2015, der als Werk russischer Hacker gilt. Allerdings war erst im Februar ein Versuch bekannt geworden, Trinkwasser in einer Aufbereitungsanlage im US-Bundesstaat Florida per Hacker-Angriff chemisch zu manipulieren. Dabei wurde der Anteil von Natriumhydroxid mehr als verhundertfacht. Mitarbeiter der Anlage hatten die "potenziell gefährliche" Änderung aber sofort bemerkt und rückgängig gemacht, wie die Behörden damals mitteilten.

US-Heimatschutzminister Alejandro Mayorkas (61) rief andere Unternehmen nun auf, ebenfalls wachsam zu sein und sich gegen Erpressungssoftware und andere Arten von Cyberangriffen zu schützen.

In den vergangenen Monaten waren Hacker über eine Sicherheitslücke in Microsofts E-Mail-Software Exchange Server in die Systeme diverser Unternehmen eingedrungen. Und zuvor wurden Ausspähattacken über das Wartungsprogramm der Firma Solarwinds bekannt, die unter anderem US-Regierungsbehörden trafen.

IT-Sicherheitsexperten warnen schon seit Jahren, dass die Infrastruktur im Westen nicht ausreichend auf Cyber-Gefahren vorbereitet sei. "Fälle wie diesen werden wir in naher Zukunft öfter sehen, da Hackergruppen viele Netzwerke über Solarwinds und Exchange bereits infiltriert haben", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure zum Pipelineangriff. Dabei seien große Ziele wie Ölpipelines für die Angreifer lukrativer als mittelständische Unternehmen, da sie dort mehr Lösegeld erpressen könnten.

lhy, ak/Reuters, dpa-afx
Die Wiedergabe wurde unterbrochen.