Lehren aus dem Cyberangriff auf europäische Flughäfen: Wir haben gerade einen großen umgangen

Die jüngsten Angriffe auf europäische Flughäfen legten systemische Schwächen, Prozessmängel und Schwächen in der Reaktion auf Vorfälle offen, die nicht nur für Flughäfen in Europa gelten, sondern weltweit verbreitet sind. Heute können wir es uns nicht mehr leisten, den Schutz kritischer Infrastrukturen nur im Hinblick auf Bedrohungserkennung und Widerstandsfähigkeit zu betrachten. Stattdessen müssen Infrastrukturen wie Flughäfen Bedrohungen managen, auf Vorfälle reagieren und mit minimaler Unterbrechung so schnell wie möglich wieder betriebsbereit sein.

Bei Shieldworkz haben wir bereits über den Bedrohungsakteur und die geopolitischen Kräfte hinter dem Angriff gesprochen. Dieser Beitrag handelt nicht davon. Vielmehr beleuchten wir heute die systemischen Schwächen, die kritische Infrastrukturen überhaupt erst für solche Angriffe anfällig machen. Ziel dieses Beitrags ist es, gemeinsam zu lernen, wie das Ökosystem zusammenarbeiten kann, um solche Vorfälle zu verhindern, indem aus der Vergangenheit gelernt wird. Dieser Beitrag zielt auch nicht darauf ab, jemanden für den Vorfall verantwortlich zu machen, sondern vielmehr darauf, gemeinsam zu verhindern, dass solche Vorfälle in Zukunft auftreten.

Systemische Fehler

Der Cyberangriff führte zu einem Ausfall der ARINC Multi-User System Environment (Muse)-Plattform, was eine Reihe von Abschaltungen verursachte, die viele kritische Missionen betroffene Systeme wie Bodenoperationen, Passagierabfertigung und Förderbänder beeinträchtigten. Eine Störung in einem solchen Ausmaß an 4 großen Flughäfen hat einen wirtschaftlichen Preis und könnte auch ein kinetisches Ereignis oder sogar einen terroristischen Angriff oder mehrere unbefugte physische Eindringversuche verursacht haben, während das Personal damit beschäftigt war, die Folgen des ursprünglichen Vorfalls zu bewältigen.

Dies ist keine weit hergeholte und unvorstellbare Möglichkeit. Die Zeiten der einzelnen Flugzeug- oder Weltraumschlachten sind längst vorbei. Heute agieren geopolitische Kräfte über verschiedene Ebenen hinweg gleichzeitig, um Abwehrmechanismen zu überwältigen und kleinere Öffnungen auszunutzen, um ein großes Ereignis zu schaffen. Wie wir in unserem früheren Bericht über den jüngsten Cyberangriff gezeigt haben, gehen die Wurzeln dieses Vorfalls tief in die Ereignisse in der Region einige Tage zuvor zurück. Wir müssen Cybervorfälle im richtigen Kontext betrachten, um die Ziele und Motive der Bedrohungsakteure zu verstehen.

Die während des Vorfalls aufgedeckten systemischen Fehler umfassen:

· Verzögerte Reaktion auf Vorfälle

· Mangel an Ersatzsystemen und Support, um den Betrieb fortzuführen

· Mangel an operativer und Lieferketten-Sichtbarkeit

· Mangel an Ablenkungssystemen, um eingehende Angriffe abzuwehren und Bedrohungsvektoren und schlechte Akteure zu verwirren

Sehen wir uns nun jeden dieser Aspekte im Detail an.

Verzögerte Reaktion auf Vorfälle

Alle beteiligten Flughäfen reagierten nicht schnell auf den Vorfall, was zu einem Chaos führte, das schließlich fast 140 Flüge lahmlegte. Wenn die betroffenen Flughäfen ihre Bereitschaft bewertet hätten, mit einem solchen Vorfall umzugehen und die Lücken geschlossen hätten, hätte dieser Vorfall schneller eingedämmt werden können.

Die Reaktion auf Vorfälle sollte einen einzelnen Ausfallpunkt berücksichtigen, zusammen mit Kaskadenfehlern, und das Handbuch sollte idealerweise betriebliche Antworten und Redundanzen für beide enthalten. Im ersten Fall sollten alle Software und Prozesse identifiziert und für spezifische IR-Aktionen im Falle eines Ausfalls gekennzeichnet werden. Die IR-Reaktion sollte in solchen Fällen schneller umgesetzt werden, da jede Verzögerung dazu führen könnte, dass mehr Systeme und Prozesse betroffen werden.

Bei Kaskadenfehlern, bei denen mehrere Systeme betroffen sind, sollte der Fokus darauf liegen, Systeme stufenweise wiederherzustellen, mit vollständiger Sicherheit, dass die Bedrohung eingedämmt ist. In beiden Fällen empfehlen wir, dass die Strategie zur Vorfallreaktion, Handbücher und Maßnahmen über Szenarien und Zeitpunkte hinweg getestet werden, um ein „Muskelgedächtnis“ für die Vorfallreaktion aufzubauen (wir werden dies in einem späteren Blogbeitrag ausführlich behandeln). Wiederholte Übungen werden auch Panik oder impulsive Aktionen von Mitarbeitern eliminieren. Zudem können Teams mit einer klaren Abgrenzung von Rollen und Verantwortlichkeiten Vorfälle genauer in einem zeitgebundenen Rahmen kategorisieren und darauf reagieren.

Deshalb empfiehlt Shieldworkz immersive Simulationsübungen zur Vorfallreaktion. Hier wird jeder einzelne Aspekt der Vorfallreaktion in einem immer eskalierenden Umfeld getestet, um die wahre Tiefe der Strategien und Maßnahmen zur Vorfallreaktion zu prüfen. Lassen Sie mich wissen, wenn Sie mehr über eine individuell angepasste Simulationsübung zur Vorfallreaktion für Ihr Unternehmen erfahren möchten.

Mangel an Ersatzsystemen und betrieblichen Unterstützungen zur Fortführung des Betriebs

Wie wir gesehen haben, versuchten die betroffenen Flughäfen, das Geschäft während des Vorfalls bestmöglich fortzusetzen, waren jedoch nicht in der Lage, dies zu tun. Es fehlten Ersatzsysteme und Redundanzen, die aktiviert werden könnten, um Dienste umzuleiten. Solche Systeme können den Teams zur Vorfallreaktion helfen, sich stärker auf Eindämmungs- und Abhilfemaßnahmen zu konzentrieren und das Chaos zu reduzieren. Ein solcher Fokus könnte sich als wertvolle Ressource erweisen, wenn eine Organisation mit einem Cybervorfall und der daraus folgenden Krise umgeht.

Mangel an operativer und Lieferketten-Sichtbarkeit

Dies ist ein häufiges Problem, das Sicherheitsherausforderungen verschärft. Ohne ausreichende Sichtbarkeit jenseits des SBoM und HBoM hinsichtlich der tatsächlich praktizierten Cybersicherheitsmaßnahmen des Lieferantenökosystems und einem standardisierten Grundsatz an Sicherheitspraktiken, der im gesamten Ökosystem befolgt wird, ist es schwierig, Anlagen und Infrastrukturen abzusichern.

Mangel an Ablenkungssystemen, um eingehende Angriffe abzuwehren und Bedrohungsvektoren und Akteure zu verwirren

Durch den Einsatz von Ablenkungssystemen können tatsächliche Angriffe abgewehrt und in simulierte Umgebungen umgeleitet werden, in denen die TTPs und Bedrohungsvektoren ausführlich untersucht werden können. Solche Umgebungen sichern die Hauptsysteme und entlasten die Sicherheitsteams durch:

· Verhinderung von Angriffen auf tatsächliche Systeme

· Ermöglichen der Untersuchung von Angriffen. Die untersuchten TTPs können verwendet werden, um die Vorfallreaktionspraktiken zum Handbuch der Vorfallreaktion hinzuzufügen.

· Frustration der Bedrohungsakteure durch Verschwendung von Angriffzyklen auf falsche Ziele

Eine IEC 62443-basierte Risiko- und Lückenbewertung, um den Zustand der Infrastruktursicherheit und den bestehenden Sicherheitslevel zu beurteilen, ist ebenfalls sehr hilfreich.

Schließlich kann nichts die agentenbasierte KI-gestützte Infrastrukturüberwachung schlagen, die von OT-Sicherheitsanbietern wie Shieldworkz angeboten wird.

Durch die Kombination solcher Taktiken und Strategien können Betreiber kritischer Infrastrukturen sicherstellen, dass ihre Vorfallreaktionsstrategien in optimalem Zustand bleiben, um gegen ausgeklügelte Cyberangriffe zu verteidigen.