Colonial Pipeline droht Geldstrafe wegen schlechten Risikomanagements

Dem Betreiber des Ölpipelinesystems droht eine hohe Geldstrafe. Fehlendes Notfallmanagement war wohl mitursächlich für die Ransomware-Auswirkungen 2021.

In Pocket speichern vorlesen Druckansicht
Warnschild "Warning Petroleum Pipeline"

(Bild: Daniel AJ Sokolov)

Lesezeit: 2 Min.
Von
  • Ute Roos

Die Pipeline and Hazardous Materials Safety Administration (PHMSA), eine Abteilung des Verkehrsministeriums der Vereinigten Staaten, hat eine offizielle "Notice of Probable Violation" veröffentlicht: Demnach könnte der Ransomware-Angriff auf die größte US-amerikanische Ölpipeline, der im vergangenen Jahr die Öl- und Benzinversorgung in Teilen des Landes kurzzeitig lahmlegte, ein Nachspiel für das Betreiberunternehmen haben. Die PHMSA schlägt eine Zivilstrafe in Höhe von 986.400 Dollar vor.

Die Geldstrafe ist das Ergebnis einer Untersuchung, die die PHMSA von Januar 2020 bis November 2020 bei Colonial durchgeführt hat – also bereits ein Jahr, bevor es zu dem Ransomware-Angriff kam. Der primäre betriebliche Fehler, auf den mehr als 85 Prozent der Geldbuße entfallen (846.300 von 986.400 US-Dollar), besteht laut PHMSA darin, "dass es wahrscheinlich versäumt wurde, das manuelle Abschalten und Wiederanfahren seines Pipelinesystems angemessen zu planen und vorzubereiten".

Dieses Manko in Sachen Notfallplanung und Notfallübungen trug laut PHMSA "zu den nationalen Auswirkungen bei, als die Pipeline nach dem Cyberangriff im Mai 2021 außer Betrieb blieb". Laut einem Blogbeitrag des Sicherheitsherstellers Sophos, der den Fall noch einmal detailliert aufbereitet, mag das Ausmaß des Colonial-Angriffs zwar ein Sonderfall sein, lernen könne man dennoch aus der "Notice of Probable Violation". Denn die Probleme bestanden im sogenannten SCADA-, ICS- oder OT-Teil des Unternehmens, also dem industriellen Gegenstück zur IT.

Der PHMSA-Bericht deutet an, dass die potenziellen Folgen von SecOps-Fehlern in einem Bereich des Unternehmens den anderen Bereich direkt und in gefährlicher Weise beeinflussen, selbst wenn deren OT- und IT-Funktionen in zwei verschiedenen Netzwerken verwaltet werden. Auch viele kleinere Unternehmen setzen IoT-Geräte wie Sicherheitskameras, Türschlösser oder Bewegungssensoren ein. Und mutmaßlich befinden diese sich im selben Netzwerk wie die restlichen Systeme. Man sollte also nicht vernachlässigen, dass die Cybersicherheit der OT mit der IT verbunden ist.

Interessierte finden im vollständigen Blogbeitrag von Sophos sowie in der "Notice of Probable Violation" der PHMSA weitere Details.

(ur)