Cyren Security Blog

Cyperpiraten nehmen Logistikunternehmen ins Visier

von John Callon

Security Research & Analysis

Im Juni 2017 gab es für die Logistik- und Transportindustrie ein „Novum“, als fast 80 Häfen und Terminals weltweit entweder zum Stillstand kamen oder signifikante Verspätungen verzeichneten, darunter der Port of New York and New Jersey, der Port of Los Angeles und der Rotterdamer Hafen (größter Hafen Europas) sowie der Hafen in der Nähe von Mumbai (Indiens größter Containerhafen). 

Dieser inzwischen berüchtigte Ransomware-Angriff auf die Reederei A.P Moller-Maersk kostete das Unternehmen geschätzte 300 Millionen US-Dollar. Und ohne Möglichkeit, die infizierten Computersysteme zu reinigen, musste Maersk einen signifikanten Teil seiner IT-Infrastruktur neu schaffen und über die folgenden zwei Wochen mehr als 50.000 neue PCs, Server und Anwendungen installieren. 

Dieser Angriff war alles andere als isoliert, denn aufgrund ihrer besonderen Beschaffenheit lockt die Logistik- und Transportindustrie besonders Phishing- und Malware-Autoren an. So schaffen beispielsweise die Digitalisierung von Logistikinformationen, internetbasierte betriebliche Prozesse, eine Vielzahl von Unternehmen, die unterschiedliche Technologiesysteme nutzen (von denen einige evtl. extrem veraltet wird) sowie eine stark verteilte mobile Belegschaft ganz spezielle Bedingungen, die von Cyberkriminellen ausgenutzt werden können.

Große und kleine Logistik- und Transportunternehmen sind Risiken ausgesetzt

Während solche Angriffe auf Maersk sowie andere große Transportunternehmen wie TNT Express (ein Teil von FedEx) und Delta Airlines für Schlagzeilen sorgen, zeigt die lange Liste von Angriffen auf Logistik- und Transportunternehmen, dass Cyberverbrecher insbesondere kleine bis mittelgroße Unternehmen wie Clarksons (ein Schiffsmakler mit Sitz in London) ins Visier nehmen. Clarksons beschäftigt weltweit ca. 1500 Mitarbeiter. In 2017 wurde festgestellt, dass ein Hacker unberechtigten Zugriff auf die Computersysteme des Unternehmens erhalten hatte, aus diesem Grund mussten Clarksons Kunden und Einzelpersonen benachrichtigen werden, um diese zu informieren, das deren vertrauliche Daten durch die Verletzung evtl. in Mitleidenschaft gezogen wurden.

Kleinere Unternehmen spielen oft im umfassenderen Logistik- und Transportzyklus eine wichtige Rolle. Recherchen zeigen, dass kleine bis mittelgroße Unternehmen, insbesondere solche im Bereich Logistik und Transport, für Cyberkriminelle attraktive Ziele darstellen. Der 2018 Verizon Data Breach Investigations Report zeigt, dass in 58 % aller Fälle kleinere Unternehmen wahrscheinlicher das Ziel von Cyberkriminellen werden. Eine Cybersicherheitsumfrage von IHS Markit/BIMCO aus dem Jahr 2016 zu Schifffahrtsunternehmen ergab, dass fast 60 % der befragten Unternehmen bereits einem Cyberangriff zum Opfer gefallen waren. Zu den Befragten gehörten Reeder, Schiffsmanager, Handelsorganisationen, Aufsichtsbehörden, Hafenbehörden, Schifffahrts-Dienstleister, Ausrüstungsanbieter und Werften. 

Komplexe Lieferkette erhöht das Risiko

Logistik- und Transportunternehmen jeder Größe tendieren dazu, geografisch weitreichende und vielfältige Lieferkettenverbindungen zu pflegen, durch die die Auswirkungen von Angriffen signifikant verstärkt werden. Die Distribution eines einzigen Containers umfasst wahrscheinlich Informations- und Warentransfers mit mindestens zehn unterschiedlichen Beteiligten, darunter der Versender, der Empfänger, eine Schifffahrtslinie, Ursprungs- und Zielhäfen, eine LKW-Spedition, Banken sowie Zoll- und Grenzbehörden, wenn der Artikel ins Ausland geschickt wird. Diese Interaktion zwischen großen und kleinen Unternehmen im Logistikzyklus trägt zum Angriffsprozess bei. Beim Maersk-Angriff 2017 waren zum Beispiel nicht nur Seehäfen und Containerschiffe betroffen. LKW mit Binnenzielorten wurden stunden- und manchmal sogar tagelang an verschiedenen Häfen aufgehalten und mussten bis die Systeme wieder online waren warten, sodass Sendungen abgefertigt und empfangen oder zugestellt werden konnten. Die Auswirkungen nahmen dadurch gewaltig zu und verzögerten den Produktvertrieb für längere Zeit.

Und wenn wir schon beim Thema komplexer Lieferketten und Maersk-Angriff sind: Interessanterweise spekulieren

Forscher und Experten in der Cybersicherheitsbranche, dass Maersk evtl. gar nicht eines der anvisierten Ziele war. Während die NotPetya-Malware oberflächlich „Petya“ ähnelte, einem älteren Ransomware-Typ, scheint es NotPetya auf etwas Ominöseres abgesehen zu haben. Im Verlauf des Maersk-Angriffs stellten IT-Experten fest, dass die Täter wenig Interesse an einer Lösegeldzahlung an den Tag legten. Es gab auch keine Möglichkeit zur Schlüsselgenerierung, um Systeme freizuschalten. Weil die Anfangsphasen des Angriffs auf Unternehmen in der Ukraine fokussierten (es wird angenommen, dass eine gehackte Version eines beliebten ukrainischen Buchhaltungsprogramms zur Verteilung von NotPetya genutzt wurde), wiesen Analytiker darauf hin, dass es sich um einen staatlich gesponserten Angriff auf die Ukraine gehandelt haben könnte und andere Organisationen (wie Maersk) lediglich Kollateralschäden in der umfassenderen, komplexen Lieferkette waren.

Unabhängig vom Typ des Hacks oder den politischen oder finanziellen Zielen der Angreifer ist es aber letztendlich die Vielzahl verschiedener Beteiligter, die alle potenziell in unterschiedlichen Zeitzonen operieren und verschiedene und potenziell ungeschützte Software und Mobilgeräte nutzen, die zu Rissen im Fundament der Logistik- und Transport-Lieferkette führt, über die Kriminelle angreifen und die Sicherheit von Unternehmen verletzen. Einer Studie des Ponemon Institute von 2017 zufolge waren 56 % der großen Datenschutzverletzungen das direkte Ergebnis einer anfänglichen Verletzung bei einem Dritt-/Lieferkettenanbieter.

Die besten Bemühungen der Branche funktionieren nicht

Forschungsergebnisse zeigen, dass Logistik- und Transportunternehmen Sicherheit einfach nicht ernst genug nehmen. Studien sowohl in der Logistik-/Transportindustrie wie auch bei Unternehmen allgemein ergaben niedrige Cybersicherheitsstufen in Bezug auf sehr grundlegende Elemente, wie einfach zu erratende Passwörter, Wiederverwendung des gleichen Passworts in verschiedenen Systemen und zahlreiche Anfälligkeiten durch die mangelhafte Anwendung von Patches. Eine neue Studie von LogMeIn ergab, dass zwar 91 % der Unternehmensanwender in Großbritannien, den USA, Australien, Frankreich und Deutschland angeben, die Risiken zu kennen, die mit einer Wiederverwendung von Passwörtern über mehrere Konten hinweg verbunden sind. Aber 60 % dieser Anwender gaben auch an, dass sie trotzdem so verfahren! Mehr als die Hälfte gab zu, ihre Passwörter in mehr als einem Jahr nicht geändert zu haben.

Sorgen um Geschäftsunterbrechungen und signifikante finanzielle Verluste

Logistik- und Transportunternehmen verlassen sich stark auf Lieferzeitpläne, um Rentabilität und Kundenzufriedenheit zu gewährleisten. Ein Ransomware- oder Malware-Angriff reicht aus, um sich negativ auf Logistikzeitpläne auszuwirken. Dies kann Systemabschaltungen und potenziell signifikante Lieferverspätungen bedeuten. Dies hat wiederum finanzielle Folgen einschließlich der Reduzierung von Gebühren oder Geldstrafen wegen verspäteter Lieferungen. Phishing in Form von Business E-mail Compromise (BEC)-Angriffen richtet oft beträchtlichen finanziellen Schaden an. Laut dem 2016 Internet Crime Report des FBI kosten BEC-Betrugsversuche Opfer allein in den USA Hunderte von Millionen von Dollar. Zusätzlich zu direkten finanziellen Schäden können Phishing- und Malware-Angriffe zum Verlust sensibler Unternehmensinformationen führen, von Kunden-E-Mail-Adressen bis hin zu Geburtsdaten oder gar Versicherungsnummern von Mitarbeitern.

Cyberangriffe sind ein Geschäftsrisiko

Die Logistik- und Transportlieferkette von heute wird immer umfangreicher und komplexer. Kein mit dieser Industrie verbundenes Unternehmen möchte im Zentrum einer umfassenden Datenschutzverletzung mit nationalen oder gar globalen Auswirkungen stehen. Logistik- und Transportunternehmen müssen Cyberangriffe letztendlich als kritisches Geschäftsrisiko mit signifikanten finanziellen und geschäftlichen Auswirkungen betrachten. Daher müssen Internet- und E-Mail-Sicherheit ein Kernbestandteil jedes Geschäftsrisikoplans sein.

Zurück