Angriff auf die Energieversorgung – Attack on Energy Supply

Erfolgreiche Angriffe auf Energie- und Versorgungsunternehmen zeigen, wie weitreichend deren Auswirkungen sein können. Ein Beispiel ist der Ransomware-Angriff auf die Colonial Pipeline, die größte Kraftstoffpipeline der USA, im Mai 2021. Dieser führte zu einer Lösegeldzahlung in Höhe von 4,4 Millionen US-Dollar sowie zu Treibstoffengpässen und Panikkäufen unter Autofahrern. Weniger als ein Jahr später, im April 2022, wurden drei Windenergieunternehmen in Deutschland Opfer von Cyberangriffen, die Tausende von digital gesteuerten Windkraftanlagen lahmlegten.

Den Cyber-Risiken, mit denen die Energie- und Versorgungswirtschaft konfrontiert ist, angemessen zu begegnen, ist daher eine globale Priorität. Ein guter Ansatzpunkt sind E-Mail-basierte Risiken, da E-Mails nach wie vor ein Hauptangriffsvektor mit hoher Erfolgsquote für Cyberkriminelle sind.

Erfolgreiche E-Mail-Angriffe: Energie- und Versorgungswirtschaft am stärksten betroffen

Eine kürzlich im Auftrag von Barracuda durchgeführte internationale Studie unter mittelständischen Unternehmen ergab, dass im Jahr 2022 81 Prozent der Befragten aus den Branchen Energie, Öl und Gas sowie Versorger von einer E-Mail-Sicherheitsverletzung betroffen sein werden. Im Vergleich dazu lag der Gesamtwert für alle befragten Branchen bei 75 Prozent. Von allen befragten Branchen waren Energie- und Versorgungsunternehmen auch am stärksten vom Produktivitätsverlust ihrer Mitarbeiter betroffen: Mehr als die Hälfte (52 Prozent) gaben dies als Folge des Angriffs an – im Vergleich zu nur 38 Prozent insgesamt. Der Produktivitätsverlust dürfte damit zusammenhängen, dass 48 Prozent der Befragten mehr als die Hälfte ihrer Mitarbeiter im Außendienst beschäftigen und diese während der Ausfallzeit nicht arbeiten konnten.

Überdurchschnittlich viele Befragte aus der Energie- und Versorgungswirtschaft (50 Prozent) gaben zudem an, durch die E-Mail-Sicherheitsverletzungen einen Imageschaden erlitten zu haben. Als stark regulierte und wettbewerbsintensive kritische Infrastruktur mit einer großen Endnutzerbasis kann ein Sicherheitsvorfall hier viele Menschen betreffen, Kundenbeziehungen schädigen und zu negativer Berichterstattung in den Medien über Geldstrafen oder Verstöße gegen gesetzliche Vorschriften führen.

In der Energie- und Versorgungswirtschaft war der Anteil derer, die die Wiederherstellungskosten als wesentliche Auswirkung betrachteten, am geringsten (22 % im Vergleich zu 31 % insgesamt). Die Umfrage ergab jedoch auch, dass die tatsächlichen Wiederherstellungskosten in diesem Sektor mit am höchsten waren.

Die durchschnittlichen Kosten des teuersten Angriffs für diesen Sektor im Jahr 2022 – 1.316.190 US-Dollar – waren die dritthöchsten, verglichen mit einem branchenweiten Wert von 1.033.066 US-Dollar. Die hohen Wiederherstellungskosten in diesem Sektor spiegeln wahrscheinlich die verteilten Standorte der digitalen Vermögenswerte sowie der Mitarbeiterinnen und Mitarbeiter wider – fast die Hälfte (48 Prozent) arbeitet aus der Ferne. Hinzu kommen mögliche Bußgelder.

Stark und oft mehrfach von Ransomware-Angriffen betroffen

Der überdurchschnittlich hohe Anteil von Unternehmen, die von einer erfolgreichen E-Mail-Sicherheitsverletzung betroffen sind, führt fast zwangsläufig dazu, dass auch der Anteil der Unternehmen, die von anderen Angriffen, einschließlich Ransomware, betroffen sind, relativ hoch ist. Tatsächlich waren 85 Prozent der Befragten aus dem Energie- und Versorgungssektor von Ransomware betroffen, im Vergleich zu 75 Prozent insgesamt. 56 Prozent in diesem Sektor berichteten von zwei oder mehr erfolgreichen Ransomware-Angriffen (gegenüber 38 Prozent insgesamt). Dies deutet darauf hin, dass Angriffe nicht immer vollständig neutralisiert oder Sicherheitslücken nicht immer nach dem ersten Vorfall erkannt und behoben werden.

Die gute Nachricht ist, dass fast zwei Drittel (62 Prozent) in der Lage waren, verschlüsselte Daten mithilfe von Backups wiederherzustellen (gegenüber 52 Prozent insgesamt), obwohl 31 Prozent Lösegeld für die Wiederherstellung ihrer Daten zahlen mussten.

Energie- und Versorgungsunternehmen am häufigsten Opfer von Spear-Phishing

Fast drei Viertel (73 Prozent) der Befragten in diesem Sektor waren 2022 von einem erfolgreichen Spear-Phishing-Angriff betroffen, verglichen mit 50 Prozent insgesamt.

Unternehmen, die Opfer von Spear-Phishing wurden, berichteten von Auswirkungen, die auch in anderen Branchen zu beobachten waren, jedoch selten in diesem Ausmaß. 64 Prozent gaben an, dass Computer oder andere Geräte mit Malware oder Viren infiziert wurden (im Vergleich zu 55 Prozent insgesamt). Zudem wurden in 62 Prozent der Fälle vertrauliche oder sensible Daten gestohlen (gegenüber 49 Prozent insgesamt). Auch die Rufschädigung scheint für diesen Sektor eine nennenswerte Auswirkung gewesen zu sein, wie 45 Prozent angaben (gegenüber 37 Prozent insgesamt). Nur 37 Prozent gaben an, über Viren- und Malware-Filter zu verfügen (gegenüber 47 Prozent insgesamt).

Branche nicht ausreichend auf grundlegende Bedrohungen vorbereitet

Mehr als in vielen anderen Branchen fühlten sich Unternehmen der Energie- und Versorgungsbranche nicht ausreichend auf relativ grundlegende Bedrohungen wie Viren und Malware vorbereitet (46 Prozent gegenüber 34 Prozent insgesamt). Ebenso fühlten sich 39 Prozent der Befragten in diesem Sektor nicht ausreichend auf den Umgang mit Spam vorbereitet (28 Prozent insgesamt), und 32 Prozent nannten Phishing (26 Prozent insgesamt).

Angesichts des Ausmaßes der Cyber-Bedrohungen, die erfolgreich auf diesen Sektor abzielen, ist dies ein beunruhigendes Ergebnis. Dies könnte zum Teil darauf zurückzuführen sein, dass der Sektor unterdurchschnittliche Angaben zu Investitionen in Sicherheitstechnologien wie E-Mail-Authentifizierung, computergestützte Sicherheitsschulungen, Zero-Trust-Access-Kontrollen, URL-Schutz, Schutz vor Account-Übernahme und Spear-Phishing oder automatisierte Reaktionen auf Vorfälle machte.

Rund vier Tage bis zur Erkennung und Behebung eines E-Mail-Sicherheitsvorfalls

Die Umfrage zeigt auch, dass Energie- und Versorgungsunternehmen etwas länger als viele andere Branchen brauchen, um einen E-Mail-Sicherheitsvorfall zu erkennen: durchschnittlich 51 Stunden im Vergleich zu 43 Stunden insgesamt. Die Branche war jedoch schneller als die meisten anderen, wenn es darum ging, auf den Vorfall zu reagieren und ihn zu beheben – durchschnittlich 42 Stunden im Vergleich zu 56 Stunden insgesamt.

Als Haupthindernisse für eine schnelle Reaktion und Schadensbegrenzung nannten 46 Prozent der Befragten aus diesem Sektor den Mangel an Automatisierung (gegenüber 38 Prozent insgesamt) und 40 Prozent den Mangel an Transparenz (gegenüber 29 Prozent insgesamt).

Es handelt sich um einen Sektor, in dem digitale Technologien und Innovationen mit hoher Geschwindigkeit entwickelt und eingeführt und dann in veraltete und unzureichend gesicherte Altsysteme integriert werden. Es überrascht daher nicht, dass mangelnde Transparenz über den gesamten IT-Bestand und unvollständige Sicherheitsautomatisierung erhebliche Hindernisse für eine integrierte Sicherheit darstellen.

Absicherung kritischer Infrastrukturbranchen

Die Studie zeigt, in welchem Ausmaß der Energie- und Versorgungssektor im Visier von Cyberkriminellen steht. Da viele der befragten Unternehmen angaben, dass ihnen selbst ein grundlegender Schutz vor Malware und Viren fehlt, könnte dies bedeuten, dass sie die integrierten Filter, die in den meisten E-Mail-Sicherheitslösungen standardmäßig enthalten sind, nicht aktiviert oder nicht richtig konfiguriert haben.

Eine regelmäßige Überprüfung der Sicherheitslage des Unternehmens ist daher unerlässlich und sollte alle vorhandenen, aber nicht ordnungsgemäß funktionierenden Tools aufdecken. Darüber hinaus benötigt die Industrie Sicherheitslösungen, die einfach zu implementieren, zu betreiben und zu verwalten sind. Automatisierte Sicherheitstechnologien können hier eine entscheidende Rolle spielen.

Successful attacks on energy and utility companies show how far-reaching their impact can be. One example is the May 2021 ransomware attack on Colonial Pipeline, the largest fuel pipeline in the U.S., which resulted in a $4.4 million ransom payment, fuel shortages, and panic buying among motorists. Less than a year later, in April 2022, three wind energy companies in Germany fell victim to cyberattacks that disabled thousands of digitally controlled wind turbines.

Adequately addressing the cyber risks facing the energy and utilities industry is therefore a global priority. A good place to start is with email-based risks, as email remains a key attack vector with a high success rate for cybercriminals.

Successful email attacks: energy and utilities most affected

A recent Barracuda global survey of mid-market organizations found that 81 percent of respondents in the energy, oil and gas, and utilities industries will experience an email security breach in 2022. This compares to 75 percent across all industries surveyed. Of all the industries surveyed, energy and utilities were also the most affected by lost employee productivity: More than half (52 percent) cited this as a result of the attack, compared to just 38 percent overall. The loss of productivity is likely related to the fact that 48 percent of respondents have more than half of their employees in the field and were unable to work during the downtime.

An above-average number of respondents in the energy and utilities sector (50 percent) also reported that they had suffered reputational damage as a result of the email security breaches. As a highly regulated and competitive critical infrastructure with a large end-user base, a security incident can affect a large number of people, damage customer relationships, and result in negative media coverage of fines or regulatory violations.

The energy and utilities industry had the lowest proportion of respondents who considered recovery costs to be a significant impact (22% compared to 31% overall). However, the survey also found that actual recovery costs were among the highest in this sector.

The average cost of the most expensive attack for this sector in 2022 – $1,316,190 – was the third highest, compared to an industry-wide figure of $1,033,066. The high cost of recovery in this sector likely reflects the distributed locations of digital assets and employees – nearly half (48 percent) work remotely. Then there are the potential fines.

Heavily and often repeatedly affected by ransomware attacks

The above-average proportion of organizations that have experienced a successful email security breach almost inevitably means that the proportion of organizations that have experienced other attacks, including ransomware, is also relatively high. In fact, 85 percent of respondents in the energy and utilities sector had been hit by ransomware, compared to 75 percent overall. 56 percent in this sector reported two or more successful ransomware attacks (compared to 38 percent overall). This suggests that attacks are not always fully neutralized, or that vulnerabilities are not always identified and remediated after the initial incident.

The good news is that nearly two-thirds (62 percent) were able to recover encrypted data from backups (compared to 52 percent overall), although 31 percent had to pay a ransom to recover their data.

Energy and Utilities Most Likely to Fall for Spear-Phishing Attacks

Nearly three-quarters (73 percent) of respondents in this sector were affected by a successful spear phishing attack in 2022, compared to 50 percent overall.

Organizations that have experienced spear phishing reported impacts seen in other industries, but rarely on this scale. 64 percent reported that computers or other devices were infected with malware or viruses (compared to 55 percent overall). In addition, 62 percent had confidential or sensitive data stolen (compared to 49 percent overall). Reputation damage also appears to have been a significant impact for this sector, with 45% reporting it (compared to 37% overall). Only 37 percent say they have virus and malware filters in place (compared to 47 percent overall).

Industry underprepared for basic threats

More than many other industries, companies in the energy and utilities sector felt inadequately prepared for relatively basic threats such as viruses and malware (46% vs. 34% overall). Similarly, 39 percent of respondents in this sector felt inadequately prepared to deal with spam (28 percent overall), and 32 percent cited phishing (26 percent overall).

Given the scale of cyber threats successfully targeting this sector, this is a worrying finding. This may be due in part to the sector’s underreporting of investment in security technologies such as email authentication, computer-based security training, zero-trust access controls, URL protection, account takeover protection and spear phishing, or automated incident response.

Approximately four days to detect and resolve an email security incident

The survey also shows that energy and utilities companies take slightly longer than many other industries to detect an email security incident: 51 hours on average compared to 43 hours overall. However, the industry was faster than most when it came to responding to and resolving the incident – 42 hours on average compared to 56 hours overall.

The main barriers to rapid response and mitigation, cited by 46 percent of respondents from this sector, were lack of automation (compared to 38 percent overall) and 40 percent lack of visibility (compared to 29 percent overall).

This is a sector where digital technologies and innovations are being developed and deployed at a rapid pace, and then integrated into outdated and inadequately secured legacy systems. Not surprisingly, lack of visibility across the IT estate and incomplete security automation are significant barriers to integrated security.

Securing Critical Infrastructure Sectors

The study reveals the extent to which the energy and utilities sector is being targeted by cybercriminals. With many of the organizations surveyed reporting that they lack even basic protection against malware and viruses, this could mean that they have not enabled or properly configured the built-in filters that come standard with most email security solutions.

A regular review of the organization’s security posture is therefore essential and should uncover any tools that are in place but not working properly. In addition, the industry needs security solutions that are easy to deploy, operate and manage. Automated security technologies can play a critical role.