Wie Cyberangreifer einen COVID-Impfstoff sabotieren könnten – und wie das verhindert werden kann

bei

 / 14. January. 2021

In den letzten Wochen mehrten sich positive Nachrichten über mögliche zeitnahe Zulassungen von COVID-Impfstoffen. Jetzt, in den letzten Testphasen und der beginnenden Ausrollung sollten wir – bei aller Hoffnung und Freude – die Möglichkeiten von gezielten Cyberangriffen auf ebenjene Unternehmen und Organisationen in den Blick nehmen. Nach allem, was wir wissen und auch in den letzten Monaten beobachtet haben, ist es nicht unwahrscheinlich, dass Angreifer versuchen könnten, die Verfügbarkeit eines Impfstoffs zu sabotieren, indem sie seine Entwicklung oder sogar seine Verteilung durch einen gezielten Angriff verzögern oder verhindern. Auf diese Gefahr wies nun auch das Bundeskriminalamt hin und befürchtet „ein verstärktes Interesse von staatlichen Angreifergruppierungen“. Aber wäre eine Sabotage mittels Cyberangriffen überhaupt möglich?

Reale Vorbilder: Angriffe auf die Produktion

Auch wenn bereits erste Unternehmen kurz vor einer Zulassung stehen, arbeiten weltweit noch zahlreiche Forscher und Unternehmen an der Entwicklung von Impfstoffen. Dieser Wettlauf hat die Pharmaunternehmen dazu veranlasst, schneller denn je zu arbeiten und Versuchsphasen zu durchlaufen. Der erhöhte Druck macht sie jedoch auch ausgesprochen anfällig für einen Cyberangriff mit dem Ziel, die Entwicklung eines Impfstoffs zu stoppen. Man könnte dieses Szenario mit dem Stuxnet-Angriff vergleichen: Die USA und Israel versuchten das iranische Atomprogramm zu torpedieren und schleusten hierfür die Malware in die automatisierten Maschinenprozesse in den Fertigungsbetrieben des Irans ein.

Ein weiterer möglicher Weg, wie ein Impfstoff durch einen Cyberangriff kompromittiert werden könnte, liegt auf der Herstellungsebene. Ein Angriff dieser Art zielt speziell darauf ab, die Impfstoffformel zu manipulieren und richtet sich auf die mit dem Internet verbundene Betriebstechnik (OT) und auf industrielle Netzwerke. Hierzu könnten Angreifer in die IT-Systeme der Produktionsstätten eindringen – entweder über eine VPN-Verbindung oder über einen Benutzer oder Anbieter, der einen unsicheren Fernzugriffsmodus verwendet. Von dort aus könnte sich beispielsweise Ransomware von der IT in das OT-Netzwerk ausbreiten und für verheerende Schäden sorgen. Die Auswirkungen des recht einfach gestrickten WannaCry-Angriffs sind uns allen noch in lebhafter Erinnerung.

Impfstoffe sind hochkomplexe Substanzen, die aus verschiedenen Proteinen zusammengesetzt sind und ein nahezu perfektes chemisches Gleichgewicht benötigen, um wirksam zu sein. Schon kleine Änderungen an der Formel können die Wirksamkeit deutlich beeinträchtigen. Auch hierfür gibt es reale Beispiele: Bei einer Attacke auf die israelische Wasserbehörde Anfang des Jahres haben die Angreifer versucht, den Chlorgehalt der öffentlichen Wasserversorgung zu manipulieren.

Werden diese Cyberangriffe auf die Produktion rechtzeitig erkannt, könnte der Impfstopf zwar nachproduziert werden, allerdings unter hohem Zeit- und Kostenaufwand. Erkennt man Angriffe aber erst nach der Verteilung, so hätte dies unbekannte, möglicherweise gravierende Folgen für die Gesundheit der Empfänger.

Neben der Produktion stellt auch die Lagerung und die recht aufwändige Logistik mögliche Angriffspunkte dar. Millionen von Dosen müssen zunächst gelagert und dann verteilt werden. In Anbetracht der empfindlichen Natur der Impfstoffe müssen diese – je nach Hersteller – entweder gekühlt oder bei minus 70 Grad aufbewahrt werden. Hieraus ergibt sich ein möglicher Ansatzpunkt für Sabotage: Angreifer könnten die entsprechenden Temperaturkontrollsysteme anvisieren und die Lagertemperatur manipulieren, wodurch die Wirksamkeit der Impfstoffe stark reduziert werden würde. Ebenso bietet die Logistik enorme Möglichkeiten eines „erfolgreichen“ Angriffs. Wie ein Cyberangriff ein weltweit agierendes Logistikunternehmen komplett lahmlegen kann, konnten wir 2017 in Folge des NotPetya-Angriffs bei Maersk beobachten. Im Bereich der Impfstoffe könnte ein Ransomware-Angriff die Terminplanungssoftware beeinträchtigen, was zu Verzögerungen bei der Auslieferung führen und den Zeitplan für die Verteilung der Impfstoffe beeinflussen könnte. Zudem könnten Lagerräume nicht mehr zugänglich sein und Transportrouten ausfallen. Die vernetzten Systeme, geschaffen, um die Prozesse zu optimieren und den Betreibern Transparenz in die Lieferketten zu ermöglichen, könnten so die Prozesse zum Erliegen bringen.

Aber wie wahrscheinlich ist ein Angriff auf den Impfstoff? Drei Punkte sollten einem zu denken geben: Es geht um sehr viel Geld, die Unternehmen und Organisationen stehen unter enormen Druck und einige Cyberkriminelle hatten keine Skrupel, in den letzten Monaten die Pandemie zu nutzen, um beispielsweise gezielt Krankenhäuser anzugreifen. Insofern ist es von größter Bedeutung, dass alle beteiligten Unternehmen und Organisationen entsprechende Sicherheitsmaßnahmen umsetzen. Hierbei kommt es vor allem auf folgende Punkte an:

  • Die Sicherheitsverantwortlichen müssen über eine vollständige Transparenz über alle verwendeten Systeme verfügen. Nur so ist es möglich, sofort zu bemerken, wenn sich etwas Ungewöhnliches ereignet. Entsprechend kommt der kontinuierlichen Überwachung der Netzwerke sowohl bei der proaktiven Verhinderung von Angriffen als auch bei der schnellen Reaktion darauf eine Schlüsselrolle zu.
  • Sicherheit hört nicht an der eigenen Unternehmensgrenze auf: Impfstoffhersteller müssen mit ihren Partnern und Zulieferern eng zusammenarbeiten, um sicherzustellen, dass alle die gleichen Cybersicherheitsstandards durchsetzen. Die Cyberabwehr ist bekanntermaßen immer nur so stark wie ihr schwächstes Glied.
  • Es empfiehlt sich zudem, sich an den Hinweisen von Cybersecurity-Organisationen oder Behörden zu orientieren. So empfehlen beispielsweise die CIA und die NSA einen Resilienzplan für die OT, also einen gut ausgearbeiteten Reaktionsplan auszuarbeiten, bevor es zu einem Zwischenfall kommt, sowie eine möglichst weitgehende Reduzierung der externen Exposition von OT-Netzwerken.
  • Die Cybersicherheitsverantwortlichen der betroffenen Branchen sollten die aktuelle Situation nutzen, ihre Position zu stärken und ihre Geschäftsführungen für das (lebenswichtige) Thema (industrielle) Cybersecurity zu sensibilisieren. Und diese sind dazu bereit: In den letzten Monaten konnten Führungskräfte erkennen, welchen Beitrag die entsprechenden Technologien und Prozesse für die notwendigen Umstellungen im Speziellen und die digitale Transformation im Allgemeinen leisten.

Gerade der letzte Punkt gilt für alle Unternehmen, auch jene, die an keinen Impfstoffen arbeiten und sich nicht als Ziel von Cyberkriminellen oder staatlich unterstützten Angreifern sehen. Denn kein Unternehmen ist zu klein oder zu unbedeutend, um nicht Ziel und Opfer einer Cyberattacke zu werden.

 

Über den Autor / die Autorin:


Guilad Regev leitet als Global SVP of Customer Success den Support und die professionellen Dienstleistungen des OT-Security-Spezialisten Claroty. Er verfügt über eine mehr als 20-jährige Branchenerfahrung und war u.a. bei Kenshoo und Microsoft tätig.

Max Rahner leitet das Sales Engineer-Team von Claroty im deutschsprachigen Raum. Zuvor arbeitete er sowohl im Maschinen- und Anlagenbau als auch im IT-Security-Bereich, wodurch er ein besonders tiefes Verständnis für die Anforderungen im Bereich OT-Security gewinnen konnte.