Der CERT Polska 2025 Energy Sector Incident Report erinnert daran, dass viele Cybervorfälle nicht mit fortschrittlichen Techniken oder unbekannten Exploits beginnen. Stattdessen beginnen sie mit grundlegenden Schwachstellen, die nie behoben wurden. Standard-Anmeldedaten. Unüberwachter Zugriff. Protokolle, die Angreifer löschen können. Backups, die nicht die tatsächlich wichtigen Systeme umfassen.
Bei mehreren der beschriebenen Vorfälle mussten sich die Angreifer nicht besonders anstrengen. Die Umgebung spielte ihnen bereits in die Hände.
Wie die Angriffe Gestalt annahmen
Der Bericht beschreibt mehrere Vorfälle, bei denen Angreifer über bekannte Wege eindrangen. Phishing-E-Mails, bösartige Anhänge, kompromittierte Websites und exponierte Dienste waren dabei häufige Ausgangspunkte. Sobald ein einzelner Endpunkt kompromittiert war, konzentrierten sich die Angreifer darauf, sich unauffällig zu bewegen und dabei legitime Tools und Standardprotokolle zu verwenden.
Geräte innerhalb interner Netzwerke wurden oft als sicher angesehen. Diese Annahme erwies sich als falsch. Netzwerkgeräte, Verwaltungsschnittstellen und Betriebssysteme wurden manchmal mit Standard- oder gemeinsamen Anmeldedaten bereitgestellt. In einigen Fällen benötigten Angreifer überhaupt keine Exploits und konnten sich einfach einloggen.
Auch der Fernzugriff spielte eine Rolle. VPN-Verbindungen wurden nicht immer genau überprüft, und die Authentifizierungskontrollen variierten je nach Umgebung. Sobald die Verbindung hergestellt war, nutzten die Angreifer RDP-Sitzungen und SMB-Dateifreigaben, um sich lateral zu bewegen, sich in den normalen Datenverkehr einzufügen und eine sofortige Erkennung zu vermeiden.
Warum Standard-Anmeldedaten nach wie vor eines der größten Risiken darstellen
Standard-Anmeldedaten sind nach wie vor eines der am leichtesten vermeidbaren Risiken, tauchen jedoch weiterhin in realen Vorfällen auf. Der Bericht macht deutlich, dass dies nicht nur Geräte betrifft, die mit dem Internet verbunden sind. Auch interne Systeme, darunter OT-Komponenten und Verwaltungsserver, wurden mit unveränderten Anmeldedaten oder umfassenden Administratorrechten belassen.
Angreifer suchen zuerst nach diesen Lücken. Wenn sie sie finden, erlangen sie schnell und unbemerkt die Kontrolle.
Das Ändern von Standard-Anmeldedaten, das Einschränken gemeinsamer Konten und das Durchsetzen der Verantwortlichkeit für privilegierten Zugriff sind keine fortgeschrittenen Maßnahmen, sondern vielmehr Grundlagen. Wenn diese fehlen, wird alles andere schwieriger.
Eine Erkennung nach der Ausführung kommt zu spät
Es ist erwähnenswert, dass in einigen Fällen Endpoint-Sicherheitstools bösartige Aktivitäten tatsächlich erkannt haben. Dadurch konnte der Schaden begrenzt werden. Allerdings erfolgte die Erkennung oft erst, nachdem die Malware bereits ausgeführt wurde.
Sobald die Malware ausgeführt wird, können Angreifer Anmeldedaten stehlen, Konfigurationen ändern und sich dauerhaft im System einnisten. An diesem Punkt wird die Reaktion komplexer und störender.
Der Bericht unterstreicht, wie wichtig es ist, Dateien vor ihrer Ausführung zu überprüfen. E-Mail-Anhänge, Downloads und Dateien, die über Wechselmedien eingeführt werden, sollten gescannt und bereinigt werden, bevor sie überhaupt in Betriebssysteme gelangen. Das Stoppen von Bedrohungen am Einstiegspunkt reduziert den späteren Reinigungsaufwand.
Überwachen Sie, was Angreifer tatsächlich verwenden
Mehrere in dem Bericht beschriebene Vorfälle betrafen eher seitliche Bewegungen als auffällige Exploits: Dinge wie RDP-Sitzungen zwischen Systemen, SMB-Freigaben zum Verschieben von Tools und kleine Konfigurationsänderungen, die im Laufe der Zeit Türen öffneten.
Die Überwachung der internen Kommunikation ist von entscheidender Bedeutung. Der Ost-West-Datenverkehr erhält oft weniger Aufmerksamkeit als Aktivitäten im Internet, doch genau hier verbringen Angreifer die meiste Zeit, sobald sie sich Zugang verschafft haben.
Konfigurationsänderungen verdienen die gleiche Aufmerksamkeit. Firewall , VPN-Einstellungen und Active Directory-Berechtigungen sollten nicht unbemerkt geändert werden. Unternehmen benötigen einen klaren Überblick darüber, was geändert wurde, wer die Änderung vorgenommen hat und warum. Unerwartete Änderungen sind oft das früheste Anzeichen für eine Kompromittierung.
Protokolle und Backups: Die Teile, die Angreifer zu knacken versuchen
Der Bericht zeigt auch, wie Angreifer Protokollierungs- und Wiederherstellungsprozesse ins Visier nehmen. In einigen Fällen wurden Protokolle gelöscht oder verändert, was die Untersuchungen verlangsamte und das Verständnis der Geschehnisse einschränkte.
Audit-Protokolle sollten an einen sicheren Ort weitergeleitet werden, an dem Angreifer sie nicht verändern oder löschen können. Im Idealfall werden Protokolle nur in eine Richtung übertragen. Wenn Angreifer Protokolle löschen können, können sie ihre Spuren verwischen.
Backups erfordern das gleiche Maß an Sorgfalt. Viele Unternehmen sichern zwar Konfigurationen, übersehen jedoch Firmware, vollständige Systemabbilder und Endpunktzustände. Wenn Firmware oder Systembinärdateien kompromittiert sind, reichen Konfigurationsbackups allein nicht aus. Saubere Firmware, Server-Backups und vertrauenswürdige Endpunktabbilder sind für die Wiederherstellung unerlässlich.
Die eigentliche Erkenntnis
Der Bericht von CERT Polska beschreibt keine Ausfälle, die durch einen Mangel an Tools verursacht wurden. Er beschreibt Ausfälle, die durch vernachlässigte Grundlagen verursacht wurden, wie zum Beispiel:
- Standard-Anmeldedaten wurden beibehalten.
- Fernzugriff nicht vollständig überwacht.
- Protokolle wurden an einem Ort gespeichert, an dem Angreifer darauf zugreifen konnten.
- Malware wurde erst erkannt, nachdem sie aktiv war.
Es ist ein Glück, dass einige Angriffe entdeckt wurden, bevor sie größere Störungen verursachten. Aber Glück ist keine Kontrolle.
Energieunternehmen müssen Risiken früher in der Angriffskette reduzieren – bevor Malware ausgeführt wird, bevor Anmeldedaten missbraucht werden und bevor Angreifer ihre Spuren verwischen können. Der Bericht macht eines deutlich: Angreifer nutzen vorhersehbare Pfade. Und das bedeutet, dass Verteidiger diese schließen können.
Diese Korrekturen sind nicht außergewöhnlich, aber dringend erforderlich.
Warten Sie nicht, bis Malware ausgeführt wird, bevor Sie reagieren. Erfahren Sie, wie OPSWAT MetaDefender Bedrohungen am Eingangspunkt verhindert, indem es Dateien scannt und bereinigt, bevor sie Ihre kritischen Systeme erreichen.
