Cyber-Angriff auf die Oiltanking Deutschland GmbH: Die deutsche Energieversorgung im Fadenkreuz der Geopolitik?
Am 29.1.2022 kam es zu einem Hackerangriff auf den Mineralöllieferanten Oiltanking Deutschland GmbH, der 11 der insgesamt 108 Tanklager in Deutschland betreibt. Ebenfalls betroffen ist das Schwesterunternehmen Mabanaft. Beide fallen, zumindest in Teilen, unter die BSI-KRITIS-Verordnung (BSI-KritisV) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für kritische Infrastrukturen, die ein gewisses Mindestmaß an Informationssicherheit vorschreibt.
Der Cyber-Angriff führte an den betroffenen Standorten der Unternehmen zu einem Ausfall der Software, welche die automatisierte Befüllung von Tanklastwagen steuert. Die Oiltanking Deutschland GmbH teilte mit, dass der Hackerangriff zwar zu einer „Einschränkung der Kapazität“ geführt habe, die Mineralölversorgung in Deutschland gesamtheitlich jedoch nicht gefährdet sei.
Kein Einzelfall
Zu einem ähnlich gelagerten Sicherheitsvorfall kam es im Mai vergangen Jahres, als der größte Pipelinebetreiber der Vereinigten Staaten angegriffen wurde. Der Cyber-Angriff führte dazu, dass nahezu das gesamte Tankstellennetz an der Ostküste der USA für mehrere Tage ausfiel. Hauptziel des Angriffs war das Abrechnungssystem, die eigentlichen IT-Systeme zur Steuerung der Pumpen blieben intakt. Da jedoch die Mengen gegenüber den Kunden nicht mehr abgerechnet werden konnten, stellte Colonial die Versorgung ein.
Koinzidenz oder geopolitisches Ereignis?
Ein interessanter und bisher nicht in der Breite diskutierter Aspekt bezüglich des aktuellen Angriffs auf die Tanklager in Deutschland ist, dass die Oiltanking Deutschland GmbH Mitgesellschafter des geplanten LNG-Flüssiggasterminals in Brunsbüttel ist. Sollte sich in den nächsten Wochen oder Monaten herausstellen, dass der aktuelle Angriff mit der Beteiligung der Oiltanking am LNG-Terminal in Zusammenhang steht, ist dies der akute Nachweis für die bisher nur implizit bestehende Bedrohungslage, in der sich Teile der deutschen Energieversorgung befinden. Dies muss zwingend zu einer Neubewertung der Risikoeinschätzung führen, insbesondere hinsichtlich staatlich gelenkter Angriffe auf unsere Infrastrukturen.
Reduzierung des Schadens durch effektives Risikomanagement
Vorab, ein Cyber-Angriff kann, sofern der Angreifer die technische Expertise sowie die finanziellen Mittel besitzt, auch im bestgeschützten IT-Systemverbund erfolgreich sein. Deswegen ist es notwendig, Cyber-, IT- und Informationsrisiken genau zu bestimmen und entsprechende Sicherheitsmaßnahmen zu planen und zu implementieren. Die Bestimmung von effektiven und zielgerichteten Maßnahmen sollte sich dabei stets an dem jeweiligen Cybersecurityrisk sowie dem assoziierten Businessimpact orientieren. So hat der oben aufgeführte Angriff auf das Pipelinenetz in den USA gezeigt, dass auch ein Angriff auf das nicht prozesssteuerungsrelevante Abrechnungssystem zum Ausfall der kritischen Infrastruktur führen kann.
Aus diesem Grund gilt es, Gefährdungen für den eigenen Betrieb, Auswirkungen auf nachgelagerte Infrastruktur und Wertschöpfungsketten sowie Anforderungen an Systeme und Emergency-Response-Mechanismen zu bestimmen. Transparenz über die individuelle Risikosituation ist die Grundlage für effektive Risikosteuerung und somit Voraussetzung für die Konzeption von wirksamen Maßnahmen, bevor es zum Schadensfall kommt.
Ansprechpartner*innen: Dr. Andreas Lied/Dr. Andreas Jankiewicz/Stefan Brühl/Victor Stocker
