Die grösste Benzin-Pipeline in den USA hat den Betrieb nach dem Hackerangriff vom 7. Mai schrittweise wieder aufgenommen. Das teilte die Betreibergesellschaft Colonial mit. Laut 'Bloomberg' hat die Firma entgegen früheren Berichten fast 5 Millionen Dollar an Lösegeld bezahlt. Die Transaktion sei bloss Stunden nach dem Hack abgewickelt worden, sagten zwei anonyme Quellen demnach.

Die Hacker hätten umgehend ein Decryption-Tool zur Verfügung gestellt. Dieses sei aber derart langsam gewesen, dass Colonial ihre Systeme von einem Backup neu aufsetzte. Offiziell wollte sich bei der Betreibergesellschaft niemand zur Angelegenheit äussern.

Colonial warnte, dass es noch mehrere Tage dauern dürfte, bis die Anlage wieder normal läuft. Sie war Ende letzter Woche offline genommen worden, um die Bedrohung durch die Malware einzudämmen. Der Betrieb der Pipeline kam dadurch komplett zum Erliegen, was in Teilen des Landes Benzin-Engpässe verursachte.

Die Lage hatte sich zuletzt verschärft. Im Bundesstaat North Carolina etwa war nach Angaben der Marktanalysefirma Gasbuddy zur Wochenmitte an fast zwei von drei Tankstellen kein Benzin mehr erhältlich. In Virginia seien 44% der Tankstellen betroffen, in South Carolina und in Georgia seien es jeweils 43%.

Auch in anderen Bundesstaaten im Südosten der USA kam es demnach zu Engpässen. Die Knappheit hat die Benzinpreise auf den höchsten Stand seit 2014 getrieben und teilweise zu turbulenten Szenen an Tankstellen geführt. So ist es laut Berichten zu Panikkäufen gekommen und zu Schlägereien an Zapfsäulen.

Die Ransomware-Gang Darkside, die hinter dem Vorfall steckt, hat bereits ein neues Opfer gefordert: der japanische Technologiekonzern Toshiba. Toshiba Tec, ein Hersteller von Zahlungssystemen, Bar-Code-Druckern und Kopierern, sei Anfang Mai in Europa von der Gruppe gehackt worden, erklärte die Frankreich-Vertretung des Unternehmens. Der Firma lag ein Screenshot vor, aus dem hervorging, dass Darkside Zugang zu 740 Gigabyte an Daten hatte, darunter Passnummern und andere Personendaten.

Erst gerade war bekannt geworden, dass der Chemie-Multi Brenntag 4,4 Millionen Dollar an Darkside überwiesen hat. Laut 'Bleepingcomputer' war der US-Arm des deutschen Unternehmens Anfang Mai Opfer der Bande geworden. Diese erklärte 150 Gigabyte an Daten des Konzerns mit seinen 17'000 Angestellten gestohlen zu haben.

Die öffentlich zugängliche Website von Darkside ist indes nicht mehr online, sie wurde einigen Sicherheitsforschern zufolge gesperrt. Sie wird genutzt, um Daten von Opfern zu veröffentlichen, die kein Lösegeld zahlen. Einige Darkweb-Experten vermuten aber auch, dass die Bande damit die Strafverfolgung erschweren will.

"Darkside wird sich wahrscheinlich zurückziehen und umbenennen, so wie wir es bei anderen Darknet-Ransomware-Betreibern in der Vergangenheit beobachtet haben, als sie ins Visier der Strafverfolgungsbehörden gerieten", zitiert 'Bloomberg' Mark Turnage, Mitbegründer von Darkowl, einer Darkweb- und Cyber-Forschungsfirma.

In den USA war der Vorfall rund um die Colonial-Pipeline offenbar ein Weckruf: US-Präsident Joe Biden unterzeichnete eine Verfügung zur Cybersecurity. Diese sieht nach Angaben des Weissen Hauses vor, dass die Standards für stärkere Cyber-Schutzmassnahmen in der Bundesregierung modernisiert und verbessert werden. Auch bei der Entwicklung von Software für die Bundesregierung sollen künftig höhere Sicherheitsmassstäbe gelten. IT-Dienstleister sollen zudem verpflichtet werden, bestimmte Informationen über ein Eindringen in ihre Netzwerke mit den Behörden zu teilen.

Für die Reaktion der Behörden auf Cyberangriffe soll ein Drehbuch entworfen werden. Die Verfügung sieht die Einrichtung eines Gremiums mit Vertretern der Regierung und der Privatwirtschaft vor, das nach Cyberangriffen konkrete Empfehlungen zur Verbesserung der Sicherheitsmassnahmen geben kann.

Das Weisse Haus teilte mit, öffentliche und private Einrichtungen in den USA seien zunehmend ausgeklügelten Cyberangriffen sowohl von staatlichen Akteuren als auch von Kriminellen ausgesetzt. Die jüngsten Vorfälle zeigten, dass die derzeitigen Schutzmassnahmen unzureichend seien. Damit dürfte neben dem Pipeline-Hack besonders der ausgeklügelte Supply-Chain-Angriff auf Solarwinds gemeint sein.