Thought Leadership
Anfang November letzten Jahres startete das US‐amerikanische Heimatschutzministerium eine einmonatige Initiative um für Sicherheitsthemen bei kritischen nationalen Infrastrukturen (CNI) zu sensibilisieren.
Während des „Critical Infrastructure Security and Resilience Month“ sollten verschiedene Angriffsformen aufgezeigt werden denen kritische Infrastrukturen ausgesetzt sind. Aber man wollte den betreffenden Betreibern auch Best‐Practice‐Ratschläge zum Schutz wichtiger Dienste an die Hand geben.
Sieht man sich Cybersicherheit im Bereich kritische Infrastrukturen an hat sich in den letzten 20 Jahren einiges geändert. Industrielle Kontrollsysteme (ICS) und SCADA‐Netzwerke sind wesentlicher Bestandteil.
der kritischen nationalen Infrastruktur eines jeden Landes. Was Cyberbedrohungen anbelangt gehören diese Systeme zu den verwundbarsten, die überhaupt verwendet werden. Etliche von ihnen wurden in einer Zeit entwickelt als Cybersicherheit noch kein Thema war. Das hat maßgeblichen Einfluss darauf wie gut sie tatsächlich geschützt sind. In der Vergangenheit lag das Hauptaugenmerk auf physischen Sicherheitsmaßnahmen, zum Beispiel dem Zugang zu Fabriken. Zu diesen physischen Maßnahmen gehörten beispielsweise autarke Netzwerke, ein Sicherheitskonzept, bei dem diese physikalisch vollkommen separiert und vom Internet isoliert sind (sogenannte Air-Gapped Networks). Ebenso wie der Bau von komplexen, mehrstufigen Zaunanlagen und der umfassende Einsatz von Sicherheitskräften.
Mit der Nutzung des Internets innerhalb von kritischen Infrastrukturen haben sich jedoch die potenziellen Zugriffspunkte auf diese Systeme vervielfacht. In modernen Industriebetrieben sind Maschinen, Geräte, Sensoren und Menschen regelmäßig mit dem Internet verbunden. Das hat praktische Vorteile. Es erleichtert nicht nur die Kommunikation, sondern die Verantwortlichen können Entscheidungen treffen und Korrekturen implementieren, ohne jemals ein Werk oder eine Fabrikhalle physisch zu betreten. Die zunehmende Vernetzung von CNI‐Umgebungen hat aber auch ihre Schattenseiten. Systeme in kritischen Infrastrukturen sind anfällig geworden für Hackerangriffe.
Das Weltwirtschaftsforum im Januar zählte nur folgerichtig Cyberangriffe auf industrielle Systeme und kritische Infrastrukturen zu den größten Risiken für die internationale Stabilität. Die Studienergebnisse von Marsh bestätigen diese Einschätzung. Laut einer Befragung vom letzten Jahr befürchten drei Viertel der Führungskräfte im Energiesektor, dass Cyber-Angriffe den Geschäftsbetrieb unterbrechen könnten, und mehr noch, dass sie sich darauf vorbereiten, ihre Investitionen in den Bereich Risikomanagement für Cybersicherheit zu erhöhen.
Der Druck wächst
Kritische Infrastrukturen tragen ihren Namen nicht zu Unrecht. Zu ihnen zählen die wichtigsten Dienste eines Landes wie die Energieversorgung, das Transportwesen, die Kommunikation und nicht zuletzt diverse Notfalleinrichtungen. Im Alltag denkt wohl kaum jemand darüber nach wie kritisch die Stromversorgung ist wenn er den Lichtschalter betätigt oder wie sehr wir von der Gasversorgung abhängig sind wenn man nur den Ofen einschaltet. Umgekehrt sieht das schon anders aus, wenn nämlich genau diese Dienste nicht funktionieren und so zur Verfügung stehen wie wir es gewohnt sind. Genau das passiert, wenn kritische Infrastrukturen angegriffen werden.
Die Anbindung des Internets an industrielle Netzwerke wie die von kritischen Infrastrukturen hat den Aktionsradius für Angreifer nicht nur erweitert. Er eröffnet ihnen vormals ungeahnte Möglichkeiten auf vielfältige Art und Weise in diese Systeme einzudringen und erheblichen Schaden anzurichten. In den letzten Jahren haben folglich die Angriffe von Cyberkriminellen und von staatlich gesponserten Akteuren auf kritische Infrastrukturen spürbar zugenommen. Die Beispiele haben Schlagzeilen gemacht und sind so auch einer breiteren Öffentlichkeit bekannt geworden. Ende 2015 nutzten Cyberkriminelle ein ausgeklügeltes Schadprogramm unter dem Namen BlackEnergy um sich bei drei verschiedenen Energieversorgern in der Ukraine in die Systeme zu hacken und die Stromversorgung lahmzulegen. Den Angreifern war es gelungen eine Malware in den Netzwerken der Energieversorger installieren. Zutritt verschafften sie sich über Spear‐Phishing‐E‐Mails an die Mitarbeiter. Bei den isolierten Netzwerken der Vergangenheit wäre das unmöglich gewesen.
Ein weiteres Beispiel. Vor kurzem haben Sicherheitsexperten GreyEnergy entdeckt, einem neuen Advanced Persistent Threat (APT), der seit rund drei Jahren aktiv kritische Infrastrukturen angreift. Bislang wurde die Malware zwar nur gegen Ziele in der Ukraine und in Polen eingesetzt. Die Experten gehen allerdings davon aus, dass GreyEnergy sich in Zukunft auf Ziele in weiteren Ländern konzentrieren wird.
Offensichtlich investieren Cyberkriminelle und Angreifer in staatlichem Auftrag viel Zeit und Energie um das ihnen zur Verfügung stehende Bedrohungsarsenal weiter zu entwickeln und für dieses Szenario zu optimieren. Und wie bei Cyberangriffen gemeinhin üblich bleiben viele dieser Angriffe unter Umständen jahrelang komplett unterhalb des Sicherheitsradars.
Sicherheit für kritische Infrastrukturen
Die Vernetzung innerhalb von kritischen Infrastrukturen hat operative Vorteile, das lässt sich nicht leugnen. Sie schafft allerdings Sicherheitsrisiken, die sich zum jetzigen Zeitpunkt noch nicht schlussendlich überblicken lassen. Will man die Vorteile der Vernetzung in einer kritischen Infrastruktur umfassend nutzen, ist es entscheidend sämtliche Netzwerke und Geräte zu erfassen und abzusichern. Jedes Gerät ist ein potenzieller Zugangspunkt für Angreifer. Dazu kommt die Pflege des bestehenden Inventars. Dabei müssen alle Geräte im Netzwerk genau erfasst werden. Auf sämtlichen Software‐ und Hardwarekomponenten sollten die neuesten Patches eingespielt sein, um Schwachstellen auszumerzen, die Angreifer sonst ausnutzen könnten. Schulungen spielen eine wichtige Rolle, um die Mitarbeiter aufzuklären und für Angriffe wie etwa Spear-Phising-Kampagnen auf kritische Infrastrukturen zu sensibilisieren, also schädliche E‐Mails und Anhänge zu erkennen.
Unternehmen müssen für unterschiedliche Schutzebenen sorgen. Das reicht vom Absichern des Netzwerks selbst bis dahin, es auf Anomalien zu überwachen, die Anzeichen für eine Cyberbedrohung sein könnten. Angriffe auf kritische Infrastrukturen / CNI nehmen zu, das ist ein Fakt. Aber sowohl der öffentliche wie der private Sektor nehmen die Bedrohungen sehr ernst und ergreifen aktiv Schritte für mehr Sicherheit und Widerstandsfähigkeit dieser Umgebungen.
Andrea Carcano, Mitgründer und CPO von Nozomi Networks
www.nozominetworks.com
