Absicherung kritischer Infrastrukturen

Wenn der Hacker das Kraftwerk kapert

| Autor / Redakteur: Olaf Mischkovsky* / Stephan Augsten

Abenddämmerung: Etliche Unternehmen haben verschalfen, sich gut abzusichern, nun müssen es gesetzliche Vorgaben richten.
Abenddämmerung: Etliche Unternehmen haben verschalfen, sich gut abzusichern, nun müssen es gesetzliche Vorgaben richten. (Bild: Archiv)

Durch das Internet der Dinge (IoT) und die zunehmende Vernetzung aller Lebensbereiche werden nicht nur IT-Systeme angreifbarer, sondern die Gesellschaft insgesamt. Mit scheinbar wenigen Klicks können Hacker ein ganzes Land lahmlegen. Die Betreiber kritischer Infrastrukturen müssen sich noch besser dagegen rüsten.

Hacker greifen immer öfter erfolgreich kritische Infrastrukturen an. Jüngstes Beispiel ist die Cyber-Attacke auf Energieversorger in der Ukraine: Die Malware Trojan.Disakil, die der Hackergruppe Sandstorm zugeschrieben wird, legte die Stromversorgung lahm. Die Gruppe hatte zuvor auch Ziele wie die NATO sowie verschiedene westeuropäische Energieversorger angegriffen – die Ukraine ist somit kein Einzelfall, sondern reiht sich nahtlos in die Kette bisheriger Ereignisse ein.

Nur selten ist eine Attacke so simpel, wie es angesichts der Berichterstattung scheint. Trotzdem wird es Cyber-Kriminellen oftmals zu einfach gemacht. Denn mit dem schnellen Wachstum des Internets der Dinge hielt eine Komponente nicht Schritt: die Sicherheit. Sowohl auf der Hersteller- als auch auf der Implementierungsseite stand die Vernetzung von Geräten, Systemen und Anwendungen im Vordergrund.

Während ein vernetzter Kühlschrank für die meisten Cyber-Kriminellen ein eher unattraktives Ziel ist, sieht dies bei Energieversorgern, Wasserwerken oder Banken bereits ganz anders aus. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Liste mit kritischen Infrastrukturen erstellt, die besonderen Richtlinien folgen müssen. Dazu gehören insgesamt neun Sektoren.

Hierzu zählen neben Energie- und Wasserversorgung sowie Finanz- und Versicherungswesen auch die Bereiche Ernährung, Staat und Verwaltung, Wasser, Informations- und Telekommunikationstechnologie, Gesundheit, Medien und Kultur sowie Transport und Verkehr. Das BSI stellte dazu in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 fest: „Für kritische Infrastrukturen besteht grundsätzlich die gleiche Gefährdungslage wie für andere Wirtschaftsunternehmen“.

Kritische Infrastrukturen: attraktives Ziel für Cyberkriminelle

Das Thema Energie ist ein besonders attraktives Ziel, denn es ist deutlich vielschichtiger, als auf den ersten Blick vielleicht angenommen. Durch den Ausbau intelligenter Netze (Smart Grids) und einem immer häufigeren Einsatz smarter Zähler (Smart Meter), die ihre Daten remote übertragen, bietet sich nicht nur eine größere Anzahl von Angriffspunkten als in der Vergangenheit.

Es bietet sich auch die Möglichkeit, sozusagen auf einen Schlag Internet, Telefon, TV, Rundfunk oder die Gesundheitsversorgung (beispielsweise Krankenhäuser) lahmzulegen, denn sie alle sind von Energie abhängig. Darüber hinaus käme das komplette gesellschaftliche Leben zum Erliegen – so wie in der Ukraine teilweise geschehen. Doch wie können sich Energieversorger und andere Unternehmen, deren Leistungen als kritischen Infrastrukturen definiert sind, vor erfolgreichen Cyber-Angriffen schützen?

Eine Lösung für alles nicht empfehlenswert

Ideal wäre natürlich, Security direkt bei der Planung von Anlagen, Produkten und Netzen zu berücksichtigen. Da aber die meisten Systeme sehr lange Lebenszyklen haben, ist dies häufig weder möglich noch sinnvoll. Denn die Anlagen oder Systeme laufen vielleicht noch zehn Jahre oder länger robust weiter – sie einfach auszutauschen wäre weder finanziell noch produktionstechnisch vernünftig.

In einem solchen Fall sollten Firmen ein Sicherheitskonzept entwickeln und definieren, welche Komponenten besonders geschützt werden sollen. Im Anschluss daran wird ein holistisches Sicherheitskonzept entwickelt: Dazu gehört unter anderem das automatische Monitoring von Cyber-Bedrohungen, Endpoint Protection, die Verschlüsselung von Daten sowie Lösungen, die mobile Endgeräte mit einbinden und schützen.

Darüber hinaus sollten Unternehmen auch eine Systemhärtung in Betracht ziehen. Dabei werden Betriebssysteme, Datenbanken oder Anwendungen um Funktionen erleichtert, die sie für ihren konkreten Einsatzzweck nicht benötigen. Ebenso gehören Technologien wie die Systemsperre (System Lockdown) dazu, mit der sich das Ausführen von Programmen einschränken oder das Starten sicherer Anwendungen garantieren lässt. Beides reduziert die Angriffspunkte für Hacker, auf das System zugreifen zu können.

Abhilfe durch „Security by Design“ bei neuen Systemen

Werden neue Systeme, Versorgungsnetze oder Anlagen geplant, muss Security Bestandteil der Planung sein. Die Betreiber von kritischen Infrastrukturen müssen zunächst ermitteln, welche Sicherheitsrisiken für ihre Anlagen bestehen und welche Auswirkungen erfolgreiche Angriffe haben könnten. Dabei müssen sie auch rechtliche Vorgaben wie das IT-Sicherheitsgesetz vom Juli 2015 und Compliance-Regeln beachten.

Der Aspekt IT-Sicherheit sollte in jeder Phase des Lebenszyklus einer kritischen Infrastruktur berücksichtigt werden. In der Praxis bieten sich Maßnahmen an wie die Trennung auf der Netzwerk-Ebene zwischen dem Unternehmensnetz und den Netzwerksystemen in der Produktionsumgebung. Die Schnittstellen zwischen beiden „Welten“ sollten mithilfe von Firewalls geschützt werden.

Unverzichtbar ist, den Zugriff auf Systemkomponenten abzusichern, etwa mithilfe von Virtual Private Networks (VPN) und Authentifizierungstechniken. Dabei gilt es auch, den Zugang zu solchen Systemen von mobilen Endgeräten aus zu berücksichtigen, etwa Smartphones und Tablets. Letztlich benötigen kritische Infrastrukturen eine durchgängige Sicherheitsarchitektur, die alle Ebenen miteinbezieht: den Rand des Netzwerks, die Zugangspunkte zu internen und externen Netzwerken, die Host-Systeme sowie Betriebssysteme und Anwendungen.

Für ICS-Komponenten, für nur selten oder gar keine Updates veröffentlicht werden, stehen zudem spezielle Lösungen bereit, etwa Symantec CSP (Critical System Protection). Sie riegeln Steuerung- und Kontrollkomponenten ab und ermöglichen nur das Ausführen von Anwendungen, die speziell für diese Systeme freigegeben wurden. Ein solches umfassendes Sicherheitskonzept ist unumgänglich. Denn die Zahl der Angriffspunkte wird weiter zunehmen. Dazu tragen Faktoren wie Smart Metering im Energiesektor sowie das Internet der Dinge (Internet of Things, IoT) bei. Die Gefahr von Cyber-Angriffen auf kritische Infrastrukturen wird daher erheblich ansteigen.

* Olaf Mischkovsky (CISSP, CCSK) ist Distinguished Systems Engineer bei der Symantec Deutschland GmbH.

Kommentar zu diesem Artikel abgeben
Uff, wird gleich korrigiert. Vielen Dank für den Hinweis Stephan Augsten Redakteur...  lesen
posted am 01.03.2016 um 09:43 von Stephan_Augsten

Bei den 9 KRITIS Bereichen ist Gesundheit doppelt, Wasser fehlt ...  lesen
posted am 01.03.2016 um 09:38 von Unregistriert

Danke für diesen Artikel!  lesen
posted am 29.02.2016 um 12:23 von R87Bürger


Mitdiskutieren

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43878574 / Sicherheitsvorfälle)