Cyber-Security KRITIS benötigen ganzheitliche Sicherheitsstrategie

Autor / Redakteur: Hans-Wilhelm Dünn, Michael Kleist* / Susanne Ehneß

Kritische Infrastrukturen geraten zunehmend ins Visier von Cyber-Angreifern. Ihre Sicherheit und damit der Schutz der Bürgerinnen und Bürger erfordern geeignete Konzepte, Lösungen und Technologien. Kernelemente sind die Absicherung von IT und OT (Operational Technology) sowie eine durchgängige Prozessorientierung.

Firmen zum Thema

Das Stromnetz: Paradebeispiel für die Bedeutung von Hochverfügbarkeit
Das Stromnetz: Paradebeispiel für die Bedeutung von Hochverfügbarkeit
(© twystydigi - stock.adobe.com)

Kritische Infrastrukturen (KRITIS) sind essenziell für das tägliche Leben. Beeinträchtigungen können zu erheblichen Versorgungsengpässen oder Störungen der öffentlichen Sicherheit führen. Müssen Krankenhäuser aufgrund eines Cyber-Angriffs ihren Betrieb einstellen, können die Auswirkungen gravierend sein. Die Hacker-Attacke auf die Uniklinik Düsseldorf im September 2020, die zu einem weitreichenden Ausfall der IT-Systeme geführt hat, zeigt die Konsequenzen. Infolgedessen musste ein Rettungswagen umgeleitet werden, die Patientin starb.

Die Gefahren werden mittel- und langfristig weiter steigen, vor allem im Kontext der zunehmenden Digitalisierung und Vernetzung, etwa in der Energiewirtschaft mit dem Aufbau intelligenter Stromnetze. Dabei darf auch nicht vergessen werden, dass nicht nur einzelne Hacker mit finanziellen Beweggründen aktiv sind, sondern immer auch die Gefahr von hoch professionellen Angriffen staatlicher Organisationen besteht.

Höchste Priorität

Der Schutz kritischer Infrastrukturen muss deshalb höchste Priorität besitzen. Hochverfügbarkeit muss zu jeder Zeit gegeben sein, das heißt, der operative Betrieb ist auch bei Cyber-Angriffen aufrechtzuerhalten. Für die KRITIS-Betreiber gelten deshalb umfassende rechtliche Regelungen wie das IT-Sicherheitsgesetz, das 2021 in der Version 2.0 in Kraft treten soll. Im Vergleich zum bisher gültigen Gesetz wird es einige Erweiterungen mit sich bringen. So werden KRITIS-Betreiber verpflichtet, „Systeme zur Angriffserkennung“ einzurichten.

Doch wie ist es aktuell um die Sicherheitslage bestellt? Ohne Zweifel haben die einzelnen Branchen und Unternehmen derzeit einen unterschiedlichen Reifegrad in Sachen Sicherheit – abhängig von der Branche und der Größe des Unternehmens. Ein stark reglementierter Bereich wie die Finanzdienstleistungsindustrie muss abgesehen von Vorgaben aus dem IT-Sicherheitsgesetz, das einen eher geringen Detaillierungsgrad aufweist, sehr konkrete und strikte Anforderungen erfüllen, etwa die BAIT (Bankaufsichtliche Anforderungen an die IT) oder die MaRisk (Mindestanforderungen an das Risikomanagement).

Prinzipiell sind größere Unternehmen besser in der Cyber-Abwehr aufgestellt als kleinere und mittelständische. Der Betreiber eines Kernkraftwerks ist wesentlich besser abgesichert als etwa ein kleines kommunales Versorgungsunternehmen. Oft fehlt es Letzteren gerade an der erforderlichen Manpower oder Expertise. Zudem herrscht in manchen Branchen auch noch eine abwartende Haltung vor, gemäß dem Motto „Wo kein Auditor ist, da besteht auch keine Notwendigkeit für Änderungen“.

Der Verlauf einer identitätsbasierten Hacker-Attacke
Der Verlauf einer identitätsbasierten Hacker-Attacke
(© CyberArk)

Erforderliche Sicherheitsmaßnahmen

Die Aufgabe aus Sicherheitsperspektive lautet, Cyber-Attacken umfassend und zuverlässig zu erkennen und abzuwehren. Erforderlich hierfür ist ein ganzheitlicher Ansatz, der die IT, die OT (Operational Technology) und auch organisatorische Prozesse beinhaltet. In einem ersten Schritt ist eine Risikoanalyse unverzichtbar. Hierbei müssen alle Systeme, Komponenten, Anwendungen und Prozesse berücksichtigt werden, die für einen sicheren operativen Betrieb zwingend erforderlich sind.

Im zweiten Schritt ist ein detaillierter Handlungsplan mit einer Prioritätenliste zu erstellen. Bei der Absicherung der Infrastruktur gibt es eine Vielzahl von Maßnahmen, die ein KRITIS-Betreiber ergreifen muss. Zentrale Ansatzpunkte liegen bei den Endgeräten und beim Zugriffsmanagement sowie beim Netzwerkdesign. Klar sollte sein, dass eine starke Endgeräte-Absicherung von elementarer Bedeutung ist. Sie umfasst das kontinuierliche Patchen von Systemen zur Eliminierung bekannter Sicherheitslücken und die Überwachung der Applikationen auf den Endpunkten zur Minimierung des Malware-Infektionsrisikos. Zudem sollte ein Entzug der lokalen Administratorenrechte für Standardanwender erfolgen, um Angreifern im Fall einer Systemkompromittierung nur eingeschränkte Handlungsmöglichkeiten zu eröffnen.

Um die Sicherheitsherausforderungen in den Griff zu bekommen, müssen KRITIS-Betreiber darüber hinaus auch eine identitätsbasierte Sicherheitsstrategie verfolgen, die die Vergabe von kontextbezogenen Rechten beinhaltet. Das heißt, Anwendern werden abhängig von der durchzuführenden Tätigkeit passende Rechte gewährt. Dieser Least-Privilege- und Just-In-Time-Ansatz vermeidet eine dauerhafte Rechteansammlung und macht es damit Hackern ungleich schwerer, an ihr Ziel zu gelangen. Schließlich sollte ein Betreiber immer dafür sorgen, dass ein Angreifer nur einen möglichst kleinen Bereich infiltrieren kann. Werden prinzipiell auf breiter Front die Rechte der User eingeschränkt, kann durchaus die Frage aufgeworfen werden, ob auch ein Super-Admin in der IT überhaupt noch erlaubt sein sollte.

Selbstverständlich für den Zugriff auf kritische Ressourcen sollte zudem die Nutzung einer Lösung im Bereich Multi-Faktor-Authentifizierung sein, zum Beispiel mittels starker Authentifizierungsfaktoren wie physischer Token oder biometrischer Verfahren. Idealerweise besteht zudem die Möglichkeit, kontextabhängige Authentifizierungsrichtlinien umzusetzen.

Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland e. V.
Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland e. V.
(© Cyber-Sicherheitsrat)

Absicherung von IT und OT

Sicherheit darf allerdings kein auf die IT begrenztes Thema sein, ebenso wichtig ist die Absicherung der OT. Dabei ist zu beachten, dass in der IT oftmals ein höheres Sicherheitsniveau als in der OT herrscht. Dafür gibt es mehrere Gründe: Zum einem werden im OT-Bereich oft ältere Lösungen genutzt, für die es keine Updates mehr gibt. Zum anderen verwenden die Systeme vielfach proprietäre Betriebssysteme, Firmware und Protokolle, die nicht im Hinblick auf Sicherheit entwickelt sind beziehungsweise aus dieser Sicht veraltet sind. Sie ermöglichen zwar eine Netzwerkanbindung, die aber nie für einen Multi-User-Netzbetrieb gedacht war, das heißt, es gibt oft keine Benutzerverwaltung, geschweige denn eine Benutzerrechteverwaltung.

Problematisch ist vor allem, dass die in der Vergangenheit oft noch vorhandene strikte Trennung zwischen IT und OT in einer Zeit der zunehmenden Digitalisierung nur noch teilweise existiert. Eine hohe OT-Sicherheit kann deshalb nur gewährleistet werden, wenn die Nahtstellen ermittelt und für alle relevanten Geräte, Ports oder Verbindungen adäquate Sicherheitsmaßnahmen ergriffen werden – etwa mit der Überwachung privilegierter Zugriffe von IT-Clients auf kritische OT-Systeme und -Ressourcen und einer Unterbindung des Zugangs bei verdächtigen Aktivitäten. Im Gesundheitswesen etwa betrifft das Sicherheitsrisiko medizinische Geräte, die in die IT-Systemlandschaft integriert sind. Beispiele sind Magnetresonanz- und Computertomographen, Ultraschall- und Röntgengeräte oder Dialysemaschinen.

Michael Kleist, Regional Director DACH bei CyberArk
Michael Kleist, Regional Director DACH bei CyberArk
(© CyberArk)

IT-Sicherheit bedeutet auch Prozesssicherheit

Sicherheit darf aber nicht nur aus technologischer Sicht – also aus der IT- und OT-Perspektive – betrachtet werden, sondern muss auch organisatorische Aspekte umfassen. Es geht schließlich auch um die Prozesssicherheit. Unternehmen müssen dabei immer einen integrativen Ansatz verfolgen und Sicherheitslösungen eng miteinander verzahnen. Konkret geht es dabei um die harmonisierte Definition von Workflows oder Prozesslogiken etwa für Rollenfreigaben und die optimierte Umsetzung von Governance- und Compliance-Vorgaben in Prozesse.

Es bleibt fraglich, ob durch das kommende Sicherheitsgesetz 2.0 der IT-Sicherheit im KRITIS-Bereich eine höhere Priorität eingeräumt wird. Aber es besteht immerhin Anlass zur Hoffnung, wie das Gesundheitswesen zeigt. Die im Rahmen des Krankenhauszukunftsgesetzes bereitgestellten Fördermittel müssen immerhin zu 15 Prozent in die Verbesserung der IT-Sicherheit investiert werden.

*Die Autoren: Hans-Wilhelm Dünn ist Präsident des Cyber-Sicherheitsrats Deutschland e. V. und Michael Kleist ist Regional Director DACH bei CyberArk.

(ID:47443610)