:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Absicherung kritischer Infrastrukturen Wenn der Hacker das Kraftwerk kapert
Durch das Internet der Dinge (IoT) und die zunehmende Vernetzung aller Lebensbereiche werden nicht nur IT-Systeme angreifbarer, sondern die Gesellschaft insgesamt. Mit scheinbar wenigen Klicks können Hacker ein ganzes Land lahmlegen. Die Betreiber kritischer Infrastrukturen müssen sich noch besser dagegen rüsten.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Hacker greifen immer öfter erfolgreich kritische Infrastrukturen an. Jüngstes Beispiel ist die Cyber-Attacke auf Energieversorger in der Ukraine: Die Malware Trojan.Disakil, die der Hackergruppe Sandstorm zugeschrieben wird, legte die Stromversorgung lahm. Die Gruppe hatte zuvor auch Ziele wie die NATO sowie verschiedene westeuropäische Energieversorger angegriffen – die Ukraine ist somit kein Einzelfall, sondern reiht sich nahtlos in die Kette bisheriger Ereignisse ein.
Nur selten ist eine Attacke so simpel, wie es angesichts der Berichterstattung scheint. Trotzdem wird es Cyber-Kriminellen oftmals zu einfach gemacht. Denn mit dem schnellen Wachstum des Internets der Dinge hielt eine Komponente nicht Schritt: die Sicherheit. Sowohl auf der Hersteller- als auch auf der Implementierungsseite stand die Vernetzung von Geräten, Systemen und Anwendungen im Vordergrund.
Während ein vernetzter Kühlschrank für die meisten Cyber-Kriminellen ein eher unattraktives Ziel ist, sieht dies bei Energieversorgern, Wasserwerken oder Banken bereits ganz anders aus. Daher hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Liste mit kritischen Infrastrukturen erstellt, die besonderen Richtlinien folgen müssen. Dazu gehören insgesamt neun Sektoren.
Hierzu zählen neben Energie- und Wasserversorgung sowie Finanz- und Versicherungswesen auch die Bereiche Ernährung, Staat und Verwaltung, Wasser, Informations- und Telekommunikationstechnologie, Gesundheit, Medien und Kultur sowie Transport und Verkehr. Das BSI stellte dazu in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 fest: „Für kritische Infrastrukturen besteht grundsätzlich die gleiche Gefährdungslage wie für andere Wirtschaftsunternehmen“.
Kritische Infrastrukturen: attraktives Ziel für Cyberkriminelle
Das Thema Energie ist ein besonders attraktives Ziel, denn es ist deutlich vielschichtiger, als auf den ersten Blick vielleicht angenommen. Durch den Ausbau intelligenter Netze (Smart Grids) und einem immer häufigeren Einsatz smarter Zähler (Smart Meter), die ihre Daten remote übertragen, bietet sich nicht nur eine größere Anzahl von Angriffspunkten als in der Vergangenheit.
Es bietet sich auch die Möglichkeit, sozusagen auf einen Schlag Internet, Telefon, TV, Rundfunk oder die Gesundheitsversorgung (beispielsweise Krankenhäuser) lahmzulegen, denn sie alle sind von Energie abhängig. Darüber hinaus käme das komplette gesellschaftliche Leben zum Erliegen – so wie in der Ukraine teilweise geschehen. Doch wie können sich Energieversorger und andere Unternehmen, deren Leistungen als kritischen Infrastrukturen definiert sind, vor erfolgreichen Cyber-Angriffen schützen?
Eine Lösung für alles nicht empfehlenswert
Ideal wäre natürlich, Security direkt bei der Planung von Anlagen, Produkten und Netzen zu berücksichtigen. Da aber die meisten Systeme sehr lange Lebenszyklen haben, ist dies häufig weder möglich noch sinnvoll. Denn die Anlagen oder Systeme laufen vielleicht noch zehn Jahre oder länger robust weiter – sie einfach auszutauschen wäre weder finanziell noch produktionstechnisch vernünftig.
In einem solchen Fall sollten Firmen ein Sicherheitskonzept entwickeln und definieren, welche Komponenten besonders geschützt werden sollen. Im Anschluss daran wird ein holistisches Sicherheitskonzept entwickelt: Dazu gehört unter anderem das automatische Monitoring von Cyber-Bedrohungen, Endpoint Protection, die Verschlüsselung von Daten sowie Lösungen, die mobile Endgeräte mit einbinden und schützen.
Darüber hinaus sollten Unternehmen auch eine Systemhärtung in Betracht ziehen. Dabei werden Betriebssysteme, Datenbanken oder Anwendungen um Funktionen erleichtert, die sie für ihren konkreten Einsatzzweck nicht benötigen. Ebenso gehören Technologien wie die Systemsperre (System Lockdown) dazu, mit der sich das Ausführen von Programmen einschränken oder das Starten sicherer Anwendungen garantieren lässt. Beides reduziert die Angriffspunkte für Hacker, auf das System zugreifen zu können.
Abhilfe durch „Security by Design“ bei neuen Systemen
Werden neue Systeme, Versorgungsnetze oder Anlagen geplant, muss Security Bestandteil der Planung sein. Die Betreiber von kritischen Infrastrukturen müssen zunächst ermitteln, welche Sicherheitsrisiken für ihre Anlagen bestehen und welche Auswirkungen erfolgreiche Angriffe haben könnten. Dabei müssen sie auch rechtliche Vorgaben wie das IT-Sicherheitsgesetz vom Juli 2015 und Compliance-Regeln beachten.
Der Aspekt IT-Sicherheit sollte in jeder Phase des Lebenszyklus einer kritischen Infrastruktur berücksichtigt werden. In der Praxis bieten sich Maßnahmen an wie die Trennung auf der Netzwerk-Ebene zwischen dem Unternehmensnetz und den Netzwerksystemen in der Produktionsumgebung. Die Schnittstellen zwischen beiden „Welten“ sollten mithilfe von Firewalls geschützt werden.
Unverzichtbar ist, den Zugriff auf Systemkomponenten abzusichern, etwa mithilfe von Virtual Private Networks (VPN) und Authentifizierungstechniken. Dabei gilt es auch, den Zugang zu solchen Systemen von mobilen Endgeräten aus zu berücksichtigen, etwa Smartphones und Tablets. Letztlich benötigen kritische Infrastrukturen eine durchgängige Sicherheitsarchitektur, die alle Ebenen miteinbezieht: den Rand des Netzwerks, die Zugangspunkte zu internen und externen Netzwerken, die Host-Systeme sowie Betriebssysteme und Anwendungen.
Für ICS-Komponenten, für nur selten oder gar keine Updates veröffentlicht werden, stehen zudem spezielle Lösungen bereit, etwa Symantec CSP (Critical System Protection). Sie riegeln Steuerung- und Kontrollkomponenten ab und ermöglichen nur das Ausführen von Anwendungen, die speziell für diese Systeme freigegeben wurden. Ein solches umfassendes Sicherheitskonzept ist unumgänglich. Denn die Zahl der Angriffspunkte wird weiter zunehmen. Dazu tragen Faktoren wie Smart Metering im Energiesektor sowie das Internet der Dinge (Internet of Things, IoT) bei. Die Gefahr von Cyber-Angriffen auf kritische Infrastrukturen wird daher erheblich ansteigen.
* Olaf Mischkovsky (CISSP, CCSK) ist Distinguished Systems Engineer bei der Symantec Deutschland GmbH.
(ID:43878574)
:quality(80)/p7i.vogel.de/wcms/fb/44/fb44ef753bfc3f08ec5578ae3d4356ec/0115098456.jpeg "Mit der zunehmenden Digitalisierung und dem Ausbau von leistungsfähigen Gigabitnetzen sind unsere Wirtschaft, die kritischen Infrastrukturen und nicht zuletzt unsere öffentliche Sicherheit substanziell von widerstandsfähigen Telekommunikationsdiensten abhängig. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/f9/43f910642bd83463fa547d977240d79e/0108873810.jpeg "Das Funktionieren Kritischer Infrastrukturen ist für das Gemeinwesen unverzichtbar (Bild: colorfield – stock.adobe.com)")