IT-Sicherheit meets KRITIS

Was Kritische Infrastrukturen brauchen

Kommentar  16.01.2020
Von 


Uwe Kissmann leitet seit 2016 die Accenture Cyber Security Services für Accenture in Europa, Afrika und Latein-Amerika. Er ist Experte für die Umsetzung hoch entwickelter Sicherheitsarchitekturen, die operative, finanzielle und geschäftsrelevante Aspekte erfolgreich mit den technologischen Anforderungen vereinen.
Kritische Infrastrukturen (KRITIS) waren als Ziele von Cyberangriffen lange Zeit nur etwas für staatliche Akteure. Das hat sich drastisch geändert - und erfordert neue Wege und Mittel, wenn es um deren Schutz geht.

Die sogenannten kritischen Infrastrukturen standen schon immer im Fokus, wenn es zwischen Staaten zu Scharmützeln oder gar kriegerischen Auseinandersetzungen kam. Gezielte Angriffe auf sie gelten als ein erprobtes Mittel zur Vorbereitung nachfolgender, militärischer Angriffe. Heute sind sie – in Ergänzung zu den rein militärischen Bedrohungsszenarien - jedoch ein zunehmend beliebteres Ziel bei Cyberaktivisten und kriminellen Hackern, weil sie sich für Lösegeldforderungen eignen. Problematisch dabei: Viele der sogenannten Kritischen Infrastrukturen sind zwar nicht mehr in der Hand des Staates, spielen aber bei der Sicherung der Grundbedürfnisse der Bürger, wie zum Beispiel Strom, Wasser oder Gesundheit eine wichtige Rolle. Wer trägt also für deren Sicherung die Verantwortung? Und: Was konkret kann und muss zur Sicherung der kritischen Infrastrukturen getan werden?

Der Schutz Kritischer Infrastrukturen erfordert im digitalen Zeitalter neue Wege und Mittel. Wir verraten Ihnen, warum und welche das sind.
Der Schutz Kritischer Infrastrukturen erfordert im digitalen Zeitalter neue Wege und Mittel. Wir verraten Ihnen, warum und welche das sind.
Foto: Jeffrey Liao - shutterstock.com

Die Digitalisierung bietet unzählige Vorteile: Dienstleistungen werden transparenter und einfacher erreichbar. Vieles ist miteinander vernetzt, wodurch das Leben leichter wird. An mancher Stelle birgt die zunehmende Vernetzung aber auch Ansatzpunkte für neue Gefährdungsszenarien. Gegenwärtig wird viel über die Digitalisierung der Gesundheitsversorgung und eine elektronische Patientenakte diskutiert. Auf den ersten Blick sind die Vorteile nicht von der Hand zu weisen. Haus- und Fachärzte sowie Kliniken haben stets den aktuellen Stand der Daten eines Patienten, für den sie gemeinsam an einer erfolgreichen Behandlung arbeiten. Doch überall, wo es um Vernetzung geht, besteht ein Risiko. Kein Netzwerk lässt sich zu 100 Prozent sichern. Auch nicht, wenn es Teil einer Kritischen Infrastruktur ist.

Was sind Kritische Infrastrukturen?

Laut der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) fallen unter KRITIS „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Daraus ergibt sich, dass durch einen wie auch immer gearteten Angriff auf KRITIS Störungen des öffentlichen Lebens ausgelöst und potenzielle Gefahren für Leib und Leben der Staatsbürger heraufbeschworen werden können. Kein Wunder also, dass derartige Sabotageakte schon weit vor dem Beginn der Cyber-Bedrohungen zum Kriegsrepertoire gehörten. Geändert hat sich der Aufwand, den man betreiben muss, um erfolgreich zu sabotieren. Die Bedrohungslage wird zunehmend asymmetrisch, das heißt die Aufwände für die Verteidigung steigen stärker, als die notwendigen Investitionen zur Durchführung wirkungsvoller Angriffe.

In früheren, physischen Angriffszenarien auf Kritische Infrastrukturen ging es um gut ausgebildete Spezialisten, die sich in fremde Staaten einschlichen und mit großem logistischen Aufwand Sabotageakte vorbereiteten. Es war viel Geld nötig, um diese Expertise auszubilden und vorzuhalten. Als Finanziers der Akteure kamen nur Staaten in Fragen, weil nur diese über die entsprechenden Ressourcen verfügten. Doch hat sich die Situation grundlegend geändert. Nicht nur, weil Saboteure heute aus der Nachbarschaft kommen können. Auch, weil der Staat zwar immer noch für die Befriedigung der Grundbedürfnisse seiner Bevölkerung zuständig ist, ein Teil der entsprechenden Infrastruktur aber inzwischen privatisiert wurde.

Vor allem fehlen mangels Erfahrung effektive Notfallszenarien für durch kriminelle Hacker ausgelöste Krisen. Für die meisten „analogen Gefahren“ gibt es – nicht zuletzt durch die jahrelange Erfahrung und der daraus resultierenden Lernkurven - eine Vielzahl an Katastrophenplänen und Notfallteams, die nach Katastrophen aller Art helfen, die Lage in den Griff zu bekommen. Bei Cyber-Angriffen besteht diese Routine (noch) nicht, erst recht nicht, wenn es sich bei dem Ziel um eine Kritische Infrastruktur handelt.

KRITIS - Spionage vs. Zerstörung

Grundsätzlich haben sich im KRITIS-Umfeld zwei Typen von Cyber-Angreifern herauskristallisiert:

Gerade Letztere haben ein großes Interesse daran, möglichst lange unentdeckt zu bleiben. aufgrund diverser Erfahrungen davon ausgegangen werden, dass – gerade im KRITIS-Bereich - bereits vielerorts unentdeckt Trojaner eingeschleust wurden, die im Angriffsfall aktiviert werden. Dies zeigen diverse, hochspezialisierte Cyber-Assessments , welche weit mehr als nur Standardverletzlichkeiten aufspüren können, in der Praxis immer wieder auf. Es gibt auch vereinzelt Attacken, die eine Kombination aus Zerstörung und Spionage abbilden.

In der Vergangenheit waren fortschrittliche Angriffe in ihrer Planung und Durchführung sehr aufwendig, so dass meist staatliche Organisationen hinter den Akteuren vermutet wurden. In einigen Fällen glaubt man, die staatlichen Auftraggeber zu kennen. Inzwischen ist die Planung und Durchführung von Cyber-Angriffen allerdings bei weitem keine staatliche Domäne mehr. Sogenannte Exploit Kits machen es quasi für jedermann möglich, Schwachstellen in den Sicherheitsmaßnahmen auszunutzen. Bei Exploit Kits handelt es sich um Baukästen, mit denen halbwegs talentierte IT-Experten mit einigen, wenigen Klicks bösartige Software (die sogenannte Malware) erstellen können. Professionelle Software-Entwickler, denen Informationen über Schwachstellen in IT-Anwendungen bekannt sind, haben hier eine lukrative Einnahmequelle gefunden. Das gilt auch für ihre Kunden, kriminelle Hacker, die sich der Exploit Kits bedienen. War es früher nur mit großem Aufwand möglich Lücken in IT-Sicherheitssystemen zu finden, entfällt diese Arbeit heute: Die Entwickler der Exploit Kits liefern diese mit garantiert offenem Einfallstor. Das bedeutet Hackerangriffe sind nicht nur für jedermann erschwinglich geworden, ihre Trefferquote liegt auch im sehr hohen, zweistelligen Prozentbereich.

Erste Auswirkungen lassen sich seit geraumer Zeit beobachten. Immer häufiger geraten auch Kritische Infrastrukturen ins Visier von Cyberkriminellen. In jüngster Zeit wurden Krankenhäuser attackiert und mit Lösegeldforderungen überzogen, ganze Städte kauften sich frei – wobei Experten dazu raten vermeintliche Lösegelder eher in die Verbesserung der Cyber-Sicherheit zu investieren. Ein Horrorszenario, das immer wieder heraufbeschworen wird, ist der grossräumige, gezielte Ausfall der Stromversorgung. Und tatsächlich ist das gar nicht unrealistisch.

Angriffe auf industrielle Kontrollsysteme (ICS – Industrial Control Systems) konnten mehrfach nachgewiesen werden. Mit zunehmenden Datenquellen im Internet der Dinge (IoTInternet of Things) geraten SCADA-Anwendungen und industrielle Kontrollsysteme in das Blickfeld der Hacker. Dabei handelt es sich um Lösungen zur Erfassung und Weiterverarbeitung von Betriebsdaten. Beide, sowohl ICS als auch SCADA-Anwendungen, gehören im KRITIS-Umfeld zum Alltag.

Wie schützt man Kritische Infrastrukturen?

Privatwirtschaftliche Betreiber Kritischer Infrastrukturen rufen nach dem Staat, wenn es um den wirksamen Schutz gegen Angriffe auf die IT-Sicherheit geht. Doch die Reaktionszeiten der meisten Regierungen sind für die Wirtschaft viel zu ausufernd, um das Problem anzugehen. Ein Beispiel ist die im August 2016 in Kraft getretene NIS-Richtlinie, eine Art europäischer Leitfaden für die Netzwerk- und Informationssicherheit. Die Umsetzung der Richtlinie erfolgte fast ein Jahr später (im Juni 2017) und die EU-Mitgliedsstaaten hatten bis Mai 2018 Zeit, das Gesetz auf nationaler Ebene zu verabschieden. Die NIS-Richtlinie zielt darauf ab, das Niveau der IT Security in KRITIS-Umgebungen zu erhöhen. Ob sie jedoch kurzfristig für mehr Sicherheit sorgt, darf durchaus bezweifelt werden. Die Betreiber kritischer Infrastrukturen müssen im Sinne ihrer Kunden selbst tätig werden.

Häufig liest man den Ratschlag, dass die Ausbildung des Personals der Schlüssel zu geisteigerter IT-Sicherheit sei, und zumeist sind hier die Spezialisten vor Ort gemeint. Das ist zwar wichtig, aber zu kurz gesprungen. Natürlich ist es ein Problem, dass Angriffe durch die entsprechenden Abteilungen erst viel zu spät erkannt werden. Und stets an den veränderten Angriffsszenarien orientierte Schulungen können gewiss Abhilfe schaffen. Doch geht die Unwissenheit im Unternehmen viel weiter. Die IT-Landschaften sind zumeist relativ gut gesichert, die Mitarbeiter bieten die Einfallstore an. Zumal sogenannte „Schläfer-Software“ zunächst unbemerkt bleibt und ihre schädliche Wirkung erst zeitverzögert entfacht. Komplett vernachlässigt wird in den Unternehmen und Behörden der Aufbau und das regelmäßige Erproben eines Notfallszenarios.

Oftmals fehlen Antworten auf die Frage: Was müssen wir tun, wenn wir attackiert wurden? Gerade hier erlebt man in der Praxis regelmäßig einen unglaublich hohen Überraschungseffekt, wenn ein Angriff dann tatsächlich stattfindet. Die Erfahrungen von beigezogenen Incident-Response-Teams bestätigen dies immer wieder aufs Neue. Auf diesen Erfahrungen aufbauend können die Betreiber kritischer Infrastrukturen eigene Notfallpläne entwickeln. Ob sie gefährdet sind und wo sich Lücken im Cybersicherheits-System befinden, lässt sich über den Einsatz von Red-Teaming-Tests herausfinden. Dabei greifen für einen IT-Dienstleister oder IT-Sicherheits-Unternehmen tätige Hacker kontrolliert die vorhandenen Sicherheitsmechanismen an. Gelingt es dieses, in friedlicher Absicht agierenden Angreifern, Zugang zu sensiblen Daten zu erlangen, ist es alternativlos die gefundenen Lücken umgehend zu schließen. (fm)