Produzenten und Versorger in den Bereichen Energie, Wasser, Finanzwesen und Gesundheit sowie Industrieunternehmen geraten zunehmend ins Visier von Angreifern. Die Folge: millionenschwere Produktionsausfälle und Versorgungsengpässe, bis hin zur Gefährdung von Menschenleben. Jüngste Beispiele sind etwa Attacken auf die größte Pipeline der USA, die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk, der Europa an den Rand eines Strom-Blackouts führte.
Auch die Cyberangriffe auf deutsche Kommunalverwaltungen, wie etwa in Anhalt-Bitterfeld, Schwerin und Witten, warfen ein Schlaglicht auf die Verwundbarkeit deutscher Behörden, bei denen große Teile der IT-Systeme ausfielen oder notfallmäßig abschaltet werden mussten. Wie rasch die Lebensmittelproduktion ins Stocken geraten kann, wurde anhand der Cyberattacke auf den drittgrößten österreichischen Molkereibetrieb deutlich, bei dem sämtliche Unternehmensbereiche von der Produktion über die Logistik bis hin zur Kommunikation betroffen waren.
Zudem zeigte der Angriff auf die Grundwasseraufbereitungsanlage Oldsmar in Florida die potenziell lebensgefährlichen Folgen einer kompromittierten kritischen Infrastruktur. Die Angreifer drangen erfolgreich in das Computersystem ein, das die Wasseraufbereitungsanlage steuerte, und manipulierten aus der Ferne einen Computer, um das chemische Gleichgewicht der Wasserversorgung zu verändern, was Menschen schwer schädigen hätte können.
Cyberkrieg: Wenn der Verhandlungspartner fehlt
Vor dem Hintergrund dieser steigenden Zahl an Angriffen, müssen sich Betreiber kritischer Infrastrukturen und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung daher nicht nur mit Erpressungsversuchen, sondern auch mit dem Thema Cyberkrieg auseinandersetzen. Denn wenn Cyberkriminelle nur ein Lösegeld fordern, können Organisationen im Vorfeld zumindest entsprechende Handlungsrichtlinien implementieren, falls es etwa zu einem erfolgreichen Ransomware-Angriff kommt.
Ist eine Cyberattacke jedoch rein politisch motiviert, und die Organisation wurde von einem feindlichen Nationalstaat nur als zufälliges Opfer ausgewählt, um ein Exempel zu statuieren, fehlt der Verhandlungspartner und die Schäden können massive Auswirkungen nicht nur auf die Geschäftsfähigkeit haben, sondern gesamtgesellschaftliche Dimensionen annehmen.
Diese neue hybride Kriegsführung wird beim Ukraine-Russland-Konflikt deutlich, bei dem digitale Angriffe militärischen bereits vorausgingen und auch zukünftig flankieren könnten. So gelang es Russland bereits 2015 durch einen großen Cyberangriff, einen Teil des ukrainischen Stromnetzes lahmzulegen, wodurch eine Viertelmillionen Ukrainer im Winter ohne Strom waren. Einen Monat vor Kriegsbeginn im Januar 2022 fand Microsoft zerstörerische Wiper-Malware in dutzenden kritischen Systemen ukrainischer Regierungsbehörden und Organisationen. Es gebe laut ukrainischer Regierung klare Hinweise, dass Russland hinter diesen Angriffen stecke. Zudem ist nicht auszuschließen, dass sich derartige Vorfälle weit über die Landesgrenzen der Ukraine ausdehnen könnten. Deutsche Sicherheitsbehörden haben bereits insbesondere Betreiber kritischer Infrastrukturen dazu aufgerufen, sich gegen mögliche Cyberattacken zu wappnen.
Deshalb ist es im Bereich KRITIS nicht nur aufgrund monetär motivierter Angriffe, sondern auch in Hinblick auf die nationale Sicherheit grundlegend, ein durchgängiges, integriertes Sicherheitskonzept für sowohl die IT- als auch OT-Infrastruktur zu implementieren, das als End-to-End-Lösung über alle Bereiche hinweg Produkte, Prozesse und qualifizierte Security-Fachkräfte umfasst.
Neue rechtliche Rahmenbedingungen für kritische Infrastrukturen
Auf die neuen digitalen Herausforderungen hat der Gesetzgeber reagiert. Und damit stehen Betreiber kritischer Infrastrukturen sowie Unternehmen im besonderen öffentlichen Interesse nicht nur durch die steigende Zahl der Cyberbedrohungen vor großen Herausforderungen, sondern auch durch die Aktualisierung der rechtlichen Rahmenbedingungen auf deutscher und europäischer Ebene.
Laut dem deutschen BSI-Gesetz sind Organisationen Betreiber von kritischer Infrastruktur, wenn sie einem der sieben Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen und Ernährung angehören, kritische Dienstleistungen erbringen und dabei die in der BSI-KRITIS-Verordnung definierten Schwellenwerte überschreiten.
Zusätzliche Auflagen für KRITIS-Betreiber im Jahr 2022 durch den Gesetzgeber
In Deutschland ist im Mai 2021 das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz 2.0 – als Ergänzung des BSI-Gesetzes in Kraft getreten. Hiermit wurde der Kreis der kritischen Infrastrukturen um den Sektor Siedlungsabfallentsorgung erweitert. Zudem müssen künftig auch weitere Unternehmen im sogenannten „besonderen öffentlichen Interesse“, wie etwa Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung, bestimmte IT-Sicherheitsmaßnahmen umsetzen.
Für Unternehmen und teilweise auch für Betreiber kritischer Infrastrukturen hat das IT-Sicherheitsgesetz 2.0 erhebliche Anpassungen zur Folge:
- Betreiber kritischer Infrastrukturen müssen spätestens bis zum 1. Mai 2023 Systeme zur Angriffserkennung implementieren.
- Zudem müssen Betreiber den geplanten erstmaligen Einsatz kritischer Komponenten dem Bundesinnenministerium anzeigen, etwa wenn der Hersteller von einem Drittstaat kontrolliert wird oder sicherheitspolitischen Zielen der deutschen Bundesregierung, EU oder NATO widerspricht.
- Unternehmen im besonderen öffentlichen Interesse werden zur regelmäßigen Abgabe einer Selbsterklärung verpflichtet. Hiermit müssen sie darlegen, welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und wie ihre IT-Systeme abgesichert wurden.
Zudem hat die Europäische Kommission zur Verbesserung der digitalen und physischen Resilienz kritischer Einrichtungen und Netze einen Vorschlag zur Reform der Europäischen NIS-Richtlinie (NIS-2) sowie eine „Richtlinie über die Widerstandsfähigkeit kritischer Einrichtungen“ vorgelegt. Diese Vorschläge haben zum Ziel, aktuelle und künftige Risiken zu minimieren. Die Umsetzung dieser europäischen Richtlinien kann daher eine erneute Überarbeitung des IT-Sicherheitsgesetzes 2.0 zur Folge haben.
Wie sieht ein integrierter Schutz kritischer Infrastrukturen aus?
Produzenten und Versorger in den Bereichen Energie, Wasser und Gesundheit sowie Industrieunternehmen, die ihre IT und Leittechnik vor Cyberangriffen schützen müssen, benötigen integrierte Lösungen, die sich im Einklang mit dem IT-Sicherheitsgesetz 2.0/BSI-Gesetz sowie den ISO-27000-Standards zur Informationssicherheit befinden. Auf der Technologieseite sollten daher folgende Kompetenzen verknüpft werden, um ein engmaschiges Sicherheitsnetz gegen Angriffe zu bilden:
Sicherheitsmodule zum Schutz kritischer Infrastrukturen:
- Logdaten-Analyse (LDA): Unter der Logdatenanalyse, auch unter Security Information and Event Management (SIEM) bekannt, versteht man das Sammeln, die Analyse und Korrelation von Logs aus verschiedensten Quellen. Daraus resultieren die Alarmierungen bei Sicherheitsproblemen oder potenziellen Risiken.
- Vulnerability-Management & Compliance (VMC): Das Schwachstellenmanagement ermöglicht kontinuierliche, interne und externe Schwachstellen-Scans mit umfassender Erkennung, Compliance Checks und Tests für eine komplette Abdeckung. Im Rahmen der Software Compliance wird die autorisierte Verwendung von Software für jeden Server bzw. jede Server-Gruppe mithilfe eines Regelwerks und einer kontinuierlichen Analyse festgestellt. Manipulierte Software kann schnell erkannt werden.
- Network-Condition-Monitoring (OT-Modul): Hiermit werden in Echtzeit Kommunikationsvorgänge gemeldet, die auf eine Störung des fehlerfreien Betriebs hinweisen. Technische Überlastungszustände, physische Beschädigungen, Fehlkonfigurationen und Verschlechterung der Netzwerkleistung werden damit umgehend erkannt und die Fehlerquellen direkt ausgewiesen.
- Network-Behavior-Analytics (NBA): Mit der Netzwerkverhaltensanalyse ist die Erkennung von gefährlicher Malware, Anomalien und anderen Risiken im Netzwerkverkehr auf Basis von signatur- und verhaltensbasierten Detection-Engines möglich.
- Endpoint-Detection & Response: Endpoint-Detection and Response steht für die Analyse, Überwachung und Erkennung von Anomalien auf Computerrechnern (Hosts). Mit EDR werden aktive Schutzaktionen und sofortige Alarmierung bereitgestellt.
Die Weiterverarbeitung der sicherheitsrelevanten Informationen aus diesen Modulen wird aufgrund der Komplexität durch Sicherheitsspezialisten durchgeführt. Sie bewerten und priorisieren die automatisiert gewonnenen Erkenntnisse. Das ist die Basis für die Einleitung der richtigen Gegenmaßnahmen. Zuletzt stellen die Sicherheitsexperten alle Informationen übersichtlich in einem zentralen Portal zur Verfügung, auf das die relevanten Stakeholder – unter anderem IT- und OT-Operations-Teams, aber auch die Geschäftsleitung – Zugriff haben oder aus dem sie regelmäßig maßgeschneiderte und für sie nachvollziehbare Berichte erhalten.
Europäische Sicherheitstechnologie zur einfachen Erfüllung gesetzlicher Vorgaben
Die Verwendung europäischer Sicherheitstechnologien ist zwar nicht im BSI-Gesetz verankert, jedoch für KRITIS-Betreiber und Unternehmen im besonderen öffentlichen Interesse empfehlenswert, um folgende gesetzliche Vorgaben einfach erfüllen zu können:
1. Einhaltung der Datenschutzgrundverordnung sowie Integrität, Authentizität und Vertraulichkeit der IT-Systeme
KRITIS-Betreiber unterliegen ebenso wie Unternehmen aller anderer Branchen den Anforderungen der EU-Datenschutzgrundverordnung (DSGVO) und haben diese zu jeder Zeit einzuhalten sowie entsprechend abzusichern.
Weiterhin fordert das BSI-Gesetz (§ 8a Absatz 1 BSIG) von Betreibern kritischer Infrastrukturen einen geeigneten Nachweis gegenüber dem BSI ihrer Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.
Mit europäischen Sicherheitsanbietern, deren Leistungen auf in Europa entwickelter Eigentechnologie basieren, ist eine Gesetzeskonformität mit den oben genannten Vorgaben einfach umzusetzen, da sie höchsten Datenschutzstandards unterliegen. Neben der Herkunft des Cybersecurity-Anbieters sollten KRITIS-Unternehmen zudem auf die Art der Einrichtung der Sicherheitssoftware und die Sammlung von Sicherheitsdaten achten. Um bestmögliche Datensicherheit zu gewährleisten, empfiehlt sich die Einrichtung von Onpremise-Lösungen als sicherste Form des Deployments. Auch wenn der Trend vermehrt Richtung Cloud geht, ist dies hinsichtlich der hohen Datensensibilität im Bereich KRITIS kritisch zu betrachten.
2. Kritische Komponenten: Vorgaben für eingesetzte Hersteller
Der Einsatz europäischer Sicherheitstechnologie erleichtert auch die Prüfung kritischer Komponenten durch das BSI gemäß § 9b BSIG. So kann das BSI den erstmaligen Einsatz einer kritischen Komponente untersagen, wenn
– der Hersteller unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird,
– der Hersteller bereits an Aktivitäten beteiligt war oder ist, die nachteilige Auswirkungen auf die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland oder eines anderen Mitgliedstaates der Europäischen Union, der Europäischen Freihandelsassoziation oder des Nordatlantikvertrages oder auf deren Einrichtungen hatten,
– der Einsatz der kritischen Komponente nicht im Einklang mit den sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der Europäischen Union oder des Nordatlantikvertrages steht.
Starke Cyber-Resilienz grundlegend für KRITIS-Organisationen
Angriffe auf kritische Infrastrukturen sind lukrativ für Cyberkriminelle. Zugleich bergen sie ein besonders hohes Schadenspotenzial für das Gemeinwesen: unter anderem Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder sogar die Gefährdung von Menschenleben.
Deshalb ist es für KRITIS-Organisationen wesentlich, dass für ihre Abwehrmaßnahmen Sicherheitsanbieter ausgewählt werden, die die Vorgaben des BSI und die ISO 27000-Standards vollumfänglich erfüllen und gleichzeitig die höchsten europäischen Datenschutzstandards angehalten werden. Die Prämisse sollte nicht nur sein, Strafzahlungen zu vermeiden, sondern insbesondere eine effektive und nachhaltige Absicherung der IT- und OT-Systeme zu gewährleisten. Eine starke Cyber-Resilienz gegen Angriffe basiert jedoch niemals allein auf Sicherheitstechnologien, sondern schließt stets die richtigen Prozesse und qualifiziertes Fachpersonal mit ein. Nur durch diesen Dreiklang von Produkt, Prozessen und Experten gelingt ein 360-Grad-Blick auf die gesamte Infrastruktur einer Organisation, um für eine ganzheitliche Früherkennung und rasche Reaktion auf Cyberbedrohungen zu sorgen.
Von Ali Carl Gülerman, CEO und General Manager, Radar Cyber Security