Alles sicher?

23.03.2021 – Mit der zunehmenden Digitalisierung des Energiesektors steigt die Verwundbarkeit dieser kritischen Infrastruktur gegenüber Cyberangriffen und IT-Sicherheitsvorfällen: Allein 2020 wurden dem Bundesamt für die Sicherheit der Informationstechnik (BSI) 100 Vorfälle aus der Versorgungswirtschaft (Energie und Wasser) gemeldet – nur der Gesundheitssektor ist stärker betroffen.

Nach mehr als zwei Jahren europäischer Ermittlungsarbeit meldete das Bundeskriminalamt am 18. Februar 2021 einen entscheidenden Schlag gegen die Cyberkriminalität. Die Infrastruktur, von der aus die Malware Emotet – eine gefährliche Kaskade unterschiedlicher Schadprogramme – in die Systeme von Unternehmen oder öffentlichen Einrichtungen gespielt wurde, sei zerschlagen worden. Wie die Strafverfolgungsbehörden meldeten, wurden mehr als 100 Server, davon 17 in Deutschland, gefunden. Dieses Ergebnis verdeutlicht, dass es sich bei Cyberkriminellen um hochprofessionelle, bestens ausgestattete Gruppen handelt. Der aktuelle IT-Lagebericht 2020 des BSI nennt dazu eindrucksvolle Zahlen: Insgesamt 117 Millionen neue Schadprogramm-Varianten, mehr als 300.000 neue Schadprogramme und bis zu 20.000 neue Bot-Infektionen täglich. Selbst große IT-Anbieter, die genau aus diesem Grund Millionen in die Sicherung ihrer Systeme stecken, können die Zäune nicht immer hoch genug bauen: Das zeigt die seit Anfang März bekannte Sicherheitslücke bei Microsoft, über die auch zigtausende Microsoft-Exchange Server in Deutschland über das Internet angreifbar geworden waren. Das BSI rief die höchste IT-Bedrohungslagestufe rot aus.

pixabay_markusspiske_Frank-Peters_Shutterstock-com
Bilder: pixabay (markusspiske); Frank Peters / Shutterstock.com

Cyber-Kriminalität: Eine reale Bedrohung auch für die Versorgungswirtschaft

Natürlich ist auch die Versorgungswirtschaft im Visier der Täter und im Zuge der Digitalisierung heute sicher verwundbarer als zu den Zeiten, als Schaltpläne auf Papier gezeichnet, Messwerte in Excellisten eingetragen und Aufträge per Fax verschickt wurden. Digitale Komponenten und Prozesse, vernetzte Objekte im Internet of Things sind jederzeit angreifbar.

Erkenntnisse aus Nachweisen von KRITIS-Betreibern
In den Sektoren Energie und Wasser ist erkennbar, dass ein Großteil der festgestellten Mängel in den Kategorien Netztrennung, Notfallmanagement und physischer Sicherheit liegt. Eine funktionierende Netztrennung ist zur effektiven Abwehr von Angriffen wichtig. Sie unterbindet den unbefugten Zugang aus dem Internet oder aus Büronetzen in Produktionsnetze und damit zur kritischen Dienstleistung und detektiert unbefugte Aktivitäten an eventuell vorhandenen Netzübergängen. Das Notfallmanagement lebt durch funktionierende Regelungen und Prozesse. Seine große Bedeutung wird gerade durch die COVID-19-Pandemie deutlich, […] wenn aus Gründen der Notfallbewältigung geltende Sicherheitsregeln geändert oder sogar gelockert werden müssen, während zeitgleich weniger IT-Fachleute in den Organisationen verfügbar sind. Mängel bei der physischen Sicherheit sind nicht weniger wichtig, erfordern aber einerseits typischerweise eine längere Planung. […] Von Freigaben in den Unternehmen bis hin zu Baugenehmigungen und deren Umsetzung liegen teilweise lange Zeiträume bis zur endgültigen Behebung der Mängel.
BSI: Die Lage der IT-Sicherheit in Deutschland 2020
www.bsi.bund.de

Das ist keine Theorie, wie der Blick in den aktuellen Bericht des BSI zeigt: „Im Berichtszeitraum gab es in den Sektoren Energie und Wasser mehrere Vorfälle, die auf Störungen in für den Betrieb der Kritischen Infrastrukturen notwendigen Steuerungskomponenten zurückzuführen waren. Die Störungen mussten mit teilweise erheblichem Aufwand, mitunter über einen Monat hinweg, behoben werden.“ Zurück in die Steinzeit ist natürlich keine Option, denn ohne digitale Prozesse und Anlagen wären heute weder eine nachhaltige Versorgung noch der wirtschaftliche Betrieb der Stadtwerke und Versorger zu gewährleisten. Auch der Klimaschutz braucht die Digitalisierung.

Tatsächlich könnten die Folgen eines großen Cyberangriffs auf unsere Versorgungsinfrastruktur dramatisch sein – und sie reichen potenziell umso weiter, je stärker Prozesse und Systeme miteinander verbunden sind. Auch ganz banale Vorfälle können hier fatale Konsequenzen haben: Man stelle sich nur vor, in dem großen Rechenzentrum in Straßburg, das vor einigen Tagen niederbrannte, wären Daten und Prozesse eines Versorgers gespeichert oder gehostet worden…

Wie geht Cybersicherheit?

Darum verpflichtet der Gesetzgeber die Betreiber Kritischer Infrastrukturen auch, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“ (BSI-Gesetz – BSIG, § 8a Sicherheit in der Informationstechnik Kritischer Infrastrukturen).“ Doch wie ist diese Verpflichtung einzulösen?

Deutsche wie europäische Behörden und Fachverbände arbeiten seit Jahren kontinuierlich an Konzepten und Regularien, um Sicherheitslücken systematisch zu schließen, Bedrohungen zu identifizieren und Schutzstandards zu etablieren. All das ist sehr sinnvoll – nur so wird das Bewusstsein für die vorhandenen Bedrohungen geschärft, ein Austausch zwischen Anwendern, Technologieanbietern und Dienstleistern kommt in Gang und Best Practices werden für alle Unternehmen verfügbar. Doch die genannten Institutionen agieren bekanntermaßen nicht ganz so agil wie ein Hackernetzwerk, ihre Abstimmungsprozesse dauern deutlich länger als die Entwicklungszyklen für Schadsoftware. Die Gesetzgebung und die Fachgremien können demnach nur einen prozessualen Rahmen für die Umsetzung der Schutzkonzepte im Versorgungsunternehmen bieten.

Prozesse, Profis und Geld

Stadtwerke und Versorger erkennen zunehmend, dass Cyber- und IT-Sicherheit keine reine Formalie darstellen, die sich mit dem Nachweis entsprechender IT-Lösungen erledigen lässt. Es bedarf qualifizierter Fachkräfte mit entsprechenden Ressourcen und Befugnissen, die dafür sorgen, dass die Sicherheit von allen Mitarbeitenden bei allen Prozessen mitgedacht und ernst genommen wird. Und es bedarf Investitionen in technische Lösungen und externe Fachkompetenzen. Bei aller Euphorie über die vielfältigen Vorzüge der Digitalisierung in Unternehmens-, Betriebs- und Kundenprozessen sollte man auch bereit sein, den Preis für die gesteigerte Effizienz und Qualität zu zahlen. (pq)

Weitere Beiträge zum Thema Cybersicherheit:

Betrachtung über alle Ebenen, Dr. Stephan Hutterer, Sprecher Automation GmbH

Sicherheit in komplexen Netzwerken

Aktuelle Cyber-Angriffe

Wasseraufbereitungsanlage Oldsmar (USA)
Anfang Februar 2021 wurde ein Hackerangriff auf eine Wasseraufbereitungsanlage im US-Bundesstaat Florida bekannt. Die Täter hatten sich Zugriff auf das IT-System der Stadt Oldsmar verschafft und den Anteil von Natriumhydroxid im Wasser mehr als verhundertfacht. Mitarbeiter der Anlage in Oldsmar hätten nach Angaben der dortigen Behörden die „potenziell gefährliche“ Änderung sofort bemerkt und rückgängig gemacht.

ENTSO-E (Belgien)
Im Frühjahr 2020 informierte der Verband Europäischer Übertragungsnetzbetreiber (ÜNB) ENTSO-E, der insgesamt 42 Verteilnetzbetreiber aus 35 Ländern repräsentiert, über einen erfolgreichen Ransomware-Angriff in einem Büronetzwerk. Die Organisation gab keine Details über die Art des Eindringens oder den ursprünglichen Vektor bekannt. Es wurde mitgeteilt, dass das Netzwerk des ENTSO-E-Büros nicht mit einem operativen ÜNB-System verbunden gewesen sei. Lediglich der Dateiaustausch zwischen dem finnischen ÜNB Fingrid und ENTSO-E sei betroffen gewesen.

Technische Werke Ludwigshafen (Deutschland)
Der regionale Energieversorger wurde im Februar 2020 Opfer einer Phishing-Kampagne. Dabei war es Hackern gelungen, Kundendaten wie Namen, Adressen und Kontodaten sowie Geschäftsdaten zu ergattern. Die bei dem Angriff vermutlich eingesetzte Ransomware der Gruppe Clop gehört laut dem Cybersicherheit-Anbieter Rhebo zu einem Strang hochspezialisierter Schadsoftware, die in einzelnen Varianten sogar mit legitimer Signatur erhältlich sei. Dadurch könnten gängige Abwehrmechanismen, wie sie in Firewalls und typischen Intrusion Detection Systemen zur Anwendung kommen, umgangen werden.

Share