Thought Leadership
CISA startet „CI Fortify“: Neue Strategien sollen kritische Infrastrukturen befähigen, Cyberangriffe und totale Isolation in Krisenzeiten zu überstehen.
Die US-amerikanische Cybersicherheitsbehörde CISA (Cybersecurity and Infrastructure Security Agency) hat eine neue Sicherheitsinitiative namens „CI Fortify“ ins Leben gerufen. Die Maßnahme ist eine direkte Reaktion auf die Erkenntnis, dass staatliche Akteure ihre Infiltrationsbemühungen in kritischen Infrastrukturen intensiviert haben. Laut CISA-Angaben zielen diese Aktivitäten nicht mehr primär auf Spionage ab, sondern dienen der Vorbereitung von Sabotageakten im Falle weitreichender geopolitischer Konflikte. Die veröffentlichten Leitlinien fordern Betreiber auf, ihre Operational Technology (OT) so abzusichern, dass ein autarker Betrieb auch bei langanhaltender Isolation und aktiver Kompromittierung möglich bleibt.
Bedrohungslage durch festgesetzte staatliche Akteure
Die CISA warnt in ihrer aktuellen Mitteilung eindringlich davor, dass sich gegnerische Akteure bereits tief in kritischen Systemen und Telekommunikationsnetzen festgesetzt haben. Diese „Pre-Positioning“-Taktik dient dazu, im Falle einer Eskalation die technologische Basis der Gesellschaft, von der Stromversorgung bis zur nationalen Verteidigung, gezielt zu lähmen.
Die Behörde betont, dass herkömmliche Abwehrmechanismen oft nicht ausreichen, da die Angreifer bereits Zugriff auf interne Kommunikationswege haben. Es sei mittlerweile unzureichend, Angriffe nur verhindern zu wollen; Betreiber müssen davon ausgehen, dass der Gegner bereits im Netzwerk agiert. Insbesondere die Vernetzung von IT- und OT-Systemen wird als primäres Risiko identifiziert, da Office-Anwendungen oft als Einfallstor für die Steuerungstechnik von Industrieanlagen dienen.
CI Fortify: Gesundheit, Wirtschaft und Landesverteidigung
Mit der Initiative „CI Fortify“ reagiert die Regierung auf die veränderte Sicherheitslage. Das Programm basiert auf der Annahme, dass in einem echten Konfliktszenario der Internetzugang, die Lieferketten und Drittanbieter-Dienstleistungen unzuverlässig werden oder vollständig ausfallen könnten. Ziel des Programms ist es, dass wesentliche Dienstleister in den Bereichen Gesundheitswesen, Wirtschaft und Landesverteidigung ihre Funktionsfähigkeit auch dann aufrechterhalten können, wenn sie unter direktem Cyberbeschuss stehen oder vom globalen Netz abgeschnitten sind.
„Die Betreiber sind aufgefordert, die Leitlinien zu prüfen, ihre Empfehlungen in die Praxis umzusetzen und direkt mit der Behörde zusammenzuarbeiten, um die Verteidigung zu stärken.“
Nick Andersen, stellvertretender Direktor der CISA
Isolation als erste Säule der operativen Kontinuität
Im Zentrum von „CI Fortify“ stehen zwei Kernkompetenzen, die Betreiber laut CISA ab sofort entwickeln müssen. Die erste Fähigkeit ist die kontrollierte Isolation. Hierbei geht es um die bewusste und geplante Trennung von OT-Netzwerken von externen Verbindungen und internen Geschäftssystemen.
Das primäre Ziel ist es, die Ausbreitung eines Angriffs von der IT-Ebene auf die physischen Steuerungssysteme zu verhindern. Betreiber sollen in der Lage sein, in einen isolierten Betriebsmodus zu wechseln, der die Bereitstellung essenzieller Dienste über Wochen oder sogar Monate hinweg sicherstellt, ohne auf externe Cloud-Dienste oder Remote-Wartung angewiesen zu sein. Dies erfordert eine radikale Umstellung der bisherigen „Always-on“-Philosophie in der Industrieautomatisierung.
Wiederherstellung und manueller Notbetrieb
Die zweite Säule der Initiative ist die Wiederherstellung (Recovery). Da eine vollständige Abschottung technisch nicht immer möglich oder ausreichend ist, müssen Betreiber auf eine erfolgreiche Kompromittierung vorbereitet sein. Die CISA rät dazu, Systeme lückenlos zu dokumentieren und redundante Backups vorzuhalten, die physisch vom Netzwerk getrennt sind (Air-Gapping).
Ein wesentlicher Teil der Strategie ist zudem das Einüben von manuellen Abläufen. Personal muss darauf trainiert werden, Anlagen auch ohne digitale Unterstützung sicher zu steuern. „Der Fokus auf Segmentierung und die Aufrechterhaltung des Betriebs selbst in einem beeinträchtigten Zustand ist ein bedeutender Schritt nach vorn und entspricht eher der tatsächlichen Funktionsweise dieser Umgebungen“, erläutert Duncan Greatwood, CEO von Xage Security.
KI als Beschleuniger der Bedrohung
Die Dringlichkeit von „CI Fortify“ wird durch den technologischen Fortschritt in der Künstlichen Intelligenz verschärft. KI ermöglicht es Angreifern, Schwachstellen in Software und Hardware in einer Geschwindigkeit zu finden und auszunutzen, die menschliche Verteidiger überfordert.
„Die Betonung von Isolation und Wiederherstellung ist wichtig, um die Kontinuität während einer Störung aufrechtzuerhalten, insbesondere da kritische Infrastrukturen zunehmend im Fadenkreuz geopolitischer Spannungen stehen und KI beschleunigt, wie schnell Schwachstellen ausgenutzt werden können. Wenn Organisationen jedoch keine Kontrolle innerhalb der Umgebung haben, reicht Isolation allein nicht aus. Bedrohungen bewegen sich oft über vertrauenswürdige Verbindungen, Dritte oder kompromittierte Zugangsdaten, lange bevor eine Krisenreaktion beginnt.“
Duncan Greatwood
