Thought Leadership
Plötzlich geht das Licht aus – vielleicht nur ein Kurzschluss. Allerdings könnte auch ein Hacker-Angriff auf einen Energieversorger dafür verantwortlich sein, denn in letzter Zeit kommt es immer wieder zu Attacken von Cyberkriminellen auf Versorgungsbetriebe.
Der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland zeichnet ebenfalls ein beunruhigendes Bild: Der BSI geht davon aus, dass sich die Menge an IT-Sicherheitsvorfällen durch die fortschreitende Vernetzung von Gesellschaft und Wirtschaft via Internet of Things (IoT) noch erhöhen wird, da sich mit den unzähligen IoT-Geräten auch die Zahl der möglichen Angriffsziele erheblich erweitert. Künftig wird etwa durch intelligente Stromnetze oder den Einbau von Smart Metern auch unsere Energieversorgung noch angreifbarer.
Auch kritische Infrastrukturen von Cyber-Angriffen bedroht
WannaCry oder Petya/NotPetya haben verdeutlicht, wie erschreckend abhängig wir von funktionierenden digitalen Infrastrukturen und sicheren sowie hochverfügbaren Netzwerken sind. Doch hatten die meisten Hacker-, Denial-of-Service-(DoS), Malware- oder Ransomware-Angriffe bisher keine direkten physischen Schäden zur Folge, sondern begnügten sich mit dem Ausspionieren und dem anschließenden Verkauf von Daten oder der Erpressung von Geldern. Bei Sabotage-Attacken auf kritische Infrastrukturen wie Energieversorgungsunternehmen oder Netzbetreiber, die damit der KRITIS-Verordnung bzw. der Meldepflicht unterliegen, ist das allerdings der Fall. Ein durch Schadprogramme zur Überlastung geführtes Umspannwerk könnte Tage, Wochen bis Monate ausfallen, komplette Regionen lahmlegen und damit Menschenleben, Wirtschaft sowie ganze Staaten bedrohen. „In Netzwerken kritischer Infrastrukturen ist deshalb eine schnelle Reaktion auf einen Vorfall und eine rasche Problemlösung von entscheidender Bedeutung“, betont der Netzwerksicherheits-Experte James Barrett, Senior Director bei Endace Europe.
Beunruhigende Sicherheitstests im Utility-Sektor
Beispielsweise haben Penetrationstests in Deutschland und den USA gezeigt, wie schlecht Netzwerke von Energieversorgungsunternehmen und Netzbetreibern auf Cyber-Angriffe vorbereitet sind., Kommt es tatsächlich zu einem IT-Sicherheitsvorfall müssen kritische Infrastrukturen laut der KRITIS-Verordnung diese sofort nach deren Entdeckung an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Ansonsten drohen neben teilweise katastrophalen Auswirkungen für die Betroffenen auch hohe Strafen für die dafür verantwortlichen Unternehmen. Zudem werden die Stromversorger in Zusammenhang mit KRITIS dazu verpflichtet, ein Mindestmaß an IT-Sicherheitsvorkehrungen zu garantieren und im Zwei-Jahre-Turnus überprüfen zu lassen.
„Um IT-Netzwerke vollständig zu überwachen sowie Cyber-Angriffe sowie Sicherheitslücken schneller zu entdecken und für den Nachweis zu rekonstruieren, bietet es sich an, sogenannte Netzwerk-Rekorder und entsprechende Netzwerk-Monitoring-Tools einzusetzen“, so Barrett. „Diese können Energieversorger sowohl in der IT-Security als auch bei ihrer Meldeverpflichtung gegenüber dem BSI unterstützen und absichern, indem sie sämtlichen Datenverkehr aufzeichnen und überwachen sowie bei der schnellen Rekonstruktion von Vorfällen aus den historischen Daten helfen.“
Energieversorgung als Ziel für Hackergruppen
Wie schnell es zu einem Vorfall kommen kann, zeigen verschiedene Stichproben im Utility-Umfeld. Bei Sicherheitstests in amerikanischen Energiekonzernen war es in beinahe jedem absolvierten Durchlauf möglich, in weniger als 60 Minuten zur elektronischen Anlagensteuerung vorzudringen, so Branchen-Insider. Ein von den Stadtwerken Ettlingen beauftragter IT-Spezialist konnte in unter zwei Stunden das Netzwerk des deutschen Energieversorgers infiltrieren, da die IT-Sicherheitsvorkehrungen kein großes Hindernis darstellten.
Die Stromversorgung gezielt lahmzulegen, kommt dabei einer sehr wirkungsvollen Waffe gleich. Wie sich solche Angriffe abspielen könnten, zeigen zwei Stromausfälle in der Ukraine, die sehr wahrscheinlich auf das Konto einer russischen Hackergruppe mit Regierungsverbindungen gehen. Im Dezember 2015 waren plötzlich 700.000 Haushalte stundenlang ohne Strom. Die PCs eines Stromversorgers wurden mit der Schadsoftware „Black-Energy“ infiziert, die vermutlich per E-Mail an Mitarbeiter verschickt worden war. Ein Jahr später, Ende 2016, fiel in Kiew nach einem Cyber-Angriff für 75 Minuten der Strom aus. Die Auswirkungen können verheerend sein: Kommunikations- und Verkehrsnetze brechen zusammen, Steuergeräte von Maschinen sowie Computer fallen aus, etc.
Leichtes Spiel für Hacker durch veraltete Computersysteme
Sobald die meist über Social Engineering, also dem Kapern und Vortäuschen von Identitäten, eingeschmuggelte Schadsoftware in das Netzwerk einer Industrieanlage wie etwa einem Umspannwerk eingedrungen ist, kann sie dort meist ungestört arbeiten. Die hier verwendeten Steuerungsprotokolle sind oft jahrzehntealt und besitzen keine wirksamen IT-Sicherheitsvorkehrungen. Zudem lassen sich über diesen „Fuß in der Tür“ weitere Schadprogramme ins Netzwerk einschleusen.
Vor dem Hintergrund des 2015 beschlossenen IT-Sicherheitsgesetzes und des Gesetzes zur Umsetzung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS) Ende Juni 2017, die die Meldepflicht auf alle Energieversorgungsnetzbetreiber ausdehnt, müssen alle betroffenen Utility-Unternehmen den KRITIS-Mindeststandard erfüllen. Das heißt auch, dass viele Firmen in Sachen IT-Sicherheit nachrüsten müssen.
Netzwerk-Monitoring: Was können Unternehmen aus der Utility-Branche tun?
Zu den Anforderungen der IT-Security kritischer Einrichtungen zählen die Identifikation und die Meldung von Vorfällen, um Abmahnungen und Strafen durch das BSI zu verhindern, aber auch um Reputations- und tatsächliche physische Schäden zu vermeiden. „Ziel muss sein, die eigenen IT-Infrastrukturen möglichst transparent, sicher sowie hochverfügbar zu gestalten und zuverlässig überwachen zu können“, erläutert Barrett.
Firmen aus sicherheitskritischen Bereichen müssen also ihre Computersysteme besser vor Cyber-Attacken schützen. Neben anderen Maßnahmen wie etwa der Installation von Next-Generation-Firewalls oder einer Lösung für das Security Information and Event Management (SIEM), mit der sich durch eine zentrale Informationsverarbeitung abweichende Trends und Muster in Accounts und Diensten besser identifizieren lassen, sind eben die bereits angesprochenen Netzwerk-Rekorder oder -karten eine sichere Möglichkeit. „Damit lässt sich zum Beispiel der komplette Datenverkehr bei Übertragungsraten von bis zu 100 Gigabit pro Sekunde verarbeiten, indexieren und lückenlos protokollieren“, erklärt Barrett.
Um Klarheit beispielsweise über eine Schwachstelle zu erhalten oder ein verdächtiges Verhalten innerhalb eines Mitarbeiter-Accounts zu identifizieren, ist daher der Einsatz von Netzwerk-Monitoring-Tools in Verbindung mit Netzwerk-Rekordern dringend zu empfehlen. Barrett: „Durch die volle Integration von Endace-Produkten wie Netzwerk-Rekordern und Tools zur Netzwerküberwachung erhalten Sicherheitsexperten ein vollständiges Bild über die Sicherheitslage im Netzwerk. Die Priorisierung der Vorfälle erlaubt ihnen als erstes dort einzugreifen, wo es am dringendsten ist. So lässt sich durch die vollständige Netzwerk-Transparenz die durchschnittliche Zeit bis zur Behebung von Sicherheitslücken erheblich reduzieren.“
bsi.bund.de
