Energieversorger im Fokus von DDoS-Attacken

Das Internet der Dinge ist innerhalb der Energiewirtschaft zur neuen Realität geworden. Es spielt eine nicht unwesentliche Rolle beim Verwalten der Stromverteilung und des Stromverbrauchs und es trägt dazu bei das Energienetz insgesamt schneller und flexibler zu machen.

Damit ist eine ganze Reihe von Vorteilen verbunden. Etwa, wenn es darum geht erneuerbare Energien besser an das Stromnetz anzupassen oder Services insgesamt zuverlässiger zu machen. Aber es gibt natürlich auch eine Schattenseite. Immer mehr der in der Energiewirtschaft verwendeten Betriebssysteme halten eine Verbindung zum Internet aufrecht. Damit sind sie potenziell denselben Angriffsszenarien ausgesetzt wie andere Branchen auch. Eines davon: Distributed Denial of Service-Angriffe (DDoS).

Anzeige

Aktuelle DDoS-Angriffe sind eine ernstzunehmende und mittlerweile sehr reale Herausforderung für Sicherheit und Verfügbarkeit. Infrastrukturbetreiber können sich keine Ausfallzeiten, ja nicht ein Mal kurzfristige Beeinträchtigungen der Latenz leisten. Beides würde sich praktisch in Echtzeit auf die Bereitstellung essentieller Dienste auswirken. Der Schutz dieser kritischen Infrastrukturen ist also nicht ganz ohne Grund zu einer der Top-Prioritäten geworden. Das gilt sowohl für UK, wo zuletzt Strafen in Millionenhöhe diskutiert wurden, wenn Infrastrukturbetreiber nicht in der Lage sind, ihre Netzwerke wirksam vor Cyberangriffen zu schützen. Ähnlich hat das die Bundesregierung gesehen und das Gesetz zum Schutz kritischer Infrastrukturen KRITIS vor wenigen Jahren ungewohnt zügig verabschiedet.

Ein Ausfall des Energieversorgungsnetzes hat potenziell verheerende Folgen. Das gilt für Transportwege, Gesundheitswesen, die Sicherstellung der Nahrungsmittelversorgung und praktisch jede Komponente einer kritischen Infrastruktur ist selbst abhängig von einem funktionierenden Netz.

In einem jüngst von Accenture veröffentlichten Report haben annähernd zwei Drittel der Befragten Führungskräfte aus dem Energiesektor (63 %) eingeräumt, dass in ihrem Land innerhalb der kommenden fünf Jahre mindestens ein moderates Sicherheitsrisiko für eine erfolgreiche Cyberattacke auf das Energienetz besteht. Im Juli dieses Jahres sind Inhalte von Reports des National Cyber Security Centre in UK durchgesickert. Sie legen sogar nahe, dass es möglicherweise bereits eine ganze Serie von Cyberangriffen auf das britische Energieversorgungsnetz gegeben haben könnte.

Ein Grund für die offensichtlich steigende Zahl von Bedrohungen ist der Trend der Energieversorger sich von einer zentralen und damit gut geschützten Stromversorgung hin zu einer dezentralen Versorgungsstruktur zu bewegen. Dazu gehören sehr viel kleinere Einheiten, nicht zuletzt auf Basis der erneuerbaren Energien. Im August dieses Jahres fanden niederländische Forscher heraus, dass Hacker in der Lage sein könnten, das Energieversorgungsnetz anzugreifen indem sie eine Sicherheitsschwachstelle in Solarmodulen ausnutzen. In ihren Tests konnten die Forscher zeigen, dass es für einen Angreifer aus der Ferne möglich ist, den Wechselrichter innerhalb der Solarpanels unter ihre Kontrolle zu bringen. Dieser wandelt die Solarenergie um, so dass sie im Netz des betreffenden Energieversorgers genutzt werden kann. Ein Hacker, der diesen Wechselrichter remote steuert, wäre so in der Lage die Energieeinspeisung an solchen Stellen zu unterbrechen.

Andere ernsthafte Sicherheitsbedenken betreffen die wachsende Zahl internetfähiger Geräte, die in der Energietechnologie verwendet werden. Unabhängige Versorger sehen sich mit einer wachsenden Zahl von IoT-Geräten in privaten Haushalten konfrontiert, etwa Hubs im vernetzten Haus oder andere intelligente Appliances. Bis Ende 2020 sollen dazu intelligente Verbrauchsmesser in praktisch jedem Haushalt eingebaut werden um den Verbrauch automatisch zu messen. Die meisten dieser Systeme sind internetfähig und damit potenziellen Angriffen ausgesetzt wie etwa DDoS-Attacken.

Der Energiesektor ist natürlich nicht die einzige Branche, die sich mit diesen Herausforderungen konfrontiert sieht. Grundsätzlich sind alle kritischen Infrastrukturen eines Landes wachsenden Risiken ausgesetzt. Darunter eine immer größere Zahl an besonders ausgefeilten Angriffen, von denen man vielfach annimmt, dass andere Nationalstaaten primär dafür verantwortlich sind. Etwa um politische Umbruchssituationen zusätzlich zu schüren oder wegen eines taktischen Vorteils im Cyberkriegsszenario. DDoS-Angriffe, die sich erst jüngst gegen das schwedische Transportnetzwerk richteten, haben dort für massive Verspätungen im Bahnverkehr gesorgt und Reiseservices lahmgelegt. Und im Mai demonstrierte die Ransomware-Attacke WannaCry welchen Auswirkungen ein Cyberangriff hat wenn Menschen auf essentielle Dienstleistungen des täglichen Lebens nicht mehr zugreifen können.

In diesem Licht betrachtet sind empfindliche Strafen wie in UK und entsprechende Gesetzen wie in Deutschland mit KRITIS erste und ganz offensichtlich notwendige Schritte. In der Freedom of Information Study hat über ein Drittel der Betreiber von kritischen Infrastrukturen in UK (39 %) eingeräumt, die von der Regierung vorgegebenen grundlegenden Cybersicherheitsstandards noch nicht umgesetzt zu haben. 51 % der befragten Versorger sind zudem potenziell anfällig für quasi getarnte DDoS-Angriffe, also solche, die nur sehr kurz sind und wenig Bandbreite für sich beanspruchen. Nur in den seltensten Fällen sind Technologien implementiert, die auch solche Angriffe frühzeitig erkennen und abwehren.

Immer noch macht eine Reihe von Verantwortlichen den Fehler, DDoS-Angriffe auf die simplen Volumenattacken zu reduzieren, die dieser Bedrohung einst ihren Namen gegeben haben. Aber auch DDoS-Angriffe haben sich inzwischen weiterentwickelt. Etliche Hacker nutzen sie inzwischen als eine Art Vorläuferangriff für einen nachfolgenden schwereren. Die überwiegende Zahl von DDoS-Angriffen auf unsere Kunden hat weniger als 10 Gbps und dauert im Schnitt weniger als 10 Minuten.

Aufgrund ihrer geringen Größe bleiben diese Angriffe nicht selten unentdeckt. Sie reichen allerdings aus, um beispielsweise eine Firewall oder ein Intrusion Prevention System kurzfristig auszuschalten.

Dieses Zeitfenster reicht Hackern in den allermeisten Fällen um ins Netzwerk zu gelangen, sich dort umzusehen und anschließend eine Malware zu installieren oder Daten abzuziehen. Zieht man dann noch in Betracht, dass es Unternehmen durchschnittlich 191 Tage kostet eine Datenschutzverletzung in ihrem Netzwerk aufzudecken, gibt das Angreifern beim Lancieren schwerwiegender Nachfolgeangriffe einen beunruhigenden Zeitvorsprung.

Die Bedrohungen sind real und es werden täglich mehr. Trotzdem bringt gerade der Energiesektor recht gute Voraussetzungen seine Sicherheitsmaßnahmen zu verbessern. Aufgrund der Arbeitsschutzbestimmungen innerhalb der Branche sind die meisten Verantwortlichen und Mitarbeiter mit Risikomanagement einigermaßen vertraut. Der Begriff der „Situational Awareness“ wird gemeinhin verstanden und akzeptiert. Es ist ein vergleichsweise kleiner Sprung die bestehende Sicherheitskultur auf „Cybersicherheit“ auszuweiten und die notwendigen Schritte einzuleiten.

Angriffe werden aber nicht nur intelligenter. Unternehmen sehen sich zunehmend technologisch gut ausgestatteten und kapitalkräftigen Angreifern ausgesetzt. Angesichts dessen ist es wichtiger denn je genau zu wissen was im Netzwerk vor sich geht um Unregelmäßigkeiten so früh wie möglich aufzudecken. Traditionell ist in der Energiebranche die Netzwerkabteilung für die DDoS-Abwehr zuständig und weniger die IT-Abteilung. Heutzutage sollten beide Hand in Hand arbeiten, da DDoS-Attacken gerne in Kombination mit anderen Angriffsvektoren wie Malware, Ransomware oder APTs benutzt werden. Die verschiedenen Abteilungen sollten an dieser Stelle zusammenarbeiten, damit DDoS-Aktivitäten mit anderen auftretenden Bedrohungen korreliert werden können. Dazu braucht man in aller Regel entsprechende Technologien, die einerseits die nötige Netzwerktransparenz herstellen und die andererseits automatisch in Echtzeit reagieren. Und man muss alle potenziellen Schwachstellen im Netzwerk kennen und verstehen. Keine ganz leichte Aufgabe.

Marcel Leitel, Corero Network Security

www.corero.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.