Anzeige

Anfang November letzten Jahres startete das US‐amerikanische Heimatschutzministerium eine einmonatige Initiative um für Sicherheitsthemen bei kritischen nationalen Infrastrukturen (CNI) zu sensibilisieren.

Während des „Critical Infrastructure Security and Resilience Month“ sollten verschiedene Angriffsformen aufgezeigt werden denen kritische Infrastrukturen ausgesetzt sind. Aber man wollte den betreffenden Betreibern auch Best‐Practice‐Ratschläge zum Schutz wichtiger Dienste an die Hand geben.

Sieht man sich Cybersicherheit im Bereich kritische Infrastrukturen an hat sich in den letzten 20 Jahren einiges geändert. Industrielle Kontrollsysteme (ICS) und SCADA‐Netzwerke sind wesentlicher Bestandteil.

der kritischen nationalen Infrastruktur eines jeden Landes. Was Cyberbedrohungen anbelangt gehören diese Systeme zu den verwundbarsten, die überhaupt verwendet werden. Etliche von ihnen wurden in einer Zeit entwickelt als Cybersicherheit noch kein Thema war. Das hat maßgeblichen Einfluss darauf wie gut sie tatsächlich geschützt sind. In der Vergangenheit lag das Hauptaugenmerk auf physischen Sicherheitsmaßnahmen, zum Beispiel dem Zugang zu Fabriken. Zu diesen physischen Maßnahmen gehörten beispielsweise autarke Netzwerke, ein Sicherheitskonzept, bei dem diese physikalisch vollkommen separiert und vom Internet isoliert sind (sogenannte Air-Gapped Networks). Ebenso wie der Bau von komplexen, mehrstufigen Zaunanlagen und der umfassende Einsatz von Sicherheitskräften.

Mit der Nutzung des Internets innerhalb von kritischen Infrastrukturen haben sich jedoch die potenziellen Zugriffspunkte auf diese Systeme vervielfacht. In modernen Industriebetrieben sind Maschinen, Geräte, Sensoren und Menschen regelmäßig mit dem Internet verbunden. Das hat praktische Vorteile. Es erleichtert nicht nur die Kommunikation, sondern die Verantwortlichen können Entscheidungen treffen und Korrekturen implementieren, ohne jemals ein Werk oder eine Fabrikhalle physisch zu betreten. Die zunehmende Vernetzung von CNI‐Umgebungen hat aber auch ihre Schattenseiten. Systeme in kritischen Infrastrukturen sind anfällig geworden für Hackerangriffe.

Das Weltwirtschaftsforum im Januar zählte nur folgerichtig Cyberangriffe auf industrielle Systeme und kritische Infrastrukturen zu den größten Risiken für die internationale Stabilität. Die Studienergebnisse von Marsh bestätigen diese Einschätzung. Laut einer Befragung vom letzten Jahr befürchten drei Viertel der Führungskräfte im Energiesektor, dass Cyber-Angriffe den Geschäftsbetrieb unterbrechen könnten, und mehr noch, dass sie sich darauf vorbereiten, ihre Investitionen in den Bereich Risikomanagement für Cybersicherheit zu erhöhen.

Der Druck wächst

Kritische Infrastrukturen tragen ihren Namen nicht zu Unrecht. Zu ihnen zählen die wichtigsten Dienste eines Landes wie die Energieversorgung, das Transportwesen, die Kommunikation und nicht zuletzt diverse Notfalleinrichtungen. Im Alltag denkt wohl kaum jemand darüber nach wie kritisch die Stromversorgung ist wenn er den Lichtschalter betätigt oder wie sehr wir von der Gasversorgung abhängig sind wenn man nur den Ofen einschaltet. Umgekehrt sieht das schon anders aus, wenn nämlich genau diese Dienste nicht funktionieren und so zur Verfügung stehen wie wir es gewohnt sind. Genau das passiert, wenn kritische Infrastrukturen angegriffen werden.

Die Anbindung des Internets an industrielle Netzwerke wie die von kritischen Infrastrukturen hat den Aktionsradius für Angreifer nicht nur erweitert. Er eröffnet ihnen vormals ungeahnte Möglichkeiten auf vielfältige Art und Weise in diese Systeme einzudringen und erheblichen Schaden anzurichten. In den letzten Jahren haben folglich die Angriffe von Cyberkriminellen und von staatlich gesponserten Akteuren auf kritische Infrastrukturen spürbar zugenommen. Die Beispiele haben Schlagzeilen gemacht und sind so auch einer breiteren Öffentlichkeit bekannt geworden. Ende 2015 nutzten Cyberkriminelle ein ausgeklügeltes Schadprogramm unter dem Namen BlackEnergy um sich bei drei verschiedenen Energieversorgern in der Ukraine in die Systeme zu hacken und die Stromversorgung lahmzulegen. Den Angreifern war es gelungen eine Malware in den Netzwerken der Energieversorger installieren. Zutritt verschafften sie sich über Spear‐Phishing‐E‐Mails an die Mitarbeiter. Bei den isolierten Netzwerken der Vergangenheit wäre das unmöglich gewesen.

Ein weiteres Beispiel. Vor kurzem haben Sicherheitsexperten GreyEnergy entdeckt, einem neuen Advanced Persistent Threat (APT), der seit rund drei Jahren aktiv kritische Infrastrukturen angreift. Bislang wurde die Malware zwar nur gegen Ziele in der Ukraine und in Polen eingesetzt. Die Experten gehen allerdings davon aus, dass GreyEnergy sich in Zukunft auf Ziele in weiteren Ländern konzentrieren wird.

Offensichtlich investieren Cyberkriminelle und Angreifer in staatlichem Auftrag viel Zeit und Energie um das ihnen zur Verfügung stehende Bedrohungsarsenal weiter zu entwickeln und für dieses Szenario zu optimieren. Und wie bei Cyberangriffen gemeinhin üblich bleiben viele dieser Angriffe unter Umständen jahrelang komplett unterhalb des Sicherheitsradars.

Sicherheit für kritische Infrastrukturen

Die Vernetzung innerhalb von kritischen Infrastrukturen hat operative Vorteile, das lässt sich nicht leugnen. Sie schafft allerdings Sicherheitsrisiken, die sich zum jetzigen Zeitpunkt noch nicht schlussendlich überblicken lassen. Will man die Vorteile der Vernetzung in einer kritischen Infrastruktur umfassend nutzen, ist es entscheidend sämtliche Netzwerke und Geräte zu erfassen und abzusichern. Jedes Gerät ist ein potenzieller Zugangspunkt für Angreifer. Dazu kommt die Pflege des bestehenden Inventars. Dabei müssen alle Geräte im Netzwerk genau erfasst werden. Auf sämtlichen Software‐ und Hardwarekomponenten sollten die neuesten Patches eingespielt sein, um Schwachstellen auszumerzen, die Angreifer sonst ausnutzen könnten. Schulungen spielen eine wichtige Rolle, um die Mitarbeiter aufzuklären und für Angriffe wie etwa Spear-Phising-Kampagnen auf kritische Infrastrukturen zu sensibilisieren, also schädliche E‐Mails und Anhänge zu erkennen.

Unternehmen müssen für unterschiedliche Schutzebenen sorgen. Das reicht vom Absichern des Netzwerks selbst bis dahin, es auf Anomalien zu überwachen, die Anzeichen für eine Cyberbedrohung sein könnten. Angriffe auf kritische Infrastrukturen / CNI nehmen zu, das ist ein Fakt. Aber sowohl der öffentliche wie der private Sektor nehmen die Bedrohungen sehr ernst und ergreifen aktiv Schritte für mehr Sicherheit und Widerstandsfähigkeit dieser Umgebungen.

Andrea Carcano, Mitgründer und CPO von Nozomi Networks

www.nozominetworks.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!