Kritische nationale Infrastruktur in Gefahr

LinkedInXingPocketWhatsAppFlipboard

Weltweit nimmt die Besorgnis über Angriffe auf die kritische nationale Infrastruktur (KNI) zu. Staaten betrachten diese Bedrohung zunehmend als ein Problem der nationalen Sicherheit. So zuletzt herausgestellt im Global Risk Report 2019 des Weltwirtschaftsforums.

Der Bericht wertet Cyberangriffe als eine der fünf schwerwiegendsten Bedrohungen in globaler Hinsicht. In der aktuellen Risikolandschaft nehmen sie daher einen bedeutenden Stellenwert ein, sowohl hinsichtlich der potenziellen Auswirkungen als auch hinsichtlich ihrer Eintrittswahrscheinlichkeit. Darüber hinaus konstatierte der Bericht, dass Cyberangriffe und ein möglicher Zusammenbruch kritischer Infrastrukturen die zweithäufigste Gefahr innerhalb von vernetzten Umgebungen darstellen.

Anzeige

Die wesentlichen Versorgungsbereiche eines Landes, wozu Energie-, Transport-, Kommunikations- und Notfalldienste gehören, werden als kritische Infrastruktur eingestuft. In den USA gibt es 16 verschiedenen Sektoren, in Großbritannien sind 13 gelistet. Das Bundesamt für Sicherheit in der Informationssicherheit (BSI) definiert: „Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Wenn solche Infrastrukturen kompromittiert werden, kann es zu weitreichenden Störungen und potenziellen Gefahren für Leib und Leben kommen.

Cyberangriffe auf kritische Infrastrukturen waren noch nie leichter zu bewerkstelligen als heute. Der Mythos der unzugänglichen KNI-Systeme hat längst ausgedient. Das haben verheerende Attacken wie Stuxnet, Wannacry und NotPeyta hinlänglich bewiesen.

Cybersicherheit für KNI, eine Herausforderung

In Unternehmen, die zu den KNI zählen, hat traditionell die IT die Aufgabe, kritische Geschäftsanwendungen vor den damit verbundenen Cybersicherheitsbedrohungen zu schützen. Die technischen und operativen Teams kümmern sich um das Management der betrieblichen Technologien (OT, operationelle Technologien). Inzwischen sind aus den traditionell voneinander isolierten Abteilungen IT und OT konvergente Bereiche geworden.

OT-Systeme wurden allerdings nicht im Hinblick auf Cybersicherheit entwickelt. Sicherheitsbedenken konzentrierten darauf, den unbefugten physischen Zutritt zu verhindern. Moderne Industrieanlagen verbinden inzwischen regelmäßig Maschinen, Geräte, Sensoren und Menschen mit dem Internet. Das Industrielle Internet der Dinge (IIoT) vernetzt intelligente Geräte und erlaubt es, die gesammelten Daten zu verwenden um effizienter zu produzieren und Kosten zu senken. Damit das funktioniert musste man auf die schützende Sicherheit einer Air-Gapped-OT-Umgebung verzichten. Smarte Technologien und die fortschreitende Digitalisierung kritischer Infrastrukturen haben die bisher getrennten Welten von IT und OT zusammengebracht. Vernetzung und Konvergenz bringen aber auch eine Vielzahl von neuen Einstiegspunkten für Hacker mit und haben ein ganzes Arsenal neuartiger Angriffstechniken und -vektoren entstehen lassen.

Will eine KNI von ihrer Konnektivität profitieren, müssen sämtliche der miteinander vernetzten Geräte und Netzwerke sicher sein. Der Grad dieser Sicherheit bestimmt, wie anfällig eine KNI für eine Cyberattacke ist. 

Die Taktiken

Inzwischen stehen Online-Tools zur Verfügung die es Angreifern deutlich leichter machen. Hacker haben damit zugleich die Möglichkeit, ausgefeilte und potenziell schwerwiegende Cyberangriffe auf kritische Infrastrukturen zu initiieren. Der intelligente Einsatz von Open Source-Software (OSS) oder von ICS (Industrial Control System) Malware-Frameworks gepaart mit der nötigen Motivation, schafft beste Voraussetzungen für Angriffe auf ICS-Systeme. DragonFly 2.0 ist nur ein aktuelles Beispiel bei dem die Angreifer OSS-Tools verwendeten um ICS-Systeme anzugreifen. Heutzutage erleben wir zudem immer häufiger verheerende Angriffe, die mit simplen Techniken wie Phishing ausgeführt werden.

Noch gut in Erinnerung ist der Malware-Angriff auf die Stromversorgung in der Ukraine. 230.000 Menschen waren damals ohne Strom. Drei weitere Energieversorger wurden Opfer einer Spear-Phishing-Attacke. Klickte ein Benutzer auf den betreffenden Link wurde die Malware herunter-geladen. Der Angriff wurde der Advanced Persistent Threat (APT)-Gruppe BlackEnergy zugeschrieben und gilt als einer der ersten Cyberangriffe auf KNI. Im Oktober 2018 entdeckten die Experten von ESET eine neue Malware, die als Nachfolger von BlackEnergy gilt. „GreyEnergy“ richtete sich in den letzten drei Jahren gegen Industriesysteme in der Ukraine und in Polen. Ähnlich wie BlackEnergy kam Phishing zum Einsatz um sich Zutritt zu den jeweiligen Unternehmensnetzwerken zu verschaffen. Der Angriff beginnt mit einem manipulierten Word-Dokument, das der Benutzer via E-Mail erhält. Klickt er dann auf “Inhalt aktivieren”, wird die GreyEnergy-Malware heruntergeladen. Einmal im System nutzt sie einen ausgeklügelten Code der anti-forensische Techniken verwendet um solange wie möglich unerkannt zu bleiben.

Mit der Konvergenz von IT und OT hat sich der vormalige Schutz durch air-gapped ICS-Systeme überlebt. Die Konnektivität von ISC- und SCADA-Systemen macht kritische Infrastrukturen in zunehmendem Maße anfällig für Cyberangriffe, die vormals auf IT-Systeme beschränkt waren.
BlackEnergy und GreyEnergy haben gezeigt, dass traditionelle Methoden wie Phishing zum Standardarsenal der Angreifer gehören. Der Vorteil bei Angriffen dieser Art: durch konsequente Sicherheitsmaßnahmen und Mitarbeiterschulungen lässt sich einiges tun um sie im Vorfeld zu verhindern.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Energieversorger im Fadenkreuz

Energieversorger sind unter dem Druck des Marktes gezwungen effizienter zu arbeiten und gleichzeitig ihre CO2-Bilanz zu verbessern. Das geht nur über eine stärkere Vernetzung. Eine Tatsache, die den Energiesektor ins Visier potenzieller Angreifer gerückt hat. Mit der steigenden Zahl erfolgreicher Angriffe wächst die Besorgnis unter den Regierungen weltweit. Die Geschehnisse der letzten Jahre haben denn auch nur folgerichtig das Thema Cybersicherheit für kritische Infrastrukturen auf der politischen Agenda ganz weit nach oben gerückt.

In den USA arbeiten mehr als 3.000 Versorgungsunternehmen zusammen, um Strom über 200.000 Meilen Hochspannungsleitungen zu liefern. Millionen Haushalte und Unternehmen werden von 55.000 Umspannwerken und 5,5 Millionen Meilen an Verteilerleitungen mit Strom versorgt. Bei einem Angriff auf eines dieser Netze wären Millionen Menschen ohne Strom, was zu weitreichenden Störungen und Gefahren für Leib und Leben führen würde.

Im März 2018 veröffentlichte das US-amerikanische Heimatschutzministerium (DHS) einen Bericht, in dem russische Cyberangriffe auf kritische US-Infrastrukturen beschrieben wurden. Die Identifizierung des Threat Actors ist ein eher seltenes Ereignis. Daneben enthüllte das DHS auch die strategische Absicht des Angreifers, den Zeitplan des Angriffs, die Indicators of Compromise (IOCs) sowie Maßnahmen den Angriff zu erkennen sowie Präventionsmaßnahmen.

Am 15. März 2018 veröffentlichte die US-CERT ein Advisory in welchem die russischen Cyberangriffe beschrieben wurden. Die wichtigsten Details:

  • Eine Schlüsseltaktik der Kampagne bestand darin, externe Dienstleister mithilfe von Spear-Phishing und über manipulierte Fachpublikationen und Websites zu infiltrieren.
  • Die für die Durchführung einer effektiven Spear-Phishing-Kampagne erforderlichen Berechtigungsnachweise wurden aus öffentlich zugänglichen Informationen gewonnen
  • Die Malware richtet mehrere lokale Administratorkonten ein
  • Tools, die von einem Remote-Server in das Netzwerk heruntergeladen wurden, sammeln und speichern Benutzerinformationen
  • Zusätzlich wurden Informationen zu industriellen Netzwerken und Netzwerkprozessen gesammelt
  • Im Rahmen des Angriffs wurden Protokolle gelöscht sowie Malware, Registry Keys und Screen Captures entfernt um die Aufdeckung zu verhindern

Diese Angriffe führten nicht zu einer weitreichenden Unterbrechung des US-Stromnetzes. In diesem Fall scheint aber lediglich die Angst vor den Konsequenzen die Angreifer zurückgehalten zu haben.

Aufgrund dieses Vorfalls ist die von Cyberangriffen ausgehende Gefahr für KNI wieder in den Vordergrund getreten Das Thema beherrscht die Diskussion in Sitzungssälen genauso wie in den Werkshallen der Versorgungsunternehmen und Zulieferer. Man kann diese Kampagnen aber auch als Chance begreifen, besser zu verstehen was genau passiert ist und wie man sich in Zukunft besser schützt.

Schutz kritischer nationaler Infrastrukturen: Die nächsten Schritte

Vernetzte Industrieinfrastrukturen bieten eine Reihe von Vorteilen. Cybersicherheit sollte aber Priorität haben. Vor fünf Jahren gab es noch keine Technologie, die Transparenz in großen, heterogenen und hoch verfügbaren Netzwerken herstellen konnte. Das ist heute anders. Es ist technisch möglich, sich in Echtzeit einen Überblick über Cyberangriffe, Risiken und Zwischenfälle zu verschaffen. Künstliche Intelligenz und insbesondere die Untergruppe des maschinellen Lernens hilft, Anomalien schnell zu erkennen. Technologien dieser Art sind zudem in der Lage, Netzwerk-aktivitäten und Datenverkehr passiv überwachen und so verdächtige Aktivitäten zu erkennen und Angriffe zeitnah zu stoppen.

Darüber hinaus sollten Unternehmen sämtliche Geräte identifizieren, die an ihr Netzwerk angeschlossen sind und gewährleisten, dass diese Systeme sicher sind. Vulnerability-Management unterstützt Unternehmen dabei Schwachstellen zu erkennen, die gepatcht oder eingedämmt werden müssen. Auf diese Weise lassen sich Risiken gezielt adressieren und geeignete Schutzmaßnahmen ergreifen. Es ist äußerst wichtig, einmal erkannte Schwachstellen schnell zu patchen oder zu schließen, um einen nicht autorisierten Zugriff auf industrielle Steuersysteme zu verhindern. Phishing-Angriffe sind eine übliche Taktik der Angreifer um sich diesen Zugriff zu verschaffen. Schulungs- und Aufklärungsmaßnahmen können hier einiges leisten. Wenn Mitarbeiter verdächtige Aktivitäten nicht nur wahrnehmen, sondern auch melden, lassen sich Angriffe im Vorfeld verhindern. 

Fazit

Die IT/OT-Konvergenz braucht eine genauso konvergente, zentral überwachte Cybersicherheits-strategie. Dazu sind nach wie vor verschiedene Tools notwendig. Unternehmen müssen für die Kompatibilität und Integration in Bereichen wie Asset Management, Endpoint- und Netzwerkschutz, Sicherheitsüberwachung und -reporting sowie einen sicheren Remote-Zugriff sorgen. Dazu sind unter Umständen organisatorische Änderungen notwendig, die Mitarbeiter aus den Bereichen IT, OT und Security Operations Centern (SOC) an einen Tisch bringen. Es wird von entscheidender Bedeutung sein wie gut die Koordination und der Informationsaustausch zwischen Regierungen und privaten Unternehmen gelingt. Der Informationsaustausch zu aufkommenden Bedrohungen ist eine der Voraussetzungen um wirksame Strategien zu entwickeln und umzusetzen.

Unabhängig davon, ob Cyberkriminelle oder national-staatlich Akteure, die Angriffe werden nicht weniger werden. Je mehr wir allerdings über die Konzepte der Angreifer wissen und je besser wir sie verstehen, desto größer ist die Chance, den „bad guys“ einen Schritt voraus zu sein.

Von Will Stefan Roth, Nozomi Networks

www.nozominetworks.com
 


Anzeige

Weitere Artikel

Cybercrime
Aufdeckung jahrzehntelanger rumänischer Botnet-Operation: RUBYCARP
Cybercrime
StrelaStealer-Kampagne attackiert Unternehmen in der EU und den USA
Cybercrime
Ransomware-Vorfälle durch ERP-Kompromittierung verfünffacht
Cybercrime
Nordkoreanische Hackergruppe mit neuen Spionagetaktiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.