© ximagination / 123RF.com
Die Schäden, die 2022 bei den Anschlägen auf die Pipeline Nord Stream 2 oder auf die für den Zugfunk notwendige Infrastruktur der Deutschen Bahn entstanden sind, waren immens und betrafen Millionen Menschen. Die Gefährdung kritischer Infrastrukturen zeigt sich zunehmend im Alltag und rückt damit auch stärker ins öffentliche Bewusstsein.
Was genau versteht man eigentlich unter dem Begriff kritische Infrastruktur (KRITIS [1])? Die meisten Menschen denken dabei vor allem an eine sichere Stromversorgung oder den öffentlichen Nahverkehr. Tatsächlich zählt der Gesetzgeber aber viele weitere Sektoren zu KRITIS. Insgesamt gibt es in Deutschland zehn solcher Sektoren, die die Tabelle “Kritische Infrastruktur” zusammenfasst.
|
Nr. |
Sektor |
|---|---|
|
1 |
Energie |
|
2 |
Informationstechnik und Telekommunikation |
|
3 |
Transport und Verkehr |
|
4 |
Gesundheit |
|
5 |
Wasser |
|
6 |
Ernährung |
|
7 |
Finanz- und Versicherungswesen |
|
8 Siedlungsabfallentsorgung |
|
|
9 |
Medien und Kultur |
|
10 |
Staat und Verwaltung |
IT als Einfallstor
Aus sicherheitstechnischer Sicht geht es zum einen um den Schutz der physischen Integrität von Anlagen der kritischen Infrastruktur. Zum anderen rückt aber auch immer stärker die IT-Sicherheit der entsprechenden Sektoren in den Fokus, sind doch solche Infrastrukturen, aber auch andere essenzielle Bereiche, immer stärker von digitalen Abläufen und Prozessen abhängig.
Das 2021 in Kraft getretene IT-Sicherheitsgesetz 2.0 enthält daher auch Regelungen für sogenannte Unternehmen im besonderen öffentlichen Interesse. Um als ein solches Unternehmen eingestuft zu werden, spielt neben der Relevanz für die öffentliche Sicherheit nicht zuletzt auch die volkswirtschaftliche Bedeutung eine Rolle. Somit werden neben den Betrieben, die zur eigentlichen KRITIS gehören, mittlerweile auch Vertreter anderer Industriezweige von der entsprechenden Gesetzgebung erfasst, zum Beispiel die chemische und fertigende Industrie. Für bestimmte dieser Unternehmen sollen im Falle von Störungen zukünftig besondere Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gelten. Ein KRITIS-Dachgesetz befindet sich in Vorbereitung und soll noch 2023 verabschiedet werden [2].
Industrieanlagen sind immer stärker von Attacken aus dem Cyberraum bedroht [3]. Das liegt nicht zuletzt an der zunehmenden digitalen Vernetzung zum Beispiel von Maschinen über Sensoren und Aktoren (Internet of Things, IoT). Wie die Tabelle “Beispiele für IoT-Anwendungen in KRITIS-Sektoren” zeigt, bestehen aber auch in den originären deutschen KRITIS-Sektoren zahlreiche Berührungspunkte mit dem Internet der Dinge. Obwohl den IoT-Komponenten selbst nicht immer eine tragende Rolle zukommt, können sie ernst zu nehmende Einfallstore für Angriffe auf Betreiber kritischer Infrastrukturen sein, weshalb sie entsprechend abgesichert werden müssen.
|
KRITIS-Sektor |
IoT-Anwendungsbeispiel |
|---|---|
|
Energie |
Smart Meter, Smart-Grid-Komponenten |
|
Informationstechnik und Telekommunikation |
5G/OpenRAN, smarte Telefonanlagen |
|
Transport und Verkehr |
vernetzte Überwachung und Regelung des Verkehrs (Ampelsysteme etc.), vernetzte Kraftfahrzeuge, E-Auto-Ladeinfrastruktur, Fahrtgastinformationssysteme |
|
Gesundheit |
vernetzte Implantate (Herzschrittmacher, CGM etc.) |
|
Medien und Kultur |
Smart TV |
|
Wasser |
intelligente Wasserzähler und -pumpen, Wasserqualitätskontrolle |
|
Ernährung |
Smart-Farming-Komponenten |
|
Finanz- und Versicherungswesen |
GPS-Blackbox im Auto |
|
Siedlungsabfallentsorgung |
intelligente Füllstandsmessung, Wertstoffscanner |
|
Staat und Verwaltung |
Bewirtschaftung und Überwachung von Parkraum, Bodycams, öffentliche (Kamera-)Überwachung |
Eine Grundvoraussetzung für diese Absicherung ist, dass bereits in der Design- und Entwicklungsphase der IoT-Komponenten das Prinzip Security-by-Design beachtet wird. Sicherheitsaktualisierungen auch nach der Markteinführung verlässlich und kontrollierbar auf die Komponenten aufzuspielen ist wichtig, genügt dafür aber nicht. Stattdessen gilt es, den gesamten Lebenszyklus abzusichern, bis hin zu dem Punkt, an dem beispielsweise Komponenten aus dem Betrieb genommen werden, die sensible Informationen speichern.
Für Unternehmen und Betreiber ist es oft nicht einfach, diesen Grundanforderungen gerecht zu werden: Es handelt sich um eine zusätzliche Herausforderung, die zu den ohnehin bestehenden noch hinzukommt und meist spezielles Fachwissen voraussetzt. Hersteller und Betreiber von IoT-Komponenten sollten sich folgende Fragen in Bezug auf die Produkte stellen:
- Was könnte einen Angriff auf diese IoT-Systeme kritischer Infrastrukturen motivieren?
- Wer hätte daran ein Interesse, und wer wäre dazu in der Lage?
- Wo liegen die Schwachstellen der entsprechenden Komponenten?
Das gilt freilich nicht nur für IoT-Komponenten im KRITIS-Umfeld, erhält dort aber ganz besondere Bedeutung. Am besten lassen sich solche Aspekte bereits in den frühen Phasen der Produktentwicklung berücksichtigen.
Beispiel: der Energiesektor
Außer in der Industrie spielen IoT-Komponenten auch im Stromnetz eine immer wichtigere Rolle und sind in vergleichbarer Weise durch informationstechnische Angriffe gefährdet. Durch einen zunehmenden Grad an digitaler Vernetzung, zum Beispiel im Rahmen der Entwicklung hin zum Smart Grid, das für die dezentral organisierte Nutzung erneuerbarer Energien unabdingbar ist, wächst die Angriffsfläche des Energiesektors für Cyberattacken (Abbildung 1).
Abbildung 1: Die Konnektivität und zunehmende Dezentralisierung des Stromnetzes bietet Angriffsfläche für Cyberattacken mit weitreichenden Folgen. Quelle: Fraunhofer AISEC
Neben den Geräten im Feld müssten für eine gezielte Attacke auf Energieversorger die Angreifer jedoch zusätzlich auch die Systeme im Backend ins Visier nehmen, also Hard- und Software zum Betrieb des eigentlichen Stromnetzes. Hierfür müssten sie sich in der Regel spezialisiertes Equipment beschaffen, um in einer entsprechenden Testumgebung Aufbau, Funktionsweise, Wechselwirkungen und Manipulationsmöglichkeiten solcher Systeme zu studieren.
Aber auch gegen niederschwelligere Ransomware- oder Kryptotrojaner-Angriffe, also erpresserischen Datenklau oder kriminelle Datenverschlüsselung, sind KRITIS-Betreiber nicht mehr gefeit, weil diese Art der Angriffe immer erfolgreicher und der Profit daraus immer attraktiver wird.
In der Vergangenheit sind bereits mehrere größere IT-Angriffe auf kritische Energieinfrastrukturen bekannt geworden. Ein Beispiel dafür liefern die Cyberangriffe auf die Energieversorgung der Ukraine. Sie finden in der einen oder anderen Form vermutlich seit 2014 statt und wurden von der Forschung sowie den Medien verfolgt und untersucht. Ende 2015 gab es in Kiew einen großflächigen Stromausfall, der rund eine Viertelmillion Menschen für mehrere Stunden betraf.
Ursache war eine Malware, die erstmals in Erscheinung getretene Version eines Schadprogramms namens BlackEnergy. Die Angreifer nutzten BlackEnergy zur initialen Kompromittierung des Unternehmensnetzwerks und arbeiteten sich dann manuell weiter ins Kontrollnetzwerk vor. Das versetzte sie schließlich in die Lage, Umspannwerke zu sabotieren, diese vom Stromnetz zu trennen und dadurch flächendeckende Stromausfälle auszulösen.
Nur ein Jahr später kam es zu einem zweiten großflächigen Stromausfall, wiederum hervorgerufen durch eine Malware, diesmal schon in verbesserter Version. 2016 wurde erstmals ein Malware-Framework namens Industroyer eingesetzt. Es nutzt verschiedene industrielle Kommunikationsprotokolle und wurde allem Anschein nach spezifisch für Angriffe auf den Energiesektor entwickelt, die die Energieversorgung unterbrechen sollen.
Als Einfallstor dienten dabei bekannte Schwachstellen im Betriebssystem Windows XP SP3, das beim betroffenen Energieversorger eingesetzt wurde. Bedingt durch die langen Laufzeiten von Geräten im Industrie- und Energiesektor stehen oft keine Patches mehr zur Verfügung, nicht mehr aktuelle Firm- und Software läuft weiter. Diese häufig anzutreffende Konstellation vergrößert die Angriffsfläche enorm.
Hinzu kommt, dass die Angreifer ihre Techniken ständig anpassen. Im Jahr 2022 wurde beispielsweise eine neue, weiterentwickelte Variante von Industroyer beobachtet. Sie enthält nun unter anderem auch Komponenten, die auf Linux- und Solaris-Systeme abzielen.
IT-Lieferketten absichern
Doch nicht nur die kontinuierliche Anpassung an neue Geräte, Betriebssysteme und Software, auch neue Angriffsvektoren gehören zum Repertoire solcher Bedrohungsakteure. Ein solcher Angriffsvektor richtet sich gegen die IT-Lieferkette.
Ein Beispiel dafür ist der Vorfall um den US-Softwarezulieferer SolarWinds, bei dem durch die Kompromittierung eines Updates eine Backdoor an Kunden verteilt und installiert wurde. Das damals eingesetzte Schadprogramm Sunburst wurde auch zum Problem für kritische Infrastrukturen und die Sicherheit der Softwarelieferkette, weshalb US-Präsident Biden mit der “Executive Order on Improving the Nation’s Cybersecurity” [4] die Sicherheit der IT-Lieferketten zur Chefsache erklärte.
Allerdings können nicht nur Softwarelieferketten schädliche Auswirkungen auf kritische Infrastrukturen haben. In Dänemark sorgte Ende Oktober 2022 beispielsweise ein Sicherheitsvorfall bei der Dänischen Staatsbahn (Danske Statsbaner, DSB) für Aufsehen, der ähnliche Auswirkungen wie der Sabotageakt bei der Deutschen Bahn hatte. Das unmittelbare Ziel war jedoch nicht die DSB selbst, sondern ein von ihr beauftragter IT-Service-Provider [5]. Die IT-Services dieses DSB-Lieferanten werden unter anderem dazu genutzt, den Lokführern für den Betriebsablauf kritische Informationen weiterzugeben. Der Angriff legte dafür benötigte Server lahm. In der Folge waren diese kritischen Informationen nicht mehr verfügbar, weshalb die Lokführer bis auf Weiteres angewiesen wurden, den nächsten Bahnhof anzufahren und dort zu warten.
Dieses Beispiel zeigt, dass zur Gewährleistung der Sicherheit kritischer Infrastrukturen die Absicherung der eigenen IT-Infrastruktur nicht ausreicht. Vielmehr muss man die gesamte IT-Lieferkette berücksichtigen, wenn man die Risiken reduzieren will [6]. Zwar sind gezielte Angriffe auf die Lieferkette für Informationstechnologie (IT) und Betriebstechnik (Operational Technology, OT) wegen der logistischen Herausforderungen aufwendig, aber durchaus realisierbar für Akteure, die bereit sind, Ressourcen dafür einzusetzen. Selbst Kollateralschäden können zu erheblichen negativen Auswirkungen führen, wie der Sicherheitsvorfall bei der DSB zeigt.
Der Vorfall führt ebenfalls vor Augen, dass man nicht nur auf die Hard- und Softwarelieferkette ein Augenmerk legen muss, sondern auch auf die Anbieter von Managed Services. Das gilt insbesondere, wenn man ihnen sensible Daten zur Verfügung stellt (zum Beispiel zum Betrieb eines Security Information and Event Management, SIEM), wenn sie Zugriff auf wichtige Teile des internen Netzwerks haben (zum Beispiel bei der Fernwartung) oder wenn das Kerngeschäft von ihren Dienstleistungen abhängt wie im Fall DSB.
Abbildung 2: APT-Angriffe auf die IT-Lieferketten gefährden die Sicherheit kritischer Infrastrukturen. Quelle: Fraunhofer AISEC
Schutzmaßnahmen
Weite Teile der Wirtschaft, vor allem die Unternehmen im besonderen öffentlichen Interesse, wissen um die Notwendigkeit von Schutzmaßnahmen. Initiativen wie die Charter of Trust oder der Trusted Information Security Assessment Exchange (TISAX) stellen die IT-Sicherheit entlang der gesamten Lieferkette auf den Prüfstand.
Die Europäische Kommission geht mit dem Cyber Resilience Act [7] noch weiter. Sie fordert unter anderem, dass IT-Security bei Produkten mit digitalen Elementen über den gesamten Lebenszyklus gewährleistet wird, also einschließlich der Entwurfs- und Entwicklungsphase bis zu fünf Jahre nach Markteinführung. Damit wird der bereits erwähnte Ansatz Security by Design stringent verfolgt. Außerdem sollen die Sicherheitseigenschaften dieser Produkte transparent werden. Dass es die Europäischen Kommission mit der Umsetzung dieser Anforderungen sehr ernst meint, zeigen die möglichen Strafzahlungen, die ähnlich hoch ausfallen wie bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO).
Zu den Lösungsansätzen, mit denen nicht zuletzt KRITIS-Betreiber Angriffen aus dem digitalen Raum vorbeugen können, zählen darüber hinaus abwehrstarke technische Vorkehrungen wie Hardwarevertrauensanker, Secure Boot, verschlüsselte Verbindungen oder die bereits genannten zeitnahen und auch noch lange nach Markteinführung bereitgestellten Sicherheitsaktualisierungen.
Das größte Angriffsrisiko stellt jedoch der Mensch dar. Dass der Cyber Resilience Act neben den technischen Aspekten die Befähigung der Nutzer in den Mittelpunkt stellt, ist deshalb sehr zu begrüßen. In diesem Zusammenhang gilt es vor allem, Bewusstsein dafür zu schaffen, dass Informationssicherheit nichts Einmaliges ist, sondern ein kontinuierlicher Prozess. Man muss also nicht nur die damit verbundenen operativen Vorkehrungen treffen, sondern diesen Prozess auch in die Chefetagen und in die Unternehmenskultur miteinbeziehen, um mittelfristig ein ausreichendes Sicherheitsniveau der KRITIS zu erreichen.
Die Betreiber müssen Verdachtsfällen schnell nachgehen und sowohl die notwendigen Ressourcen bereitstellen als auch die erforderlichen Prozesse zur niederschwelligen Meldung von Schwachstellen und Sicherheitsvorfällen etablieren. (jcb)
Die Autoren
Alexander Giehl arbeitet seit 2013 am Fraunhofer AISEC, wo er sich auf die Verbesserung der Cybersicherheit durch Modellierung und Simulation spezialisiert hat. Er konzentriert sich auf sichere eingebettete Systeme, Sicherheit in Fertigung und Automobil, digitale Zwillinge sowie allgemeine Cybersicherheit und Managementsysteme.
Michael Heinl arbeitet seit 2020 als wissenschaftlicher Mitarbeiter in der Abteilung Product Protection & Industrial Security am Fraunhofer AISEC. Sein thematischer Schwerpunkt liegt in den Bereichen der industriellen Sicherheit, der kritischen Informationsinfrastrukturen und der IT/OT-Lieferkettensicherheit.
Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) ist eine der international führenden Einrichtungen für angewandte Forschung im Bereich Cybersicherheit. Mehr als 150 hochqualifizierte Mitarbeiterinnen und Mitarbeiter entwickeln maßgeschneiderte Sicherheitskonzepte und Lösungen für Wirtschaftsunternehmen und den öffentlichen Sektor. Dazu zählen Lösungen für eine höhere Datensicherheit sowie für einen wirksamen Schutz vor Cyberkriminalität wie Wirtschaftsspionage und Sabotageangriffe. Zudem bietet das Fraunhofer AISEC in seinen modernen Testlabors die Möglichkeit zur Evaluation der Sicherheit von vernetzten und eingebetteten Systemen, von Hard- und Softwareprodukten sowie von webbasierten Diensten und Cloud-Angeboten.
Infos
- Infos zur KRITIS: https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/Allgemeine-Infos-zu-KRITIS/allgemeine-infos-zu-kritis_node.html
- Gesetz verbessert: https://www.heise.de/news/Schutz-kritischer-Infrastrukturen-Bundesregierung-bessert-fuer-Gesetz-nach-7369304.html?wt_mc=nl.red.security.security-nl.2022-12-08.link.link
- Angriffsziel Wirtschaft: https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr
- Bidens Executive Order: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
- Angriff auf Danske Statsbaner: https://www.securityweek.com/cyberattack-causes-trains-stop-denmark
- ENISA Threat Landscape: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
- Cyber Resilience Act: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act
