Sicherung von kritischen Infrastrukturen ohne Blackouts

Ganzheitlicher Schutz

Ob Finanzwesen, Gesundheitsbranche oder Energieversorgung: Der Schutz kritischer Infrastrukturen ist nicht erst seit den Diskussionen um das zukünftige IT-Sicherheitsgesetz in den Fokus der Aufmerksamkeit gerückt. Schon Angriffe wie mit dem Computerwurm Stuxnet, der vor wenigen Jahren alleine im Iran 30.000 Computer infizierte und die Inbetriebnahme des ersten iranischen Atomkraftwerks in Buschehr um mehrere Monate verzögerte, haben die Anfälligkeit moderner Prozessnetzwerke offengelegt. Wie lassen sich diese erfolgreich und nachhaltig sichern?

Kritische Infrastrukturen gibt es in den Bereichen Energie, IT und TK, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanzen und Versicherung, Staat und Verwaltung sowie Medien und Kultur. Ein Angriff darauf und daraus resultierende Störungen wären besonders gravierend für das Gemeinwohl. Dies könnte zumindest in Teilen des Landes zu einem Ausfall der Strom- und Wasserversorgung oder zum Zusammenbruch der Verkehrsströme sowie des Finanzsystems führen.

Dass diese Gefahr durchaus konkret ist, zeigte etwa der Wurm Stuxnet. Über ein System zur Überwachung und Steuerung manipulierte er Frequenzumrichter der Hersteller Vacon aus Finnland und Fararo Paya aus Teheran. So kam es etwa im Iran zu Störungen in der Leittechnik der Urananreicherungsanlage in Natanz sowie des Kernkraftwerks Buschehr. Ein weiteres Beispiel zeigt der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik. Demnach haben sich Unbekannte über Phishing, also das Abgreifen persönlicher Informationen über gefälschte Webseiten oder E-Mails, Zugang zum Büronetz und darüber auf die Prozessnetze eines deutschen Stahlwerks verschafft. Anschließend konnte der Hochofen nicht mehr korrekt heruntergefahren werden und es entstanden massive Schäden an der Anlage.

 

Verbindung von Prozess- und IT-Netzwerken bei heutigen Energieerzeugern und Energieversorgern.

Verbindung von Prozess- und IT-Netzwerken bei heutigen Energieerzeugern und Energieversorgern.

 

Bei kritischen Infrastrukturen ist zu beachten, dass diese häufig miteinander vernetzt sind und voneinander abhängen. So kann ein Ausfall in einer Branche wie der Telekommunikation die Strukturen einer anderen wie dem Gesundheitswesen empfindlich stören. Gleichzeitig steigt die Anzahl der abzusichernden und zu überwachenden Einheiten stetig an. Und auch die Angriffe nehmen zu: So war gemäß Aris und Bitkom Research etwas mehr als die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. Schon heute werden demnach 60 Prozent aller Banken und Versicherungen angegriffen.

Das häufigste Ziel sind derzeit noch die IT-Systeme und die Kommunikationsinfrastruktur. Office-IT-Netze sind in der Regel mit dem Internet verbunden und lassen sich dadurch aus der Ferne angreifen. Für die eigentliche Produktion und Erbringung von Kerndienstleistungen verwendete Netze waren bislang meist vollständig von Internet und Office-IT-Netz getrennt. Dies ändert sich jedoch nun im Zuge der zunehmenden Digitalisierung der Wirtschaft und der Auslagerung von Dienstleistungen, wie die aktuellen Trends Industrie 4.0 und Internet der Dinge belegen. Dadurch werden immer mehr Produktionsnetze und kritische Infrastrukturen mit der Office-IT und damit dem Internet verbunden. Somit sind auch sie immer stärker angreifbar.

IT-Sicherheitsgesetz setzt Mindeststandards. Damit solche Angriffe nicht kritische Infrastrukturen stören, hat die Bundesregierung Ende 2014 einen Gesetzentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz IT-Sicherheitsgesetz, beschlossen. Demnach sollen die Betreiber kritischer Infrastrukturen künftig einen Mindeststandard an IT-Sicherheit für ihre jeweilige Branche erarbeiten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik melden. Da allerdings sowohl die konkrete Ausgestaltung noch offen als auch von einer mindestens zweijährigen Karenzzeit auszugehen ist, warten die meisten betroffenen Unternehmen die endgültige Version ab.

Trotzdem ist heute schon klar, dass in Kürze die bisherigen Branchenempfehlungen in ähnlicher Form zu gesetzlichen Vorgaben werden. Kritische Infrastrukturen sind dann erstmalig explizit zu schützen. Was bislang in der Eigenverantwortung der jeweiligen Unternehmen und Institutionen lag, gibt nun der Staat den Betreibern kritischer Infrastrukturen als Sicherheitsparadigma vor.

 

Aufbau eines Firewall-Konzepts mit kompletter Trennung von Prozess- und IT-Netzwerk.

Aufbau eines Firewall-Konzepts mit kompletter Trennung von Prozess- und IT-Netzwerk.

 

Ein mehrstufiges Sicherheitskonzept ist die Lösung. Wie auch immer das Gesetz konkret aussehen wird, die Lösung liegt in jedem Fall bei einem mehrstufigen Sicherheitskonzept. Experten wissen nämlich schon lange, dass herkömmliche Firewalls und Sicherheitsstrategien heute nicht mehr reichen, um Netzwerke und kritische Infrastrukturen zu schützen. Die klassische Portfilterung ist zu ungenau, und Einzellösungen wie Anti-Virus, Anti-Spyware, Intrusion-Detection-System oder Webfilter folgen nur dem aktuellem Blacklisting-Konzept, das alles erlaubt, was nicht ausdrücklich verboten ist.

Eine innovative Lösung für ein mehrstufiges Sicherheitskonzept bildet eine Next-Generation-Firewall. Diese kann über feingranulare Applikationserkennung einen Whitelisting-Ansatz realisieren, der über Deep-Packet-Inspection die Filterung und Bewertung innerhalb von Applikationen durchführt. Der Ansatz der vollständigen Positivvalidierung ermöglicht den optimalen Schutz kritischer Infrastrukturen, da sämtlicher Verkehr über die Firewall eindeutig identifiziert und validiert werden muss. Alle anderen Datenströme oder Komponenten werden blockiert.

 

Maßnahmen für eine nachhaltige Verteidigung der IT-Infrastruktur von Energieerzeugern und Energieversorgern.

Maßnahmen für eine nachhaltige Verteidigung der IT-Infrastruktur von Energieerzeugern und Energieversorgern.

 

Ganzheitlicher Schutz für eine sichere Infrastruktur. Die Implementierung einzelner Lösungen kann keinen optimalen Schutz vor ausgeklügelten Angriffen bieten. Hierzu ist ein ganzheitlicher Ansatz nötig, in dem die verschiedenen Schutzmechanismen nahtlos ineinandergreifen. Um diesen zu erstellen, lässt sich etwa die Methodik des »Echelons der internen Abwehr« nutzen, die sich mit Hilfe der klassischen Risikokalkulation für interne Netzwerksicherheitsabwehr ausdrücken lässt. Das Sicherheitsrisiko ergibt sich demnach aus der Multiplikation der Faktoren Bedrohung, Schwachstellen und Folgen. Diese drei Faktoren sind möglichst stark zu reduzieren.

Um die interne und externe Angriffsfläche zu verkleinern, sollten nur diejenigen Verbindungspunkte am Perimeter an die Standorte und Dienste freigegeben werden, die in Bezug auf gesetzliche und interne Sicherheitspolitik und Risikoprofile als valide eingestuft sind. Daher müssen zum Beispiel Anschlusspunkte zwischen Prozessnetzwerken, verteilten Endpunkten und
internen Netzwerken eingeschränkt werden. Zielgerichtete Bedrohungen innerhalb bestehender Kommunikationsprozesse sind zu stoppen, damit sie nicht die Empfänger oder Systeme erreichen. Dazu ist die Identifikation und Dekodierung von Anwendungen nötig, um die Kommunikationssyntax und Bedeutung der Daten zu ermitteln. Interne Maßnahmen müssen bestimmt werden, die auf eine Infizierung oder sogar auf mögliche interne Bedrohungen hinweisen. Schließlich sind auch die definierten Sicherheitsrichtlinien einzuhalten, zu überwachen und weiterzuentwickeln.

Nur mit Hilfe eines ganzheitlichen Ansatzes lassen sich interne Sicherheitsrichtlinien, Systeme, Prozesse und Vorgehensweisen verbinden, um einen bestmöglichen Schutz von kritischen Infrastrukturen zu erreichen. Und damit dürften auch deren Betreiber optimal für das neue IT-Sicherheitsgesetz gerüstet sein.

 

Ganzheitliche Sicherheit

Im Wesentlichen formen drei Kernelemente die Basis für umfassende Sicherheitslösungen, welche sich auch in der Methodik einer mehrstufigen internen Verteidigungslinie widerspiegeln:

Applikationsidentifizierung und -dekodierung: Durch eine native Applikations- und Protokollerkennung sowie eine Dekodierungsmethodik können nicht nur übliche, sondern auch spezifische Protokolle schnell identifiziert und entsprechend üblicher Firewall-Richtlinien angewendet werden.

Single Pass Engine: Eine Single-Pass-Engine überprüft gleichzeitig mehrere Aspekte des Netzwerkverkehrs und beachtet dabei den Kontext jeder einzelnen Verbindung. Hoch parallelisierte Engines erlauben mehrere simultane Operationen auf den Datenverkehr, die den Inhalt jeder einzelnen Datenübertragung detailliert durchleuchten.

Einhaltung rechtlicher Bestimmungen: Ein deutscher Hersteller kann die gesetzlichen Empfehlungen hierzulande optimal berücksichtigen, sowohl bei allgemeinen als auch bei besonderen Anforderungen. Zudem sollten seine Produkte keine versteckten Zugänge enthalten, welche von Geheimdiensten oder anderen Organisationen verwendbar sind.

 


Christoph Becker, Chief Technology Officer bei der gateprotect GmbH

 

Illustration: © Leszek Glasner/shutterstock.com