5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Illustration: Absmeier

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario – ein länger andauernder europaweiter Stromausfall – erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht. Aber auch Störungen durch Cyberangriffe in anderen KRITIS-Sektoren wie Ernährung, Verkehr und Finanzwesen können das ganze Land – Einzelpersonen, Unternehmen und stattliche Organisationen – erheblich schädigen. Im Folgenden werden fünf Faktoren skizziert, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

Cyberangriffe nehmen zu

Anzeige

Ende Mai 2019 legte die Telekom aktuelle Zahlen zur Cybersicherheit vor. Anfang April zählte der Konzern 46 Millionen tägliche Angriffe auf seine Honeypots. Dies ist ein neuer Spitzenwert. Im Schnitt gab es im letzten Monat 31 Millionen Angriffe pro Tag. Im April 2018 waren es durchschnittlich noch 12 Millionen und im April 2017 gerade mal 4 Millionen. Die Angriffszahlen steigen exponentiell.

Mit ihrer Analyse steht die Telekom nicht alleine: Auch laut HPI bereitet das Thema IT-Sicherheit Unternehmen und öffentlichen Einrichtungen zunehmend große Sorge. Branchenübergreifend werden daher IT-Experten gesucht, die sich mit der Thematik auskennen und mit den neuen Bedrohungen professionell fertig werden.

KRITIS zunehmend vernetzt

Die Betreiber Kritischer Infrastrukturen (KRITIS) setzen auf Vernetzung und Digitalisierung, um die Effizienz zu steigern und die Kosten zu senken. Doch das bringt nicht nur Vorteile, sondern es geht auch mit neuen Risiken einher: Wie das BSI feststellt, sind die Systeme und Dienstleistungen, ihre Infrastruktur und Logistik erstens immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig. Zweitens können vormals autarke Systeme aus der Ferne über das Internet angegriffen und lahmgelegt werden.

Anzeige

KRITIS sind attraktive Ziele

Als ob ungezielte Angriffe wie Ransomware nicht schon schlimm genug wären, sind Kritische Infrastrukturen beziehungsweise deren IT-Systeme – wie Forschungsministerin Anja Karliczek treffend feststellte – auch noch besonders attraktive Angriffsziele für Kriminelle, Terroristen und ausländische Aggressoren. Das BSI vertritt ebenfalls diese Ansicht: Die Gefährdungslage in den Kritischen Infrastrukturen sei insgesamt auf hohem Niveau. Laut einer im Auftrag eines IT-Sicherheitsanbieters durchgeführte Studie von Tenable und Ponemon Institute berichten 9 von 10 Sicherheitsverantwortliche kritischer Infrastrukturen von mindestens einem Cyberangriff innerhalb der letzten zwei Jahre. 62 % der befragten Unternehmen wurden in den letzten zwei Jahren sogar mehrmals angegriffen.

Experten stimmen außerdem darin überein, dass die Anzahl der Cyberangriffe auf KRITIS wächst. So warnte das BSI, dass Angriffe auf Betreiber kritischer Infrastrukturen in der zweiten Jahreshälfte 2018 deutlich zugenommen haben. Auch laut eines F-Secure Berichts sind Spionage- und Sabotageangriffe gegen KRITIS im Laufe der Jahre gestiegen.

Allianzen noch nicht verbreitet genug

Selbstverständlich ist IT-Sicherheit eines der sensibelsten Themen überhaupt in jeder Organisation. Von diesem Standpunkt aus ist es nachvollziehbar, das Unternehmen gerne die komplette Kontrolle darüber haben wollen. Allerdings sind IT-Security-Experten immer schwerer zu bekommen und werden immer teurer. Auch Anschaffung und Betrieb der vielen verschiedenen erforderlichen IT-Sicherheitslösungen für Schutz und Abwehr benötigen immer mehr Ressourcen. Unternehmen, die denken, dass sie aufgrund ihrer geringen Größe keinen umfassenden Schutz brauchen, sind leider auf dem Holzweg. Geringe Größe schützt nicht, oder wie es Torsten Harengel, Director, Head of Cyber Security Germany bei Cisco auf den Punkt formuliert: »KMU sind längst ein genauso attraktives Ziel für Cyberkriminelle wie große Konzerne, da sie vor der Herausforderung stehen, das Sicherheitsniveau eines Konzerns mit wesentlich geringeren Mitteln erreichen zu müssen.«

Dirk Backofen, Leiter Telekom Security, teilt diese Einschätzung: »Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten.«

Insofern ist es unumgänglich, Kompetenzen zu bündeln, Allianzen einzugehen und auch Outsourcing von IT-Security zu betreiben. SIEM-Lösungen sind beispielsweise als Services aus der Cloud verfügbar. Und auch ein SOC (Security Operations Center) muss nicht selbst betrieben werden: Durch ein Managed SOC oder SOC as a Service profitieren auch Organisationen von den Vorteilen eines SOC, die nicht über die personellen und technischen Ressourcen verfügen, ein komplettes SOC selbst zu betreiben. Das Gemeinschaftsprojekt CSOC ist ein Beispiel dafür und begründet seine Mission wie folgt: »Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert.«

Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert

Viele Komponenten, die heute bei Kritischen Infrastrukturen eingesetzt werden, sind zwar ans Netz angeschlossen, verfügen aber nicht über integrierte Sicherheitsmaßnahmen. Daher ist die IT-Sicherheit der vorgelagerten Netze oft der einzige Schutz. Mit dem IT-Sicherheitsgesetz 2.0 reagiert der Staat auch auf diese sich verschärfende Situation. Das Gesetz plant für das BSI mehr Personal, Geld und weitreichendere Befugnisse ein. Zudem soll das BSI aktiv nach Sicherheitsrisiken suchen dürfen – auch ohne das Einverständnis der Betroffenen.

Die derzeit für die Suche nach Sicherheitsrisiken favorisierten Pentests haben durchaus ihre Existenzberechtigung, weisen allerdings diverse Nachteile auf: Sie sind teuer, zeitaufwendig und als manuelle Prozesse müssen sie von menschlichen Experten durchgeführt werden. Zudem sind sie nur geeignet, die aktuelle IT-Sicherheit zu prüfen – morgen könnten sie schon veraltet sein.

Eine Ergänzung zu Pentests wäre die moderne Methode der IT-Sicherheitsratings. Anstatt einzelne Stichproben durchzuführen, verfolgen IT-Sicherheitsratings einen anderen Ansatz: automatisches Sammeln und Auswerten großer Datenmengen im Hinblick auf IT-Sicherheit. Die datenbasierte, kontinuierliche Messung der IT-Sicherheit und automatisierte Auswertung durch leistungsfähige Algorithmen ermöglicht einen tagesaktuellen Überblick von außen über die Cybersicherheitsleistungen von allen Organisationen, die zur Kritischen Infrastruktur gehören – eine stets aktuelle Bewertung der Cybersicherheitsleistung von hunderttausenden Organisationen. Dabei steht vom generellen Überblick über die deutschlandweite Cybersicherheitsleistung bis hin zu kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer immer genau die Information bereit, die benötigt wird.

Patrick Steinmetz, DACH Sales, BitSight.

 

1966 Artikel zu „KRITIS“

Mythos künstliche Intelligenz – eine kritische Betrachtung des Hypes

Übernehmen die Maschinen? Es herrscht große Unsicherheit darüber, wie der Einsatz künstlicher Intelligenz, maschinellen Lernens und Automatisierung unseren Arbeitsalltag beeinflussen wird. Lernexperte Skillsoft sprach mit Datenwissenschaftlern und entmystifiziert den KI-Hype. Was verstehen Experten unter den Begrifflichkeiten, welche Entwicklungen haben den großen Aufschwung rund um den Einsatz von KI und Co bewirkt und warum bleiben gut…

Mehrheit der Unternehmen schützt geschäftskritische Applikationen unzureichend

Gemäß einer neuen Untersuchung räumen 80 Prozent der Unternehmen in Deutschland dem Schutz von kritischen Applikationen wie ERP- und CRM-Systemen keine besondere Priorität ein. Sie werden in dem gleichen Maße gesichert wie auch weniger wichtige Daten, Applikationen oder Services. An der neuen CyberArk-Umfrage beteiligten sich 1.450 Business- und IT-Entscheider hauptsächlich aus westeuropäischen Ländern [1]. Die…

Mehr Aufmerksamkeit für den Endpunktschutz bei kritischen Infrastrukturen

Da Cyberangriffe auf ICS- und SCADA-Systeme immer häufiger gemeldet werden, steigt der Bedarf an robustem Endpunktschutz. Das rasante Wachstum des Internets mit seiner zunehmenden Datenflut sorgt dafür, dass permanent Informationen und Daten ausgetauscht werden, in denen auch Malware versteckt werden kann. Diese »Datenvöllerei« führt dazu, dass Unternehmen Verbindungen zu Geräten in ihren Prozesskontrollnetzwerken bereitstellen müssen,…

Digitale Transformation: Die Netzwerksicherheit ist geschäftskritisch

So bedienen Unternehmen die Anforderungen an Konnektivität und Datensicherheit. Die digitale Transformation führt zu einem rasanten Wachstum an Netzwerkendpunkten, die es zu versorgen und zu managen gilt. Gleichzeitig steigt die Gefahr durch Cyberangriffe. Gemischte Netzwerkarchitekturen aus On-Premises- und Cloud-Lösungen sind das Mittel der Wahl.   Sicherheitsexperten gehen davon aus, dass mehrere hundert Millionen Malware-Proben im…

Geschäftskritische Downtime durch moderne Backups minimieren – Schnell zurück zum Tagesgeschäft

Unternehmen generieren mehr Daten als je zuvor: Laut IDC soll bis zum Jahr 2020 eine Datenmenge von 40 Zettabytes entstehen. Neben dem Volumen nimmt auch die Bedeutung der Daten zu. Die intelligente Nutzung von Daten hat sich als unerlässlich für die Wettbewerbsfähigkeit, den Umsatz und das Tagesgeschäft von Unternehmen auf der ganzen Welt erwiesen.  …