Illustration: Absmeier, Brummeier, Iammrrob
Anfang Mai haben sich die beiden Autoren Till Krause und Hakan Tanriverdi in der Süddeutschen Zeitung mit dem Thema befasst, wie sicher unsere Stromnetze tatsächlich sind. Die Recherchen haben ergeben, dass die digitalen Attacken zunehmend aggressiver werden und eine der gefährlichsten Hackergruppierungen auch Deutschland ins Visier genommen hat. Der Anlass für die Nachforschungen ist aktuell: »Dieselbe Hackergruppe, die für den Stromausfall in Kiew sorgte, hat auch in Deutschland Netzwerke von mindestens zwei Energieversorgern infiltriert. Das haben drei voneinander unabhängige Quellen dem SZ-Magazin bestätigt. Den Hackern gelang es anscheinend, sich in den internen Netzwerken auszubreiten. Doch der Angriff fiel im Sommer 2017 auf, vermutlich in der Frühphase.« Soweit der SZ-Wortlaut aus dem Beitrag vom 3. Mai 2018 https://www.sueddeutsche.de/digital/energieversorgung-hacker-angriff-auf-deutsche-stromlieferanten-1.3966477 .
Dazu ein Kommentar von Will Stefan Roth, Regional Director bei Nozomi Networks:
»Wenn es um Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder von kritischen Infrastrukturen (KRITIS). Es sind Systeme, ohne die unsere Gesellschaft und unser Gemeinwesen nicht funktionieren. Heute sind diese historisch gewachsenen Systeme mit IT-Netzwerken oder der Außenwelt verbunden. Die Konnektivität der Netze hat für die Betreiber viele Vorteile. Die Kosten sinken, die betriebliche Effizienz steigt, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen. Aber die untereinander und mit dem Internet verbundenen Geräte haben die Angriffsfläche für Cyberattacken deutlich vergrößert. Dabei fungiert die IT nicht selten als Einstiegspunkt für Angreifer, die es auf die OT-Netzwerke – also die Operations-Technology-Netzwerke – abgesehen haben. Der direkte Einstieg in das OT-Netzwerk über schwach abgesicherte WLAN-Infrastrukturen oder auch die Infektion über direkt an den OT-Geräten angeschlossenen externen Datenspeichern für Firmware-Updates, bergen hier zusätzliche Risiken.
Angriffe auf kritische Infrastrukturen, wie auf die beiden deutschen Stromversorger (wo nach Angaben der SZ-Quellen ebenfalls die Hackergruppierung Sandworm ihre Fingerabdrücke hinterlassen hat) erinnern an die vorhandenen Schwachstellen sowohl in der IT als auch in der OT. Auch und gerade für diese Umgebungen gilt, dass ein Netz nur so sicher ist wie das schwächste Glied in der Kette. Erfolgreiche Attacken und Malware-Varianten werden oftmals speziell für Angriffe gegen die betreffenden kritischen Infrastrukturen entwickelt. BlackEnergy, verantwortlich für die hochkarätigen Attacken auf das ukrainische Stromnetz 2015 und 2016, wurde allerdings nicht extra für diese Angriffe entwickelt. Es gab bereits vorher Angriffe beispielsweise auf Banken und Nachrichtensender, die BlackEnergy verwendet haben. Der letztendlich entscheidende Schritt beim Angriff auf das Stromnetz der Ukraine wurde über das vorhandene ICS-Equipment durchgeführt.
Dazu kommen Malware-Infektionen á la DragonFly und Stuxnet.
Diese Beispiele zeigen, dass sich die Bedrohungen längst aus dem Bereich des technisch Möglichen in die Realität verlagert haben. Cyberbedrohungen haben sich inzwischen von Desktop oder Serverraum in die Anlagenkontrollräume ausgeweitet. Angreifer versuchen nun, aktiv Fuß zu fassen und diese sensiblen Netze zu »knacken«. Black-Hat-Aktivisten und Hacker in staatlichem Auftrag nutzen frei zugängliche Daten und Informationen, um technisch möglichst genau über das anvisierte Ziel Bescheid zu wissen. Auf dieser Basis wird ein maßgeschneiderter Angriff gestartet.
Es ist nicht damit zu rechnen, dass Angreifer in ihren Bemühungen nachlassen, bessere Angriffsmethoden und Angriffsstrategien zu entwickeln und einzusetzen. Attacken auf Chemieanlagen und Stromnetze haben das Potenzial für wirtschaftliche Instabilität zu sorgen und die physische Sicherheit zu gefährden. Das übergreifende Management von Cyberrisiken muss deshalb auf der Prioritätenliste ganz nach oben. Staat und Privatwirtschaft sind aufgerufen, Hand in Hand zu arbeiten und zielgerichtet in präventive Maßnahmen zu investieren. Maßnahmen, die die Resilienz der Netze deutlich verbessern. Inzwischen haben die viel zitierte künstliche Intelligenz und das maschinelle Lernen für den nötigen technologischen Fortschritt auch an dieser Stelle gesorgt. Insbesondere deren Fähigkeit, prädiktive Modelle zu erstellen und selbst hochkomplexe Netzwerke und kritische physikalische Prozesse transparent zu überwachen.
Energieversorger und Netzbetreiber sollten zeitgemäße Sicherheitsmaßnahmen umsetzen und neuartige Ansätze bei der Implementierung in Betracht ziehen. Man muss allerdings einräumen, dass sich trotz aller Unkenrufe die deutschen Unternehmen und Betreiber der Lage sehr wohl bewusst sind und damit begonnen haben, Budgets in weit größerem Ausmaß als noch vor Kurzem für Cybersicherheitsprojekte in den beschriebenen Bereichen bereitzustellen.«
Gesetz zur Umsetzung der NIS-Richtlinie und BSI-Kritisverordnung in Kraft getreten
Kritische Beurteilung der Ausfallsicherheit für jedes vierte Unternehmensnetzwerk
Governance, Risk und Compliance – Risikoanalysen für kritische IT-Infrastrukturen
Gesetz zur Umsetzung der NIS-Richtlinie und BSI-Kritisverordnung in Kraft getreten
Ransomware nimmt kritische Infrastrukturen ins Visier – Ausfallzeiten durch Cyberangriffe
Drei Sicherheitsmaßnahmen für anwendungskritische Kommunikationsnetze
Branchen nach ihrer Abhängigkeit von kritischen IT-Infrastrukturen klassifiziert