Digitale Bedrohungen für kritische Infrastrukturen nehmen weiter zu. Angreifer haben es zunehmend auf betriebliche (Operational Technology, OT) und industrielle Steuerungssysteme (Industrial Control Systems, ICS) abgesehen. Das zeigt auch der Lagebericht zur IT-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Betreiber der kritischen Infrastrukturen sehen sich allerdings mit großer Mehrheit »gut« (57 Prozent) oder »sehr gut« (31 Prozent) gegen moderne Cyberattacken gerüstet. Das hat eine Umfrage von Techconsult im Auftrag von Microsoft Deutschland Ende letzten Jahres ergeben. Lediglich zwölf Prozent bewerten den Schutz vor Cyberattacken als »weniger gut« oder »nicht gut«. Die Ergebnisse sind dabei proportional zur Größe der befragten Firmen: Je größer das Unternehmen, desto besser bewertet es den eigenen Sicherheitslevel. Unternehmen mit zehn bis 49 Mitarbeitern geben sich zu 78,5 Prozent die Noten »gut« und »sehr gut«. Bei Firmen ab 1.000 Mitarbeitern sind es bis zu 86,1 Prozent. Aber stimmt diese Selbsteinschätzung mit der Realität überein?

Die Risiken sind real

Wohl nicht zwangsläufig. Denn wie jüngst auf heise.de veröffentlicht, »kommen im Zuge der Aufarbeitung des vereitelten Hackerangriffs auf die Trinkwasserversorgung der US-Kleinstadt Oldsmar teilweise haarsträubende Details ans Tageslicht. Behördlichen Berichten zufolge konnten nicht nur alle Computer der Mitarbeiter auf die Steuerung des Wasserwerks zugreifen, sie waren auch alle ohne jeglichen Schutz direkt ans Internet angeschlossen, teilten sich ein Passwort für den Fernzugriff – per TeamViewer – und liefen mit dem längst nicht mehr unterstützten Betriebssystem Windows 7.«

Die gute Nachricht, zumindest für Deutschland: die Kombination aus ingenieurtechnischen und gesetzlichen Vorgaben kann tatsächlich oftmals schlimmeres verhindern. Dazu zählt beispielsweise die Vorschrift für Versorgungs- und Entsorgungsbetriebe, eine Anlage grundsätzlich auch manuell steuern zu können. Das ist längst nicht in allen europäischen Ländern der Fall. Sind zusätzlich die Vorgaben nach IT-Grundschutz erfüllt, und werden 2-Faktor-Authentifizierung und andere Best Practices konsequent umgesetzt, lassen sich viele potenzielle Schadensfälle, wenn nicht verhindern so doch zumindest eingrenzen. Zahlreiche Richtlinien und Verfahrensweisen helfen, das Risiko zu minimieren, wie zum Beispiel der schon erwähnte IT-Grundschutz, die ISO 27001 und IEC62443 sowie das Deutsche BSI ICS Security Compendium. Um diese Richtlinien zu überprüfen und zu dokumentieren, stehen sogar kostenfreie Tools wie Light and Right Security ICS zur Verfügung.

Aber so hilfreich diese Tools auch sind, sie bedeuten einen nicht zu unterschätzenden Arbeitsaufwand. Nicht zuletzt, weil die unterschiedlichen KRITIS-Branchen unterschiedliche Sicherheitsanforderungen haben. Um diese Anforderungen zu bewältigen, braucht man geschultes Personal. Vielfach fehlen öffentlichen Institutionen zudem die Gelder für die notwendige Vorab-Bestandsaufnahme. Es bleiben Risiken, speziell was Compliance und den potenziellen Rufschaden bei einem Sicherheitsvorfall anbelangt.

Kritische Infrastrukturen angemessen absichern – warum ist das so schwierig?

Im Wesentlichen sind es fünf grundlegende Probleme, die die meisten der betroffenen Unternehmen zumindest vor Herausforderungen stellen.

1) Interne Ressourcen

Die gesamte Sicherheitsbranche kämpft weiterhin mit knappen internen Ressourcen. Insbesondere mangelt es vielen Unternehmen, eingeschlossen denen, die zu den kritischen Infrastrukturen zählen, an ausgebildeten Sicherheitsexperten, die dem aktuellen Anforderungsprofil entsprechen. Eine Umfrage von (ISC)2 aus dem Jahr 2019 hat ergeben, dass zum damaligen Zeitpunkt rund 4,07 Millionen sicherheitsrelevante Stellen unbesetzt geblieben sind. Wenige Monate später gaben 76 % der im Rahmen des »Stott and May Cyber Security in Focus Survey« Befragten an, in ihrem Unternehmen fehle es an Fachkräften für digitale Sicherheit. Darin liegt nach Ansicht vieler das größte Hindernis bei der Umsetzung ihrer Sicherheitsstrategie.

2) Sicherheitsverletzungen erkennen

OT-Systeme sollten wie IT-Umgebungen kontinuierlich auf Veränderungen hin überwacht werden, die auf einen Sicherheitsvorfall hindeuten könnten. Um IT-Umgebungen zu überwachen, verwenden Firmen üblicherweise agentenbasierte Lösungen. Es scheint zunächst naheliegend, die agentenbasierte Erkennung auf OT-Netzwerke auszudehnen. Nur funktioniert diese Art, Vorfälle zu erkennen, nicht für die Gerätetypen, die der Sicherheit kritischer Infrastrukturen dienen. Das hat einen guten Grund. Beim Installieren und Aktualisieren müssen Agenten stillgelegt werden. Gibt es für diesen Fall keine Kompensation, hätten Ausfallzeiten wie diese schwerwiegende Konsequenzen für jede kritische Infrastruktur – für die Wirtschaft ebenso wie für die nationale und öffentliche Sicherheit.

3) Bedrohungslandschaft

Die OT-Bedrohungslandschaft ist ausgedehnter als die IT-Bedrohungslandschaft. Das hat verschiedene Ursachen. Die meisten Geräte in einer OT-Umgebung werden weit weniger häufig ausgetauscht als IT-Geräte. Solche veralteten Systeme existieren in vielen Unternehmen. Und die wehren sich nicht selten aufgrund der zu erwartenden Kosten gegen ein Upgrade ihrer OT-Technologien. Man kann eben nicht einfach ein neues Steuerungssystem installieren, sondern muss zusätzlich in die entsprechende Netzwerkinfrastruktur investieren, um die Systeme zu unterstützen. Das Problem liegt darin, dass diese veralteten Systeme oft Jahre, wenn nicht Jahrzehnte im Dienst sind. Zudem nutzen sie für die Kommunikation proprietäre Netzwerkprotokolle und verfügen nicht über Mechanismen für ein Remote-Upgrade. Angreifer wissen um diese Gemengelage. Schwachstellen in veralteten Systemen setzen Firmen einem hohen Risiko aus.

4) Mangel an Fachkräften für OT-Cybersicherheit

Unternehmen verfügen nur selten über die nötigen Fachkräfte, um kritische Infrastrukturen zu sichern. In der Tat sind sie genauso vom Fachkräftemangel in der Cybersicherheit betroffen wie Unternehmen anderer Branchen. Daran scheint sich absehbar nichts zu ändern. In einer von Dimensional Research durchgeführten Studie hatte Tripwire herausgefunden, dass 83 % der Sicherheitsexperten sich Anfang 2020 überarbeiteter fühlten als im Vorjahr. In etwa der gleiche Anteil der Befragten (82 %) hatte angegeben, ihr Unternehmensbereich sei unterbesetzt, wobei 85 % der Umfrageteilnehmer der Ansicht sind, dass es in den letzten Jahren schwieriger geworden ist, die richtigen Fachkräfte zu finden. Diese Entwicklung hat zur Folge, dass Unternehmen oftmals nur auf Sicherheitsvorfälle reagieren können, statt sie frühzeitig zu erkennen.

5) Transparenz zur aktuellen Situation

Die oben genannten Punkte unterstreichen die Notwendigkeit, proaktiv mit ICS-Sicherheit umzugehen. Firmen müssen in der Lage sein, industrielle Umgebungen auf Bedrohungen hin zu überwachen und diese zu erkennen, bevor sie auf den Systemen Schaden anrichten. Dazu muss man ganz besonders auf digitale Angriffe achten, die sich gegen Altsysteme richten. Diese Attacken haben entweder das Ziel, eine Störung zu verursachen oder/und auf weitere Teile der Umgebung überzugreifen. Um das zu verhindern, braucht man Lösungen, die den Mangel an Sicherheitspersonal in den eigenen Reihen ausgleichen. Mit anderen Worten, man braucht situative Transparenz im Netzwerk, will man die Sicherheit industrieller Netzwerke stärken.

Konkrete Lösungsansätze

OT und ICS-Umgebungen waren bis vor gar nicht allzu langer Zeit von der Unternehmens-IT getrennt und als solche nicht Teil der Cybersicherheit. OT-Netzwerke sind teilweise älter als die Sicherheitsexperten, die sie jetzt verwalten und wurden zu einer Zeit entwickelt als Cyberangriffe überhaupt nicht möglich waren. Man trifft also nicht selten auf sehr flache Netze, bei denen physische Teilnetze miteinander verbunden sind. Das erschwert es, sie abzusichern. Ad hoc ist das kaum machbar, es handelt sich in jedem Fall um einen kontinuierlichen Prozess. Wenn man über die Implementierung von Sicherheitskontrollen nachdenkt, ist es wichtig, sich mit solchen Tools und Prozessen zu beschäftigen, mit denen man sowohl über traditionelle IT- als auch über OT-Protokolle kommunizieren kann. Zudem sind die Wartungs- und Austauschzyklen in der OT völlig andere als in der IT, auch wenn sich ein Trend zur Verkürzung in der OT abzeichnet. Nichtdestotrotz sind sie nicht mit der Schnelllebigkeit von IT und IT-Security zu vergleichen, sondern langfristiger angelegt. OT-Teams und Werksleiter tun sich zudem schwer mit den häufigen Aktualisierungen auf der IT-Seite, denn die verursachen Ausfallzeiten, die man seitens der OT vermeiden will.

Sollte man also auf IT-übliche Sicherheitskontrollen auf der betrieblichen Seite verzichten? In der Praxis läuft es fast immer auf eine Mischform hinaus. Einige empfehlenswerte Praktiken und Überwachungsmöglichkeiten der IT lassen sich durchaus auf OT-Seite anwenden. Sie müssen allerdings für genau den industriellen Kontext modifiziert und verständlich gemacht werden, in dem sie zum Einsatz kommen. IT-Sicherheit ist eine immens komplexe Angelegenheit geworden, die sind Bedrohungen ausgefeilt. Diese Komplexität ist auf OT-Seite nicht immer leicht zu vermitteln, weil hier andere Prioritäten den Takt vorgeben.

Ein erster Schritt, um flache Netze besser zu schützen, ist es, sie zu segmentieren. Man kann beispielsweise damit beginnen, die Protokollaktivitäten zu überwachen und anhand identifizierter Schwachstellen einen Risiko-Score für die inventarisierten Systeme zu vergeben. In diesem Stadium haben Firmen bereits eine gewisse Transparenz erlangt, und es ist nicht ungewöhnlich, dass dann in Firewalls oder Patching-Lösungen investiert wird. Ab diesem Zeitpunkt geht es aber vor allem darum, die Umgebung kontinuierlich zu überwachen. Hat ein Betrieb eine Konfiguration eingerichtet, die er als sicher betrachtet, benötigt man die richtigen Tools, um Abweichungen von dieser Definitionsgrundlage schnell zu erkennen. Die effektivsten Monitoring-Lösungen sind dabei meist eine Kombination aus unterschiedlichen Tools (passiv, aktiv oder hybrid), die jeweils dort zum Einsatz kommen sollten, wo sie die beste Wirkung entfalten. Dann arbeiten sie effektiv, liefern die größtmögliche Transparenz und halten gleichzeitig die Netzwerke so stabil und verfügbar wie möglich.

Fazit

Fortschrittliche ICS-Sicherheitslösungen tragen dazu bei die geschilderten Probleme zu lösen. Diese Tools kompensieren die mangelnde Expertise bei der OT-Cybersicherheit beispielsweise durch Schwachstellenbewertungen in industriellen Umgebungen. Die Ergebnisse dieser Assessments dienen anschließend dazu, Netzwerk und Systeme auf potenzielle Probleme hin zu überwachen. Dabei schließt man sämtliche Anzeichen ein, die darauf hindeuten, dass ein Angreifer sich Schwachstellen in einem Altsystem zunutze macht. Im Idealfall kann man auf einheitliche Lösungen zurückgreifen, die das gesamte OSI-/Purdue-Modell einschließlich sämtlicher Layer abdecken und die Firmen helfen, die umfangreichen Compliance-Anforderungen der Branche – wie z. B. NERC KVP, NIST, CIS, IEC62443, NIS-/ CAF-Richtlinien zu erfüllen.

Aber für »One Size fits all« sind die Unterschiede zwischen den einzelnen Umgebungen viel zu groß. Unabhängig davon für welche Lösung sich ein Unternehmen entscheidet, muss der Prozess immer wieder justiert werden. Es handelt sich um eine Schlüsselfunktion, insbesondere, wenn ein Betrieb seine Cybersicherheit anhand vertrauenswürdiger Industriestandards oder Frameworks modellieren möchte.

Maximilian Gilg, Industrial Control Systems Security Engineer, Tripwire

2534 Artikel zu „KRITIS Sicherheit“

NEWS | IT-SECURITY | KOMMUNIKATION | TIPPS

Kritische Kommunikation: Fünf Sicherheitsfallen, die Unternehmen vermeiden sollten

4. August 2020

Smartphone und Tablet bieten zahlreiche Einfallstore für Cyberkriminelle. Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation vor den unterschiedlichsten Sicherheitsrisiken schützen, warnt Virtual Solution. Fallen Strom-, Wasser- oder Gesundheitsversorgung durch Hackerangriffe aus, drohen schlimme Konsequenzen für Bürger und Unternehmen. Die Herausforderungen in puncto IT-Sicherheit nehmen für Energieversorger, Krankenhäuser oder Transportunternehmen kontinuierlich zu, denn die Angriffsflächen…