Suchen

Kritische Infrastrukturen und ihre Schwachstellen Digitaler Schutz des öffentlichen Lebens

| Autor: Sarah Gandorfer

Der Ausfall Kritischer Infrastrukturen (Kritis) kann für viele Menschen tödlich enden. Entsprechend ist ihr Schutz eine besonders heikle Aufgabe. Die Digitalisierung und der vermehrte Einsatz des Internet of Things (IoT) bieten Hackern eine große Angriffsfläche.

Firmen zum Thema

Kritische Infrastrukturen (Kritis) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten.
Kritische Infrastrukturen (Kritis) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten.
(Bild: Funtap - stock.adobe.com)

Wie verletzlich heutzutage unsere Infrastrukturen sind, zeigen diverse Angriffe auf Atomkraftwerke durch Hacker, darunter der im indischen Kudankulam im Oktober 2019. Auch hierzulande ist das Eindringen in fremde Netzwerke en vogue. So verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland“ im Zeitraum von 1. Juni 2018 bis 31. Mai 2019 insgesamt 252 Angriffe auf Kritische Infrastrukturen (Kritis), darunter unter anderem zwei Angriffe auf kerntechnische Anlagen, 47 im Gesundheitswesen und 60 im Finanzsektor.

Momentan stehen die Betreiber Kritischer Infrastrukturen angesichts der Covid-19-Pandemie ebenfalls vor besonderen Herausforderungen. Durch die Kontaktbeschränkung gab es hier die Verlagerung dienstlicher Tätigkeiten ins Homeoffice. Das bringt zum einen Engpässe bei dienstlichen Geräten, gesicherten Fernzugriffen, aber auch serverbasierten Telekommunikationsdienstleistungen wie Telefon- und Videokonferenzangeboten mit sich. Eine naheliegende Art der Abhilfe liegt im Hinzuziehen von privaten Geräten oder offenen Leitungen. Dies wiederum vergrößert die mögliche Angriffsfläche. Cyberkriminelle machen sich beispielsweise das erhöhte Informationsbedürfnis in der aktuellen Lage zunutze, schädliche Links und manipulierte Anhänge mit Schadsoftware zu verbreiten. Dies wird bezogen auf Covid-19 bereits weltweit beobachtet, auch deutschlandspezifische Mails sind bereits im Umlauf.

Dominoeffekt

Aufgrund der Abhängigkeiten zwischen einzelnen Sektoren wird das Risiko von Ausfällen noch verstärkt. Ausfälle in einem Bereich können zu Ausfällen in anderen führen und auf diese Weise einen Domino-Effekt auslösen. Eine besondere hohe Abhängigkeit besteht von der Stromversorgung oder von Informations- und Telekommunikationssystemen. Sind sie betroffen, werden oftmals auch andere Sektoren in Mitleidenschaft gezogen, zum Beispiel die Wasserversorgung. Durch die Digitalisierung und den vermehrten Einsatz des Internet of Things (IoT) wird die Bedeutung der Kritischen Infrastrukturen für das Leben hierzulande noch weiter zunehmen. Künftig werden Energiesysteme immer stärker mit Informationstechnik wie intelligenten Stromnetzen, so genannten Smart-Grids, vernetzt werden.

Deren ordnungsgemäße Funktion setzt eine verlässliche Kommunikationstechnik voraus. Um eine beständige Versorgung der Gesellschaft zu gewährleisten, ist ein Mindestsicherheitsniveau für Kritis-Betreiber unerlässlich. Deshalb wurde die so genannte Kritisverordnung (KritisV), basierend auf dem seit Juli 2015 gültigen IT-Sicherheitsgesetz (IT-SiG), entwickelt. Demnach sind die Betreiber verpflichtet, die für die Erbringung ihrer wichtigen Dienste erforderliche IT nach dem Stand der Technik angemessen abzusichern und – sofern nicht andere Spezialregelungen bestehen – diese Sicherheit mindestens alle zwei Jahre überprüfen zu lassen.

Patientenaufnahme per Kugelschreiber statt PC

Für IT-Security-Dienstleister eröffnet sich hier also ein großes Geschäftsfeld. Gefragt sind sowohl IT-Dienstleister , die über ein breites Security-Knowhow verfügen, wie auch solche, die sich auf besondere Nischen spezialisiert haben, wie beispielsweise den Gesundheitssektor. Denn immer öfter geraten Krankenhäuser ins Visier der Cyberkriminellen. So schränkte ein Computervirus das Klinikum Fürth im Dezember vergangenen Jahres massiv ein. Das Virus ist vermutlich per E-Mail in die Computersysteme eingedrungen. Als Reaktion wurde die Internetverbindung des Klinikums vorsorglich gekappt. Das Klinikum konnte vorübergehend keine neuen Patienten mehr aufnehmen und musste Operationen verschieben.

Wenige Monate zuvor waren Krankenhäuser und andere Einrichtungen des Deutschen Roten Kreuzes in Rheinland-Pfalz und im Saarland von einem Cyberangriff betroffen. Das Netzwerk des Verbundes wurde von einer Schadsoftware befallen, die Server und Datenbanken kryptisch verschlüsselte. Auch hier nahm man die Server vorsorglich vom Netz. In der Folge geschah die Aufnahme der Patienten und Befunde von Laboruntersuchungen mit mit Bleistift, Kugelschreiber und Papier.

Wehret den Anfängen, lautet das Motto, wenn es um Kritis geht. Wie weit sich diese kritischen Netzwerke ausdehnen und wie hoch der Grad der Digitalisierung bereits ist, zeigt sich an der elektronischen Gesundheitskarte (eGK) in Verbindung mit dem Ausbau der Telematikinfrastruktur (TI). Um die bessere Versorgung der Kartenbesitzer zu gewährleisten, nimmt die Vernetzung von unterschiedlichen Leistungsträgern zu. Ein Fokus liegt derzeit auf der Entwicklung und dem kommenden Einsatz von neuen Anwendungen wie zum Beispiel das Notfalldatenmanagement, dem eMedikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit und der elektronischen Patientenakte (ePA). Finden Hacker hier Schwachstellen und ändern beispielsweise Medikamente, kann das im schlimmsten Fall mit dem Tod von Menschen enden.

Knackpunkt IoT

Ein Gefahrenpunkt ist zudem die in den Kritischen Infrastrukturen verbaute IoT. Gerade das Internet der Dinge bietet oftmals eine Verwundbarkeit, die Cyberkriminelle ausnutzen. Denn für Hersteller von IoT-Geräten zählt vor allem eine möglichst günstige Entwicklung und schnelles Time-to-Market, was zur Folge hat, dass eine wirksame Überprüfung auf potenzielle Sicherheitslücken kontinuierlich vernachlässigt wird. Die wöchentlichen Schlagzeilen rund um IoT-Leaks sind ein gutes Abbild dieser Situation – ganz egal, ob es sich um Angriffe auf Router, drahtlose Funkverbindungen, Zeituhren, Audio-/Video-Streaming-Geräte, Raspberry Pis, IP-Kameras, DVRs, Satellitenantennengeräte oder intelligente Garagentoröffner handelt.

Untersuchungen bestätigen die prekäre Lage: So waren laut einer Gartner-Marktstudie fast 20 Prozent der Unternehmen in den letzten drei Jahren von mindestens einem IoT-basierten Angriff betroffen. Und laut dem European Cybercrime Center (EC3) hatten sogar 67 Prozent der Cybervorfälle in Unternehmen im ersten Halbjahr 2019 mit IoT-Devices oder ungemanagten IT-Geräten zu tun. Gartner prognostiziert für 2020 rund 2,4 Milliarden US-Dollar und für 2021 rund 3,1 Milliarden US-Dollar an weltweiten Security-Ausgaben für das Internet der Dinge.

Hacken für Dummies

Um Schwachstellen im Netzwerk ausfindig zu machen, braucht es kein tiefes Nerd-Wissen. Es reicht, sich Suchmaschinen wie Shodan oder Thingful zu bedienen. Hierbei handelt es sich um Computer-Suchmaschinen. Sie ermöglichen es, bestimmte Arten von Geräten und Diensten die mit dem Internet verbunden sind, über eine Reihe von Filtern zu finden. Ermittelt werden Daten von Webservern (HTTP/HTTPS über die Ports 80, 8080, 443, 8443), sowie FTP (Port 21), SSH (Port 22), Telnet (Port 23), SNMP (Port 161), SIP (Port 5060) und Real Time Streaming Protocol (RTSP, Port 554).

Inwiefern die Systeme gegen mögliche Exploits abgesichert sind, geht aus der ersten Suche zwar nicht hervor. Allerdings können über entsprechende Filter, Engineering und Zusatztools die gewünschten Informationen ermittelt werden. So lassen sich beispielsweise via dem kostenlosen Open Source Tool „Kali Linux“ Sicherheits- und Penetrationstests machen.

Für IT-Dienstleister bieten diese Werkzeuge eine Möglichkeit, legal die Schwachstellen ihrer Kunden abzufragen. Kriminelle nutzen sie, um bei gefunden Geräten mit einfachen Mitteln und teils ohne großen Aufwand einen Ausfall zu provozieren. Denn mit Kali Linux lassen sich unter anderem Passwörter knacken, Serversysteme gezielt überlasten oder WLAN-Netze ausspionieren. Aufgrund der stetig wachsenden Anzahl mit dem Internet verbundener Geräte muss sich beim Nutzer das Verständnis für die Notwendigkeit von IT-Security weiterentwickeln.

Dabei spielt es keine Rolle, wie groß das Unternehmen oder die Behörde ist. IT-Dienstleister, die sich auf Kritis spezialisieren, müssen sich nicht nur mit den rechtlichen Anforderungen auskennen, sondern ihren Kunden ein umfassendes Sicherheitskonzept mit den passenden Schutzlösungen sowie fachgerechter Implementierung und Administration bieten.

(ID:46666624)

Über den Autor

 Sarah Gandorfer

Sarah Gandorfer

Redakteurin bei IT-BUSINESS