IT-Sicherheit KRITIS: Angriffsziel Nummer eins?

Ein Gastbeitrag von Gergely László Lesku

Anbieter zum Thema

Das Bundesinnenministerium beschreibt kritische Infrastrukturen als die „Lebensadern moderner, leistungsfähiger Gesellschaften“. Doch ihre enorme Bedeutung für das Funktionieren des Gemeinwesens hat auch Schattenseiten, denn ein Ausfall kann schwerwiegende Konsequenzen nach sich ziehen. So griffen Hacker erst kürzlich den Energieversorger Entega an. Auch wenn die kritische Infrastruktur in diesem Fall noch einmal glimpflich davonkam, wurde deutlich, wie vulnerabel diese Netzwerke sein können, insbesondere in Zeiten internationaler Auseinandersetzungen.

Besonders in Konflikt- und Krisenzeiten ist die kritische Infrastruktur eines Landes gefährdet
Besonders in Konflikt- und Krisenzeiten ist die kritische Infrastruktur eines Landes gefährdet
(© M-SUR - stock.adobe.com )

Südbaden im März 2022: Zeitgleich mit dem russischen Angriffskrieg auf die Ukraine werden die Satellitenverbindungen zahlreicher Windkraftanlagen gestört. Ihr Betrieb muss gestoppt, und Teile müssen ausgetauscht werden. Insgesamt sind europaweit etwa 5.800 Windkraftanlagen von Hacker­angriffen betroffen. Dieses Beispiel zeigt: Besonders in Konflikt- und Krisenzeiten ist die kritische Infra­struktur eines Landes gefährdet. Ihr Funktionieren ist, wie der Name bereits andeutet, entscheidend für die Versorgung und Sicherheit eines Landes oder einer Region. So geraten sie während internationaler Konflikte schnell ins Visier militärisch motivierter Cyberangriffe.

Auch die Sicherheitsexperten sind sich dieser Gefahren bewusst. So veröffentlichten US-Behörden vor kurzem ein Security-Advisory gegen das Hacker-Tool Pipedream, welches gezielt zum Angriff auf industrielle Steuerungs- und Automatisierungssysteme entwickelt wurde. Auch das BSI warnt inzwischen vor diesem neuen Toolkit für Hacker. Laut BSI besitzen die Betreiber kritischer Infrastrukturen ein besonders hohes Schadens­potenzial und der Schutz ihrer ­Cybersysteme sei für das Gemeinwesen von hohem Interesse. Es stellt sich also weiterhin die Frage: Wie kann kritische Infrastruktur insbesondere in Zeiten zunehmender internationaler Konflikte geschützt werden?

Die Besonderheiten ­kritischer Infrastruktur

Auch das BSI legt ein besonderes Augenmerk auf den Schutz kritischer Infrastrukturen, Grundlage dafür ist die „Nationale Strategie zum Schutz Kritischer Infrastrukturen“. Insgesamt werden neun Sektoren zur Kritischen Infrastruktur (KRITIS) gezählt. Dabei wird zwischen technischen Basisinfrastrukturen (z. B. Energieversorgung oder Transport und Verkehr) und sozioökonomischen Dienstleistungsinfrastrukturen (z. B. Gesundheitswesen & Ernährung oder Finanz- und Versicherungswesen) unterschieden. KRITIS zeichnen sich dabei durch sehr komplexe IT-Systeme aus, deren technische Komponenten oft lange im Einsatz sind. So ist es eine besondere ­Herausforderung, notwendige ­Sicherheitsupdates schnell und ­regelmäßig durchzuführen.

Zudem können die einzelnen Sektoren und Betreiber dabei keineswegs losgelöst voneinander betrachtet werden. Im Gegenteil: Die gegenseitige Vernetzung spielt besonders bei kritischen Infrastrukturen eine gewichtige Rolle. Wird also ein Betreiber angegriffen, ist die Gefahr eines Ausfalls weiterer kritischer Infrastruktur groß – der sogenannte Kaskaden- oder Dominoeffekt. Ein Cyberangriff wiegt also meist schwerer, als es im ersten Moment den Anschein hat.

Gemeinsame Lösungen statt Alleingänge

Um diese Herausforderungen zu stemmen, setzt die Politik auch auf einen europäischen Ansatz. Die neue „Network Information Security Directive“ der Europäischen Union (NIS2) setzt einen besonderen Fokus auf KRITIS. So nimmt die EU nun drei zusätzliche Sektoren mit ins Portfolio auf: Abwasser, Raumfahrt und Öffentliche Verwaltung. Auch wenn die NIS2 bereits vor dem russischen ­Angriff auf die Ukraine durch den Gesetzgebungsprozess ging, kommt ihr in Konfliktzeiten eine besondere Rolle zu.

Einheitliche Standards und Meldepflichten sollen dabei helfen, ­Gefahren möglichst schnell zu erkennen und dementsprechend zu handeln. Höhere Bußgelder bei Verstoß gegen die Richtline sollen dafür sorgen, dass Unternehmen ihre Sicherheitsvorkehrungen möglichst schnell auf den neuesten Stand bringen.

Auch die Lieferketten sollen resilienter gemacht werden, denn ­besonders diese waren in der Vergangenheit häufig Einfallstor für Angreifer.

Angreifer nutzen ­Komplexität aus

IT-Systeme, egal ob von KRITIS oder nicht, werden immer komplexer. Sicherheitsfachleute müssen den Überblick über immer größere und weit verzweigte Strukturen behalten. Hinzu kommt, dass die Angriffsstrategien der Eindringlinge immer ausgeklügelter und gezielter werden. Statt ihre ­Attacken breit zu streuen, wird die Schadsoftware gezielt auf bestimmte Ziele, beispielsweise die Systeme von Versorgern, losgelassen. Nachdem das System infiltriert wurde, verhalten sich die Angreifer zeitweise unauffällig, um keinen Verdacht zu erregen und möglichst viele Informationen über die Beschaffenheit des Netzwerks zu sammeln. So fliegen sie unter dem Radar vieler Sicherheitssysteme. Doch wie können Betreiber kritischer Infrastrukturen hier gegensteuern?

Automatisierung als ­Rettungsanker

Zunehmende Komplexität spielt der steigenden Bedeutung von ­Automatisierungsprozessen und künstlicher Intelligenz (KI) in die Hände. Auch im Security-Bereich ist dieser Trend zu beobachten. XDR-Lösungen basieren auf KI und verstärken die Endpoint-­Security, indem sie das Verhalten der sich im Netzwerk befindenden Personen analysiert und in Beziehung setzt. Auch unauffällige Angreifer können so ausfindig gemacht werden. Die Betreiber kritischer Infrastrukturen können davon profitieren. Nichtsdestotrotz sollte der menschliche Faktor nicht vernachlässigt werden. Angreifer nehmen Mitarbeitende immer noch am häufigsten ins Visier, da sie diese als Schwachstelle ausgemacht haben.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Zudem müssen auch die Performance der automatisierten Systeme­ dauerhaft überprüft und etwaige Fehler sofort korrigiert werden. Denn zieht eine KI einmal die falschen Schlüsse, kann das gefährliche Folgen haben: Automatisierung/KI muss also immer mit menschlicher Expertise begleitet werden. Außerdem führt kein Weg an einer regelmäßigen Schulung der Mitarbeitenden vorbei.

Nur nicht stehen bleiben

Die Bedeutung kritischer Infrastruktur ist in den letzten Jahren noch einmal stark gewachsen. Denn neben den „klassischen“ Sektoren, wie Wasser-, Energie- oder Gesundheitsversorgung, sind auch neue Bereiche hinzugekommen, wie etwa Medien & Kultur. Eine hochtechnisierte, globalisierte Gesellschaft, in der wir heute leben, ist an vielen Stellen angreifbar. Um die Resilienz der kritischen Systeme zu bewahren, muss ein internationaler Ansatz gefunden werden, der der globalisierten Zeit gerecht wird.

Die NIS2-Direktive, welche KRITIS besondere Aufmerksamkeit schenkt, ist hier ein Schritt in die richtige Richtung. Betreiber müssen sich bewusst sein, dass mit zunehmender Vernetzung und Komplexität auch neue Strategien und Maßnahmen gefunden werden müssen. Moderne Ansätze, wie Extended Detection & Response, sind dabei ein guter Weg, um den besonders komplexen IT-Systemen in kritischer Infrastruktur gerecht zu werden.

* Der Autor: Gergely László Lesku, Head of Business Development, SOCWISE

(ID:48495442)