Im parallel zur it-sa vorgestellten Lagebericht 2022 warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI): Gezielte Angriffe auf kritische Infrastruktur nehmen ebenso zu wie Hackerangriffe auf Unternehmen und politische Einrichtungen. „Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie", sagte der BSI-Vizepräsident Gerhard Schabhüser während der Pressekonferenz zur Vorstellung des Lageberichts. Insgesamt habe das BSI im Berichtszeitraum 452 Meldungen aus den zur Meldung verpflichteten KRITIS-Sektoren erhalten. Angriffe auf Kritische Infrastruktur müssen von deren Betreibern an das BSI gemeldet werden.
Aus der Politik kommt die Forderung nach stärkerem Schutz Kritischer Infrastruktur. Doch Experten beurteilen nicht nur die Situation unterschiedlich, sie empfehlen verschiedene Lösungsansätze, wie eine Recherche während der Security-Fachmesse it-sa zeigte. Deutlich wird, dass KRITIS-Sektoren moderne Schutzkonzepte benötigen jenseits von klassischen Sicherheitslösungen wie Firewall oder Endpoint-Protection (EDR).
Hohes Sicherheitsniveau und mangelhafte Regulierung
Je nach KRITIS-Bereich sei die Problematik aber recht unterschiedlich, betont Stefan Strobel, Geschäftsführer und Gründer des IT-Sicherheitsspezialisten Cirosec. „Besonders sensible Infrastruktur wie Kernkraftwerke sind seit Jahrzehnten sehr gut abgesichert“, hebt er hervor. „Dort ist beispielsweise die IT-Architektur in verschiedene Ringe unterteilt, die voneinander etwa durch Airgaps abgeschottet sind“, ergänzt er. Als Airgap oder Luftspalt werden IT-Netze bezeichnet, zwischen denen keine Verbindung besteht. Strobel urteilt: „Was wir in Deutschland in diesen Bereichen an Sicherheit haben und hatten, sucht in der Welt seinesgleichen“.
Anders hingegen sehe es bei kleineren Betreibern Kritischer Infrastruktur aus. Hier erkennt der Security-Experte deutliche Defizite: „Zum Beispiel im Gesundheitssektor existiert noch sehr viel Nachholbedarf“. Dort und in anderen Sektoren verlasse man sich oft nur auf klassische IT-Sicherheitselemente wie Firewall und Malware-Schutz. Es fehle aber die Möglichkeit, Angriffe oder gar Eindringlinge zu erkennen. Dadurch könnten Gegenmaßnahmen nicht oder nur verzögert eingeleitet werden. Ein anderer Punkt: „Das BSI hat eine 'Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung' erstellt. Darin fordert das Amt im Prinzip so etwas wie ein SIEM oder etwas, das regelbasiert Logfiles auswertet“, sagt Strobel. Mit einem Security Information and Event Management (SIEM) können sicherheitsrelevante Meldungen aus Protokolldateien und anderen Quellen ausgewertet werden. Des Weiteren werde gefordert, dass an Netzwerkübergängen, also Gateways, eine Erkennung für Eindringversuche, Network Intrusion Dection (IDS) installiert sein muss. Strobel plädiert stattdessen für moderne Technologien, wie beispielsweise XDR, Micro Segmentation und dergleichen Doch Betreiber seien verpflichtet, die Vorgaben bis zum Frühjahr 2023 umzusetzen. Ein Punkt, den aktuell viele Experten kontrovers diskutieren.
KRITIS-Unternehmen teils überfordert
KRITIS-Unternehmen sehen sich mit zahlreichen Herausforderungen konfrontiert: Angriffsformen seien komplexer geworden, Angreifer professioneller, „da kommt man mit den bisherigen Tools manchmal kaum noch gegen an“, warnt Şahab Ölmez. Das ist vielen Betreibern nicht entgangen: „Viele Unternehmen wissen, dass sie etwas machen müssen, aber sie wissen nicht was“, beschreibt er die Situation. Ölmez ist beim Anbieter für Hochsicherheitslösungen Rohde & Schwarz Cybersecurity (R&S) für den Vertrieb im KRITIS-Segment zuständig. Er weiß: „Es existieren zwar viele Sicherheitslösungen, aber Unternehmen sind häufig überfordert, die Spreu vom Weizen zu trennen, denn die Bewertung und Analyse der Angebote der Hersteller ist für viele zu komplex“.
Ölmez empfiehlt: „Man muss sich immer überlegen, was ein Tag Betriebs- oder Produktionsausfall kostet“. Er kennt viele Einzelfälle, bei denen Handlungsbedarf besteht. Oft seien zwar sinnvolle Sicherheitsvorkehrungen getroffen worden, doch sie reichten heute nicht mehr aus. Ölmez verdeutlicht dies an einem Beispiel: „Umspannwerke sind eigentlich ein abgeschottetes und geschlossenes Netzwerk“, erläutert er, aber die Netzverbindungen seien vielfach überhaupt nicht oder nur schwach verschlüsselt. „Wenn Angreifer wissen, wo die Netzwerkstrecken verlaufen, könnten sie Daten abgreifen oder verändern“, warnt er. Falsche Steuerungsbefehle oder Messwerte könnten die Folge sein. Auch im Bahnverkehr bestehen an sensiblen Stellen unverschlüsselte Kommunikationsverbindungen. Ölmez erklärt: „Zum Beispiel könnte sich jemand bei Weichenstellungen dazwischenschalten und ein Signal oder den Befehl an eine Weiche manipulieren“. Katastrophale Unfälle wären die Folge. Für solche Einsatzgebiete bietet Rohde & Schwarz Cybersecurity Geräte für einen Manipulationsschutz an, etwa in Form einer Verschlüsselung auf Ethernet-Ebene. Diese Geräte sind vom BSI zugelassen bis zur Geheimhaltungsstufe VS-NfD (Verschlusssachen – nur für den Dienstgebrauch).
Resilienz als Lösung
Andere Spezialisten betrachten die Problematik aus einem anderen Blickwinkel. Mirko Ross, Geschäftsführer und Gründer vom OT-Spezialisten Asvin betont: „Kritische Infrastruktur lässt sich nur bedingt schützen“. Er führt aus: „Wenn ich zum Beispiel weiß, wo Transformatorenhäuser stehen, kann ich immer irgendwie einen Stromausfall verursachen“. Ross rät: „Resilienz ist hier das Schlüsselwort“. Darunter wird die Fähigkeit verstanden, mit Störungen so umzugehen, dass es nicht zu gravierenden Folgen oder Ausfällen kommt. Das kann beispielsweise durch massive Redundanz oder Systeme, die bei Problemen in einen definierten Zustand schalten, erfolgen. Doch solche Maßnahmen würden schnell zur ökonomischen Frage, gibt Ross zu bedenken.
Digitalisierung in OT-Bereichen wie etwa im Energiesektor steht vor eigenen Herausforderungen: „Nehmen wir das Stromnetz: Mit Smartgrids vergrößert sich allein schon durch die zusätzlichen IT-Komponenten die Angriffsfläche. Aber die Digitalisierung spielt eine wichtige Rolle, unter anderem, weil ich damit Lasten und Leitungen schnell umschalten kann“, analysiert Ross. Doch damit müssten entsprechende Sicherheitsmaßnahmen einhergehen. Dabei müsse bedacht werden, dass Technik in der OT eine lange Lebensdauer habe, IT Komponenten jedoch schnell veralten und irgendwann dafür keine Updates mehr verfügbar sind. „Das kann dazu führen, dass während der Lebensdauer einer Anlage Steuerungselemente öfter mal ausgetauscht werden müssen, um sie update-fähig zu halten oder weil unsichere Hardware ausgewechselt werden muss“, stellt der Experte fest.
Komplexe Situation erfordert komplexe Betrachtung
Diese kleine Auswahl der zahlreichen Experten auf der it-sa zeigt verschiedene Lösungsansätze für ein akutes Problem. Deutlich wird aber auch, dass die unterschiedlichen Betrachtungsweisen der Experten erst zusammengefügt ein umfassendes Bild ergeben. Es wird die Aufgabe regulierender Gremien sein, auf dieser Basis wirksame Ansätze zu schaffen. „Wichtig wären EU-weit harmonisierte Regularien“, schlägt daher Sudhir Ethiraj vor, der beim TÜV Süd die Cybersecurity-Sparte leitet. Er halte sogar weiterreichende internationale KRITIS-Regulierungen für hilfreich. Dafür den Rahmen zu schaffen, wird zu den zukünftigen Herausforderungen gehören.
Beiträge aus den offenen Foren zu KRITIS auch online
Forenbeiträge der it-sa Expo&Congress aus der Reihe it-sa insights wurden aufgezeichnet und sind jetzt online verfügbar.
Zu den it-sa insights!
Autor: Uwe Sievers