Getty Images
Kritische Infrastrukturen und die Cyber-Security-Revolution
Unternehmen, die im Bereich kritische Infrastrukturen agieren, stehen vor großen Herausforderungen in Sachen Security. Sie sehen sich einer komplexen Bedrohungssituation gegenüber.
Organisationen, die in einer der definierten kritischen Infrastrukturen tätig sind, gehören zu den attraktivsten Zielen für Cyberangriffe – dies sollte allerdings keine Überraschung sein. In einigen Fällen rührt das Interesse gut organisierter Krimineller daher, dass es sich beispielsweise bei Versorgungsunternehmen oft um Konzerne handelt, die Millionen von Finanzdaten speichern. Häufiger ist die Motivation jedoch, dass ein erfolgreicher Cyberangriff nicht nur hinsichtlich der Infrastrukturen, sondern auch im gesellschaftlichen Leben für erhebliche Störungen sorgt.
Cyberkriminelle verfolgen eine Reihe von Zielen, darunter Terrorismus, Profit, staatliche Interessen – oder eine Kombination aus allen drei Punkten. Es ist nicht ungewöhnlich, dass Cyberkriminelle primär einen Fußabdruck innerhalb eines Unternehmens hinterlassen und anschließend herausfinden möchte, wie sie diesen später optimal nutzen kann. Dies ist eine verlockende Möglichkeit für jeden, der die Schlüssel zu einem so attraktiven Angriffsziel besitzt. Zweifellos verfolgen Angreifer und staatliche Akteure disruptivere und destruktivere Cyberangriffe gegen Unternehmen im Segment kritischer Infrastrukturen. Die 20 bekanntesten Cyberspionagegruppen haben ihre Aktivitäten in den letzten Jahren um ein Drittel erhöht und wollen laut des aktuellen Symantec Internet Security Threat Report (ISTR) weitere Angriffe durchführen. Mehr als 50 Prozent der Verantwortlichen im Energiesektor nannten Cybersicherheit als eines der Top-5-Risiken.
Zu den jüngsten, schwerwiegenden Angriffen auf Unternehmen im Bereich kritische Infrastrukturen gehören Dragonfly in Europa und Nordamerika sowie Industroyer und Shamoon, die vor allem im Nahen Osten Schaden anrichteten. Hervorzuheben sind auch Stuxnet, ein Computerwurm, der aus der digitalen Welt in die physische Welt eindrang und auf industrielle Steuerungssysteme (ICS) ausgerichtet ist, sowie das auf sicherheitsinstrumentierte Systeme (SIS) fokussierte Triton. Für kritische Infrastrukturen stellen oftmals operative Technologien und ICS das größte Risiko dar. Der Grund: Häufig handelt es sich um Legacy-Systeme, bei denen es nie geplant war, sie an Netzwerke oder die Cloud anzubinden.
Bedrohungen lauern aber auch an anderen Stellen. Nicht alle Angriffe, die auf Unternehmen im Bereich kritischer Infrastrukturen abzielen, sind bewusst darauf ausgerichtet. WannaCry war zum Beispiel ein sehr breiter Ransomware-Angriff, der einen großen Einfluss auf das Gesundheitswesen hatte.
Die Auswirkungen der Regulierung
Unternehmen in den definierten kritischen Infrastrukturen sind ebenso anfällig für Cyberangriffe wie andere Organisationen – die Auswirkungen sind allerdings deutlich schwerwiegender. Die EU hat deswegen unter Einbeziehung der Länder, in denen die Firmen tätig sind, die Richtlinie über die Netz- und Informationssysteme (NIS) eingeführt, die sowohl Betreiber kritischer Infrastrukturen als auch Anbieter digitaler Dienste berücksichtigt.
Die deutsche Regulierungsbehörde hat die Anbieter wesentlicher Dienstleistungen als Organisationen in den Bereichen Finanzen und Versicherungen, Gesundheit, Transport und Verkehr, Energie, IT und Telekommunikation, Medien und Kultur, Wasser, Ernährung und Regierung festgelegt. Diese Anbieter kritischer Infrastrukturen müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, wenn die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme gestört ist und dies zu einem Ausfall oder einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen führen kann.
Mehrheitlich entspricht die Richtlinie dem deutschen IT-Sicherheitsgesetz 2015 (IT-Sicherheitsgesetz, ITSA). Damit hat sich am deutschen Recht durch die NIS-Richtlinie nur wenig geändert. Die Richtlinie hat jedoch drei wichtige Auswirkungen auf Unternehmen im kritischen Infrastruktur-Bereich:
- Abgesehen von den anfänglichen direkten Auswirkungen unterstreicht ein erfolgreicher Angriff, dass die Organisation hinter ihren regulatorischen Verpflichtungen zurückgeblieben ist. Unternehmen müssen Cyberbedrohungen offenlegen und damit auch der Öffentlichkeit schneller als in der Vergangenheit Rede und Antwort stehen – vielleicht sogar, bevor ein Unternehmen über alle Antworten hinsichtlich des Angriffs verfügt. Damit ist auch die Reputation der Organisation gefährdet. Dieses Risiko betrifft auch die Vorstandsebene und kann am Ende CISOs dabei unterstützen, höhere Budgets für die Bekämpfung von Cyberangriffen zu erhalten. Darüber hinaus wird dies letztlich auch eine Weiterbildung hinsichtlich Cyber Security und bereits bewährter Verfahren fördern, damit ein erfolgreicher Cyberangriff weniger als bislang ein Stigma ist.
- Dragonfly zeigt, dass Lieferketten gezielt angegriffen werden, damit Hacker einen Zugang zu ihrem eigentlichen Angriffsziel erhalten. Obwohl die NIS-Richtlinie nur für Unternehmen gilt, die eine bestimmte Anzahl von Kunden bedienen, sollte sie eine bessere Cyber-Security innerhalb der Lieferkette für kritische nationale Infrastrukturen gewährleisten – sowohl innerhalb der EU als auch weltweit. Dies wird Teil vieler Ausschreibungen werden und insgesamt zu einer Best Practice.
- Während die Geldbußen im Zusammenhang mit der NIS-Richtlinie im Vergleich zur EU-DSGVO relativ gering sind, müssen Organisationen nun nachweisen, dass sich dies auf die Dynamik und Verantwortung innerhalb von Unternehmen und über die gesamte Lieferkette hinweg auswirkt. Eine stärkere Regulierung verbessert das Sicherheitsverhalten von Unternehmen und kann zu klar definierten Verantwortungsbereichen führen. Die Cyber-Security-Branche verstärkt diesen Trend noch weiter: Im Falle eines Verstoßes versuchen sie, den Organisationen die Verantwortung zu übertragen.
Kontinuierlich neue Bedrohungen und Lösungen
Mit neuen Technologien erhalten auch Cyberkriminelle bessere Tools, um Unternehmen anzugreifen. Es wird aber auch weiterhin generische Malware mit breiter Wirkung geben, ebenso wie solche, die speziell auf den Bereich kritische Infrastrukturen ausgerichtet sind. Dazu gehören Lieferkettenangriffe und gezielte Angriffsgruppen. Solche Firmen sind für die deutsche Wirtschaft jedoch enorm wichtig, entsprechend werden anspruchsvollere und oft längerfristige Techniken wie Living of The Land, Spear Phishing und Insider-Drohungen von „Schläfern“ zunehmen – sie versprechen Hackern eine höhere Erfolgsquote.
Vernetzte Haushalte bieten ebenfalls Möglichkeiten, kritische Infrastrukturen zu stören. Das heimische WLAN ist viel einfacher zu hacken als Security-Maßnahmen in Unternehmen. Vernetzte Thermostate, intelligente Zähler und Geräte können dazu genutzt werden, um zum Beispiel schädliche Spitzen im Energiebedarf zu erzeugen. Gewinnorientierte Angriffe lassen sich fast vorherzusagen, etwa um die Finanzdaten von Kunden zu gewinnen, der mit dem Abbau der Infrastruktur beginnen könnte.
Unternehmen im Segment kritischer Infrastrukturen stehen vor enormen Herausforderungen. Sie sind für viele Cyberkriminelle attraktiv – und sehen sich daher mit einer immer komplexeren Bedrohungssituation konfrontiert. Im Hinblick auf die digitale Transformation identifizieren Unternehmen eine wachsende Zahl von Legacy-Systemen und -Infrastrukturen. Gleichzeitig werden immer mehr Geräte in der Consumer-Welt miteinander vernetzt, die Nachfrage und Nutzung steuern.
„Durch die wachsenden Herausforderungen an die Cybersicherheit stehen Unternehmen an einem Wendepunkt, an dem sie ihren gesamten Ansatz überdenken und verändern müssen.“
Markus Härtner, Symantec
Die immer umfangreicheren Angriffsszenarien müssen in der Regel innerhalb der gleichen Cyber-Security-Budgets verwaltet werden. Gleichzeitig sollten diese Systeme und Verfahren schnell ausgereift sein, um neue Richtlinien (nicht nur die NIS-Richtlinie, sondern auch die EU-DSGVO) einzuhalten. Hinzu kommt der bekannte Fachkräftemangel im Cyber-Security-Bereich. Diese Kombination zeigt das Ausmaß der Herausforderungen deutlich.
Ihr internes Umfeld können Unternehmen kontrollieren und somit auch ihre Cyberabwehr vereinfachen. Dazu gehört beispielsweise, die Anbieter zu reduzieren und ihre Security-Produkte zu integrieren. So lassen sich Daten korrelieren und priorisieren – aber gleichzeitig auch eine höhere Automatisierung erreichen. Der Vorteil hiervon liegt auf der Hand: Organisationen verbessern ihre Compliance und entlasten gleichzeitig ihre IT-Teams von Verwaltungsaufgaben.
Durch die wachsenden Herausforderungen an die Cybersicherheit stehen Unternehmen an einem Wendepunkt, an dem sie ihren gesamten Ansatz überdenken und verändern müssen. Künftig ist Sicherheit deutlich strategischer für Organisationen und das Zeitalter der plattformgeführten Cyber Security beginnt. Die Multi-Punkt-Lösungen von gestern müssen entweder ersetzt oder in eine unternehmensweite Cyber-Security-Plattform integriert werden. Dieser Pool von Cybersicherheitsdaten steigert die Effizienz erheblich – von de-duped Alarmen über eine verbesserte Kontrolle und eine schnellere Reaktion bis hin zu einer höheren Automatisierung. Machine Learning und künstliche Intelligenz (KI), insbesondere in Kombination mit einem Data Lake, der die globale Threat Intelligence bündelt, ermöglichen es Unternehmen, ihre Cyberabwehr komplett anders aufzusetzen.
Unternehmen, die zu einer der definierten kritischen Infrastrukturen gehören, stehen derzeit vor den größten Herausforderungen bei der Cybersicherheit. Sie gehören aber auch zu den Vorreitern hinsichtlich eines neuen Niveaus an Schutz.
Über den Autor:
Markus Härtner ist Vice President DACH bei Symantec.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
