Es scheint ein Wettlauf gegen die Zeit zu sein, wie man es als Zuschauer bei Thrillern schätzt: Mit einer tödlichen Waffe nähert sich der Schurke seinem Ziel und wenn er es erreicht, dann geraten viele unschuldige Menschen in höchste Gefahr. Die Realität ist nicht so weit von der Fiktion entfernt, wenn wir über die Absicherung kritischer Infrastrukturen reden. Dabei geht es nicht immer um Atomkraftwerke oder Forschungseinrichtungen für biologische Gefahrenstoffe, aber eben auch.
Angesichts der wachsenden Bedrohungslage und der elementaren Bedeutung, die kritische Infrastrukturen für unsere Gesellschaft haben, sind wirksame Schutzmaßnahmen für die Sicherstellung des Betriebs unerlässlich. Und daran wird auch gearbeitet. Mit dem Beschluss des neuen IT-Sicherheitsgesetzes durch den Bundestag treten neue Vorgaben für Betreiber in Kraft, die die Sicherung der Funktionalität von kritischen Infrastrukturen verstärken und erweitern sollen.
Weil es eine hundertprozentige Sicherheit aber nicht gibt, brauchen Betreiber ein wirksames Konzept, das ihnen hilft, Schaden einzudämmen und die Produktion wieder in Gang zu bringen, wenn der Schurke sein Ziel doch erreicht.
Kritische Infrastrukturen – welche Branchen und Betriebe zählen dazu?
Kritische Infrastrukturen produzieren Güter und erbringen Dienstleistungen, die für die Gesellschaft von grundlegender Bedeutung sind und die das gesellschaftliche Leben aufrechterhalten. Störungen in kritischen Infrastrukturen können gravierende Auswirkungen auf die Versorgung, Gesundheit und Sicherheit der Bevölkerung haben.
Zu den Sektoren der kritischen Infrastrukturen zählen Energie, Gesundheit, Ernährung, Wasser, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Staat und Verwaltung.
Welche Unternehmen dieser Branchen zu den kritischen Infrastrukturen gehören, definiert die BSI-Kritisverordnung anhand von Schwellenwerten für die unterschiedlichen Anlagenkategorien. Die Unternehmen der kritischen Infrastrukturen sind verpflichtet, das IT-Sicherheitsgesetz umzusetzen.
Schauen wir uns nun an, welchen Bedrohungen sich kritische Infrastrukturen stellen müssen:
Störfälle und ihre Ursachen
Die Anfälligkeit von Industrieunternehmen für unbeabsichtigte Störfälle kann vielschichtige Ursachen haben.
Der Faktor Mensch
Die wohl zuverlässigste Ursache für Störfälle ist und bleibt der Mensch, trotz aller Bemühungen, die Awareness für sicherheitsbedachtes Handeln in Industrieumgebungen zu verbessern. USB-Sticks werden in die Anschlüsse produktiver Anlagen gesteckt oder Vorgaben für sichere Passwörter ausgehebelt, einfach, um Aufwände im Arbeitsalltag zu minimieren oder zu vermeiden. Die meisten durch Mitarbeiter verursachten Störfälle geschehen nicht mutwillig, aber es gibt auch die Unzufriedenen, die sich gezielt rächen wollen und dafür bestehende Sicherheitslücken nur zu leicht ausnutzen können.
Fehlende Professionalisierung der IT in der OT
Im industriellen Umfeld hat die Digitalisierung einen hohen Vernetzungsgrad zwischen Anlagen und Systemen, aber auch zwischen einzelnen Unternehmen erzeugt. Dabei wird die historisch gewachsene IT-Infrastruktur der OT (Operational Technology) oft undokumentiert und ohne definierte Zuständigkeit als Schattenlandschaft neben der klassischen IT betrieben.
Der Aufwand für die Etablierung wirksamer Schutzmaßnahmen, wie z.B. den Aufbau eines Assetmanagements, Netzsegmentierung und Fernwartungszugänge, die vom Betreiber und nicht vom Hersteller kontrolliert werden, ist immens und die Umsetzung von Security-Projekten erfordert entsprechend viel Zeit. Erschwerend kommt hinzu, dass es in der IT-Abteilung, wohin die Verantwortung für OT-Security meist delegiert wird, an ausreichendem Know-how für die spezifischen Anforderungen der OT fehlt.
Gesetze als zahnlose Tiger
Die gesetzlichen Vorgaben für die Absicherung der für die Leistungserbringung in kritischen Infrastrukturen erforderlichen IT erzeugen einen gewissen Handlungsdruck. Nur fehlt an vielen Stellen der verbindliche Charakter, was eine echte Erhöhung des Sicherheitsniveaus weiter verzögert. Ein Beispiel dafür ist die in der BSI-Kritisverordnung beschriebene Verpflichtung für KRITIS-Betreiber, ihre IT-Infrastruktur nach dem „Stand der Technik“ abzusichern und dies entsprechend nachzuweisen. Eine valide Art des Nachweises ist ein ISMS (Information Security Management System), das üblicherweise entsprechend der ISO Norm 27001 aufgebaut wird. Der Hauptzweck und der grundsätzliche Nutzen eines ISMS ist aber viel umfangreicher. Ein ISMS dient der kontinuierlichen Kontrolle und Verbesserung der Informationssicherheit eines Unternehmens, aber das ist wiederum gesetzlich nicht vorgeschrieben. Der volle Effekt dieses wirkungsvollen Instruments bleibt somit meist aus.
Große Unternehmen verfügen in der Regel über ausreichende Ressourcen, um in präventive und reaktive Schutzmaßnahmen wie z.B. in den Aufbau und die Unterhaltung eines CERT (Computer Emergency Response Team) investieren zu können und leisten diesen Aufwand auch ohne gesetzliche Verpflichtung. Für viele kleinere und mittlere Betriebe bedeuten die gesetzlichen Anforderungen bereits enorme Belastungen, die keinen Spielraum für Extras lassen.
So verfügen kritische Infrastrukturen trotz IT-Sicherheitsgesetz und branchenspezifischer Mindeststandards über ausreichend Potential für Schwachstellen, die massive Störfälle auslösen können.
Cyberangriffe und die Urheber
Womit wir bei den Schurken wären.
Die besondere Bedeutung der kritischen Infrastrukturen für das Funktionieren gesellschaftlicher Grundlagen ist gerade auch das, was diese Unternehmen so attraktiv für Cyberkriminelle und andere Angreifer macht. Das Druckmittel für Erpressung ist naturgemäß besonders hoch, weil die Folgen über finanzielle Aspekte weit hinausreichen und die Betreiber sie unbedingt vermeiden müssen.
Die Akteure
Die organisierte Kriminalität hat Angriffe mit Ransomware als Geschäftsmodell für sich entdeckt, das mit weniger Einsatz und Risiko einen höheren Profit als der Handel mit Drogen verspricht. Die Akteure sind wenig zimperlich und agieren hochprofessionell. So werden arbeitsteilig Netzwerke geentert, infiltriert und die Betreiber schließlich mit der Verschlüsselung von Daten zur Lösegeldzahlung erpresst.
Andere Gruppen von Angreifern agieren im Auftrag und finanziert durch fremde Staaten und Militärs. Mit APT-Attacken (Advanced Persistent Threats) soll ein möglichst tiefes Vordringen und eine Ausbreitung in die lokale IT-Infrastruktur ihres Ziels erfolgen, so dass über lange Zeiträume Daten ausgespäht werden können. Eine Bedrohungslage für kritische Infrastrukturen eines Landes aufzubauen, kann für fremde Staaten ein Mittel zur Destabilisierung sein und im Kriegsfall führen Angriffe eine massive Schwächung der gegnerischen Kräfte herbei.
„Ausspähen unter Freunden, das geht gar nicht!“ (Angela Merkel), wird aber trotzdem gemacht!
Welches Ausmaß bezeichnet Cyber-Großschadenslagen?
Das BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) definiert die durch ein Großschadensereignis eingetretene Situation als „ein Ereignis mit einer großen Anzahl von Geschädigten oder Betroffenen und/oder erheblichen Sachschäden unterhalb der Schwelle zur Katastrophe“.
Im Kontext „Cyber“ sind IT-Infrastrukturen betroffen oder sogar ursächlich für die Schadenslage. Da kritische Infrastrukturen oft Betriebe mit verteilten Standorten aufweisen, beispielsweise Wasserwerke oder Energieversorger, können IT-Störfälle großen Ausmaßes eine überregionale und anhaltende Versorgungskrise auslösen, die nicht ohne Weiteres kompensiert werden kann.
Krisenbewältigungsstrategien
Staatliche Vorsorge und Notfallkonzepte
Kritische Infrastrukturen entsprechend der wachsenden Bedrohungslage abzusichern, ist sowohl auf europäischer als auch auf nationaler Ebene im Fokus der Gesetzgebung.
Die EU-Kommission überarbeitet derzeit die Cybersicherheitsstrategie für den gemeinsamen Binnenraum mit einer Neufassung der NIS-Richtline, die dann in nationales Recht umzusetzen sein wird.
Das bestehende deutsche IT-Sicherheitsgesetz, dessen neue Fassung kürzlich vom Bundestag beschlossen wurde, hat die Vermeidung von schweren Störfällen und erfolgreichen Cyberangriffen durch die „Erhöhung der Sicherheit informationstechnischer Systeme“ in kritischen Infrastrukturen zum Ziel.
Fachverbände kritisieren jedoch, dass es bei der Ausarbeitung des IT-SiG 2.0 mehr um Zuständigkeiten von Behörden und Organisationen der Exekutive sowie um die Verwaltung von Compliance ging, anstatt angemessene Sicherheitsmaßnahmen zu definieren. Eine Evaluierung der Wirksamkeit des ersten IT-Sicherheitsgesetzes ist ausgeblieben, so dass die Inhalte des neuen IT-Sicherheitsgesetzes nicht auf diesen Erkenntnissen aufbauen und davon profitieren.
„Cyber-Gesetzgebung in Deutschland ist noch auf dem Niveau eines Faxgeräts!“
– Manuel Atug, AG KRITIS
Die Reaktion auf Sicherheitsvorfälle in kritischen Infrastrukturen liegt entsprechend der einschlägigen Regelungen im BSI-Gesetz in der Zuständigkeit des MIRT (Mobile Incident Response Team) im BSI. Dieses Experten-Team besteht aus ca. 15 Personen, die im Notfall mit wenigen weiteren Ressourcen aufgestockt werden können.
Für wie viele Unternehmen das MIRT zuständig ist, ist über die Schwellenwerte der BSI-Kritisverordnungdefiniert. Im Sektor Wasser ist die Versorgung von mindestens 500.000 Personen für die Einstufung als kritische Infrastruktur entscheidend.
Insgesamt ergibt sich laut Aussage von Manuel Atug von der AG KRITIS eine Anzahl von etwa 1.900 Betrieben in Deutschland, die im Bedarfsfall als kritische Infrastruktur einen gesetzlichen Anspruch auf die Unterstützung vom MIRT des BSI haben.
Und woher erhalten Betreiber Hilfe, deren Versorgungsgrad unter dem festgelegten Schwellenwert liegt, die aber beispielsweise eine ganze Kleinstadt mit Wasser oder Energie versorgen?
Das Cyber-Hilfswerk – eine Initiative der AG KRITIS
Eine Initiative dafür kommt von der Arbeitsgemeinschaft KRITIS, die mit der Gründung des Cyber-Hilfswerks das dringend benötigte Ehrenamt von Cyber-Experten organisiert sehen will. Das fehlt nämlich bisher komplett: Zentral organisierte und lokal agierende Einsatzgruppen für Cyber-Großschadenslagen, analog des für Großschadenslagen etablierten Hilfsapparats mit Freiwilligen Feuerwehren, THW, Malteser, DRK, und sonstigen Organisationen. Samt Jugendarbeit!
Was ist für die Gründung erforderlich?
Staatliche Strukturen für ein Cyber-Hilfswerk sind unerlässlich, um den erforderlichen Rahmen zu setzen und relevante Rahmenbedingungen beispielsweise zum Haftungsausschluss und zur Versicherung der Helfer vorzugeben. Dafür laufen nach Angaben von Manuel Atug bereits Gespräche zwischen der AG KRITIS, die das Konzept entwickelt hat, sowie dem BBK und dem BSI, die die Umsetzung in Zusammenarbeit mit der AG KRITIS verantworten müssten.
Über die Details zum Konzept des Cyber-Hilfswerks habe ich mit Manuel Atug gesprochen, der auch erläutert, wie man dabei helfen kann, die Initiative voranzubringen.
Checkliste: Angriffserkennung in KRITIS Betrieben
CEO & Founder
Die Anforderung nach „Angriffserkennung für kritische Infrastrukturen“ sorgt für zusätzlichen Stress bei der Vielzahl an notwendigen Schutzmaßnahmen.
Deshalb haben wir eine Checkliste: Angriffserkennung in KRITIS Betrieben erstellt, die Ihnen einen effizienten Überblick gibt und vor allem eine strukturierte Bearbeitung ermöglicht.
