Vier Türme eines Kernkraftwerkes im Sonnenaufgang.

stock.Adobe.com/martinlisner + WhataWin (Composing)

01.07.2022 Publikation

IT-Security: Verletzliche Vernetzung

Die IT von kritischen Infrastrukturen braucht besonderen Schutz, denn hier kann das Gemeinwesen besonders empfindlich getroffen werden. Das IT-Sicherheitsgesetz hat zwar das allgemeine Schutzniveau erhöht, doch die Digitalisierung führt zu immer mehr Offenheit statt Abschottung.

von Markus Strehlitz

Wenn der Strom ausfällt, Telefon und Internet nicht funktionieren oder Ärzte keinen Zugriff auf Patientendaten haben, trifft das unser Gemeinwesen empfindlich. Kritische Infrastrukturen gewährleisten die Versorgung und Sicherheit eines Staates. Zu ihnen gehören per Definition der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS-Strategie) aus dem Jahr 2009 unabhängig von ihrer Größe alle Organisationen aus den Bereichen Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Medien und Kultur, Wasser, Finanz- und Versicherungswesen, Ernährung und Staat und Verwaltung. Ihre Betreiber müssen diese besonders schützen – unter anderem vor Cyberangriffen. Denn die IT ist ein sensibler Punkt. Sie ist das Nervensystem der kritischen Infrastrukturen. Wird sie angegriffen, kann das zu „nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen führen“, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit in Deutschland schreibt.

Verletzlichkeit macht erpressbar

Beispiele zeigen, wie ernst die Bedrohung zu nehmen ist. So wurde etwa das Universitätsklinikum Düsseldorf im September 2020 Opfer eines Ransomware-Angriffs. Dabei werden Daten verschlüsselt, um das betroffene Unternehmen zu erpressen. Das Krankenhaus musste sich aufgrund des Ausfalls zentraler Systeme tagelang von der Notfallversorgung abmelden. Planbare und ambulante Behandlungen wurden abgesagt oder verschoben. Die Süddeutsche Zeitung berichtete, dass eine Patientin starb, die wegen des Angriffs auf die Server in ein weiter entferntes Krankenhaus gebracht werden musste.

Ransomware kam auch beim Angriff auf eine US-Pipeline in den USA zum Einsatz. Der Betreiber Colonial Pipeline unterhält ein Netz von circa 8000 Kilometern und nimmt eine Schlüsselposition bei der Versorgung von Verbrauchern mit raffinierten Produkten entlang der Ostküste ein. Als Folge des Angriffs schaltete Colonial Pipeline sein Verwaltungsnetz ab und setzte den Betrieb der Pipeline aus. Dies sorgte für regionale Engpässe und Hamsterkäufe beispielsweise von Benzin.

Die Experten des BSI halten es für möglich, dass ein vergleichbarer Cyberangriff auch in Deutschland passieren könnte – auch wenn das Amt klarstellt, dass IT-Angriffe auf hiesige Energieversorgungsunternehmen bisher lediglich die Office-Systeme zum Ziel hatten. Die kritischen Dienstleistungen seien jeweils aufrechterhalten worden.

Zwei medizinische Angestellte in Schutzkleider stehen vor medizinischem Gerät und zwei Bildschirmen.

Krankenhäuser und andere Einrichtungen des Gesundheitssystems bieten attraktive Ziele für Cyberattacken. Der Schaden für das Gemeinwesen ist hoch und durch die fortschreitende Digitalisierung gibt es immer mehr Einfallstore für kriminelle Hacker.

| stock.adobe.com/WhataWin + stock.adobe.com/zinkevych (Composing)

Die Auswertungen auf IT-Sicherheit spezialisierter Anbieter verdeutlichen die Gefahr. Zum Beispiel Daten aus dem Threat Labs Report, den die IT-Sicherheitstechnikfirma Trellix im April veröffentlicht hat. Demnach gab es im vierten Quartal des vergangenen

Jahres verstärkt Online-Angriffe gegen systemrelevante Sektoren. 27 Prozent aller aufgedeckten Advanced Persistent Threats (APT) – also besonders komplexe Attacken – hatten die Transport- und Frachtbranche zum Ziel. Damit war dieser Bereich die am stärksten betroffene Branche.

Gesundheitsweisen besonders gefährdet

Am zweithäufigsten wurde das Gesundheitswesen angegriffen. 12 Prozent der Attacken entfielen laut Trellix auf diesen Sektor. „Wir befinden uns in einer kritischen Phase der Cybersicherheit und beobachten zunehmend feindlich gesinntes Verhalten auf einer immer größeren Angriffsoberfläche“, sagt Christiaan Beek, Lead Scientist bei Trellix.

Auch beim Security-Anbieter Kaspersky hält man die Gesundheitsbranche für besonders gefährdet. Dafür habe unter anderem die Corona-Krise gesorgt. Laut einer Kaspersky-Studie aus dem vergangenen Jahr verzeichneten fast drei Viertel (72 Prozent) der deutschen Healthcare-Unternehmen während der Pandemie einen Cyberangriff. Ein gutes Viertel (26 Prozent) der Organisationen hat sogar mehr als eine Attacke erlebt. Entsprechend alarmiert ist die Branche. „Mit 58 Prozent stufen mehr als die Hälfte der IT-Entscheider im deutschen Gesundheitswesen die eigene Bedrohungslage als hoch ein“, sagt Christian Milde, General Manager für Zentraleuropa bei Kaspersky.

Der Hersteller von Security-Software informiert regelmäßig über solche und andere Bedrohungen. Doch vor Kurzem geriet er selbst in die Schlagzeilen. Im März warnte das BSI vor dem Einsatz der Virenschutz-Software von Kaspersky. Grund ist, dass Kaspersky ein ursprünglich russisches Unternehmen ist. Und laut BSI hat der Ukraine-Krieg das Risiko von IT-Angriffen deutlich erhöht. Somit sieht die Behörde auch die Nutzung von Kaspersky-Technik kritisch. „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“, heißt es in einer BSI-Pressemeldung. Kaspersky hält die Warnung für nicht gerechtfertigt.

Viele kleine Attacken, kein großer Knall

Auch andere Experten messen der Sicherheit kritischer Infrastrukturen einen hohen Stellenwert bei. „Meine persönliche Einschätzung ist, dass sich auf diesem Feld ein neuer Kriegsschauplatz bilden könnte“, sagt zum Beispiel Professor Jean-Pierre Seifert, Leiter des Fachgebiets Security in Telecommunications an der TU Berlin. „Die Bedrohung hat definitiv zugenommen.“

Auch Professor Jörn Müller-Quade vom Karlsruher Institut für Technologie (KIT) sieht kritische Infrastrukturen als Ziele in einem möglichen Cyberkrieg. Er rechnet dabei aber nicht mit einem Großangriff. „Der große Knall ist nicht immer das Ziel, insbesondere weil dieser sofort bemerkt wird und Gegenmaßnahmen auslöst“, so Müller-Quade. Tatsächlich laufen seiner Meinung nach viele Angriffe im Hintergrund, etwa um Ziele auszuspähen und spätere größere Attacken vorzubereiten. Immerhin: Das Sicherheitsniveau der kritischen Infrastrukturen in Deutschland ist hoch. Dieser Meinung ist Holger Berens, Vorstandsvorsitzender des Bundesverbands für den Schutz Kritischer Infrastrukturen (BSKI). Die verantwortlichen Mitarbeiter seien sehr gut ausgebildet und die technischen Vorkehrungen vorhanden. Dafür habe vor allem das IT-Sicherheitsgesetz gesorgt. Dieses schreibt den Betreibern von kritischen Infrastrukturen unter anderem vor, alle zwei Jahre den Nachweis zu erbringen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist (siehe Kasten). Doch nicht alle Infrastrukturen sind gleichermaßen gut geschützt. Zu einer umfassenden Sicherheitsstrategie gehört etwa ein unternehmensweites Informationssicherheits-Managementsystem (ISMS). In diesem sind Regeln, Verfahren, Maßnahmen und Werkzeuge definiert, mit denen sich die Informationssicherheit steuern, kontrollieren und optimieren lässt. Ob und wie gut ein solches System umgesetzt ist, hat offensichtlich auch etwas mit der Branche zu tun. So hat das BSI in seinem IT-Sicherheitsbericht festgestellt, dass die Mängel im Bereich ISMS vor allem in den Sektoren Energie und Wasser besonders häufig waren. Gerade die Energiebranche sei jedoch sehr stark von IT abhängig, mahnt das BSI.

Porträtfoto von Sarah Fluchs, Chief Technology Officer admeritia GmbH.

»Viele Betreiber kritischer Infrastrukturen sagen: Wer soll uns schon angreifen? Aber auch wenn jemand aus Versehen angreift, wenn es nur ein Kollateralschaden ist: Den Schaden hat man trotzdem.« Sarah Fluchs, Chief Technology Officer admeritia GmbH

| Benjamin Glauß

Gezielter Angriff oder Kollateralschaden

Hinzu kommt, dass die Segmentierung der Netzwerke ein wichtiges Mittel darstellt, um für Sicherheit in den kritischen Infrastrukturen zu sorgen. Das bedeutet, dass das Netz in einem Unternehmen in bestimmte Zonen eingeteilt wird, die voneinander getrennt sind. In Krankenhäusern sind zum Beispiel kritische Systeme wie Röntgengeräte oder Computertomographen nicht mit der Büro-IT verknüpft. In der Energiebranche oder der Fertigungsindustrie wird das Büronetz von dem der Produktivsysteme getrennt.

Grund dafür ist auch, dass die Operation Technology (OT) beziehungsweise die industriellen Automatisierungssysteme oft gar nicht das eigentliche Ziel eines Angriffs sind. „Häufiger sind Attacken, die es eigentlich auf normale Büro-IT abgesehen haben, und die dann eher versehentlich auf die OT überschwappen“, sagt Sarah Fluchs, Sicherheitsexpertin und CTO des Security-Anbieters admeritia. Auch beim Angriff auf die Colonial Pipeline sei dies der Fall gewesen.

Die Störung der OT sorgt dann aber für die kritischen Ausfälle in der Produktion. Denn die meisten kritischen Infrastrukturen basieren auf Automatisierungssystemen – wie zum Beispiel Wasserwerke, Stromnetze, Logistik oder Nahrungsmittelproduktion. Zudem sind diese Systeme besonders verwundbar. „Die OT wurde nie für die allgegenwärtige Vernetzung gemacht, die es mittlerweile gibt und ist dementsprechend gegen Security-Angriffe oft schlecht gewappnet“, so Fluchs. „Wenn sie nun plötzlich mit den auf ganz anderer Technologie beruhenden Office-Netzen verbunden wird, ist sie anfällig für Kollateralschäden.

Künstliche Intelligenz schützt Stromnetz

Indem man die Schnittstellen zu anderen Systemen und Netzen reduziert, verringert man auch die Zahl der Einfallstore für einen potenziellen Angriff. Der Trend zur Digitalisierung steht einer solchen Segmentierung allerdings entgegen. Um die vielen neuen Möglichkeiten zu nutzen, müssen Systeme miteinander vernetzt werden. Smart Grids in der Energieversorgung brauchen Datenaustausch. Und im Gesundheitswesen wollen die Unternehmen die Möglichkeiten der Telemedizin nutzen. Die Verknüpfung von Netzen – wie die von klassischer IT und OT – ist daher sogar gewünscht. Um trotzdem geschützt zu sein, brauchen kritische Infrastrukturen ein durchgängiges, integriertes Sicherheitskonzept, das sowohl für die IT- als auch die OT-Infrastruktur gilt. Auf technischer Seite bedeutet das, dass beispielsweise Systeme zur Überwachung und Analyse des Netzwerkverkehrs auch auf die OT ausgedehnt werden. Wichtig sind auch regelmäßige Sicherheits-Audits der Systeme, um mögliche Schwachstellen aufzudecken und zu beseitigen.

Künstliche Intelligenz (KI) kann ebenfalls einen Beitrag leisten. So haben zum Beispiel Wissenschaftler des Fraunhofer-Instituts für Optronik, Systemtechnik und Bildauswertung ein System entwickelt, um speziell Netzleitwarten in der Energieversorgung zu schützen. Dieses soll die Informationen zwischen Netz- und Leitsystem überwachen und auf Manipulationen prüfen. Dafür lernt die Überwachungslösung mithilfe von KI zunächst das normale Verhalten auf Mess- und Kommunikationsebene. Dann sei die Software in der Lage, nicht nur die aktuelle Betriebssituation sowie technische Ausfälle oder Störungen, sondern auch Anomalien in den Messwerten beziehungsweise dem Datenverkehr zu erkennen, heißt es in einer Mitteilung.

Insgesamt gebe es einen Trend zu resilienteren kritischen Infrastrukturen, „also solchen, die auch bei unerwarteten Ereignissen noch im gewünschten Zustand bleiben“, fasst Fluchs zusammen. „Das ist aber eine große, schwierige Aufgabe.“

Markus Strehlitz ist freier Journalist und Redakteur beim VDE dialog.