Risiken bei kritischen Infrastrukturen
Ein Sturm zieht auf
Telefone, Lebensmittel, Elektrizität, Transport: Kein Luxus, sondern Notwendigkeiten einer modernen Gesellschaft, ohne die wir nicht mehr überlebensfähig wären. Eine Unterbrechung des Betriebs von KRITIS hätte demnach fatale Folgen, weshalb sie inzwischen zum Ziel von Cyberkriminellen geworden ist.
Mit dem Einzug des modernen Terrorismus hat sich die physische Sicherheit von Kraftwerken, Flughäfen, Wasseraufbereitungsanlagen und vielen anderen Orten erhöht. Jens Stoltenberg, Generalsekretär der NATO, sagte kürzlich: „Ein Cyber-Angriff kann genauso zerstörerisch sein wie ein konventioneller Angriff, und praktisch jeder Konflikt besitzt inzwischen auch eine Cyber-Dimension. Die Fähigkeit, uns im Cyberspace zu verteidigen, ist also genauso wichtig wie die physische Verteidigung an Land, auf See und in der Luft“.
In der Tat ist die Sicherung der komplexen IT-Systeme in solchen Einrichtungen für unsere fortlaufende Sicherheit entscheidend. Das zeigten im vergangenen Jahr die Auswirkungen des WannaCry-Angriffes, der auch KRITIS-Betreiber wie beispielsweise das britische Gesundheitssystem NHS (National Health Service), die deutsche Bahn oder Telekommunikationsunternehmen in Portugal und Spanien betraf und hier Ausfälle verursachte. Auch wurde in der Vergangenheit ein Stuxnet-Virus eingesetzt, um iranische Atomanlagen anzugreifen und zu beschädigen – sozusagen als „Cyber-Waffe“. Darüber hinaus wird angenommen, dass staatlich geförderte Hacker 2017 einen Cyber-Angriff auf EirGrid, einen irischen Übertragungsnetzbetreiber für Strom, durchführten. Die Router wurden zum Abhören der Kommunikation kompromittiert.
Kritische Infrastruktur muss reibungslos betrieben werden. Umso erschreckender sind die Ergebnisse der Umfrage „Monitor 2.0 IT-Sicherheit Kritischer Infrastrukturen“, die zeigt, dass mehr als die Hälfte der Befragten aus KRITIS-Branchen im letzten Jahr das Ziel von Cyber-Attacken gewesen waren. Die Mehrheit der Studienteilnehmer schätzte die Bedrohungslage für den Wirtschaftsraum Deutschland als hoch oder sehr hoch ein.
Der erhöhte Bedarf an Transparenz
Wie also kann eine KRITIS-Organisation gegen Cyberkriminelle vorgehen? Die Zeiten, in denen Systeme isoliert und von Netzwerken getrennt werden, sind vorbei. Tatsächlich ist es in KRITIS-Sektoren besonders schwierig, die Organisation vollständig im Blick zu behalten. Es gibt zahlreiche unterschiedliche Systeme – oftmals Legacy-Systeme und eingebettete Systeme –, die alle zunehmend miteinander verbunden sind und riesige Datenmengen generieren, die oft zuvor in Informationssilos aufbewahrt wurden. Angesichts einer weitläufigen und komplexen Bedrohungslandschaft benötigen Unternehmen jedoch Transparenz über diese Silos hinweg, um ein vollständiges Bild über mehrere Systeme hinweg zu erstellen. Dazu gibt es zahlreiche Maßnahmen, die zur Abwehr von Cyber-Angriffen eingesetzt werden können.
Die Bedrohung durch externe Angreifer zu bekämpfen ist der offensichtlichste erste und auch wichtige Schritt, reicht jedoch nicht aus. Firewalls können implementiert, Virenscanner installiert und mehrere Kennwörter eingesetzt werden – abschrecken wird dies die Angreifer nicht, dafür sehen sie ihr Ziel als zu wertvoll an. Selbst sogenannte Air-Gapping-Systeme sind keine narrensichere Verteidigungsmaßnahme, so nimmt man an, dass ein Stuxnet-Virus über infizierte USB-Laufwerke auch in die Netzwerke von Air-Gapped-Geräten gelangen kann.
Ein nächster Schritt ist das Szenario-Monitoring. Betreiber von kritischer Infrastruktur müssen nach Anomalien suchen und im Idealfall automatisch darauf reagieren. Ungewöhnliche Aktivitäten im System müssen identifiziert und in Echtzeit untersucht sowie Gegenmaßnahmen ergriffen werden.
Mit Hilfe von UEBA externe und interne Bedrohungen bekämpfen
Deshalb wächst die Bedeutung von Tools wie User and Entity Behavior Analytics (UEBA) im Kampf gegen die moderne Cyberkriminalität stetig. Mit ihrer Hilfe können Eindringversuche automatisch erkannt und eine Reaktion in die Wege geleitet werden, nicht nur bei Bedrohungen von außen, auch bei ungewöhnlichem Verhalten von Mitarbeitern oder Partnern – etwa dann, wenn ein Mitarbeiter versucht, auf wesentlich größere Datenmengen als sonst zuzugreifen. Denn das könnte ein Hinweis darauf sein, dass er mit Angreifern oder Konkurrenten zusammenarbeitet. UEBA kann eine solche Anomalie identifizieren, zur Begutachtung markieren und den Zugriff aussetzen, bis die Untersuchung abgeschlossen ist.
UEBA gehört zu den Fähigkeiten eines NextGen SIEM Systems, das inzwischen als ein entscheidendes Element der Cyber-Verteidigung eines Unternehmens gilt. Es erkennt anormale Aktivitäten und reagiert mit Warnungen und automatischer Minderung. Dabei spart es Zeit, sodass sich interne IT-Teams auf andere wichtige Aufgaben konzentrieren und die betriebliche Effizienz verbessern können. Des Weiteren unterstützen fortschrittliche Sicherheitsanalysen mit künstlicher Intelligenz (KI) und maschinellem Lernen automatisierte Echtzeit-Warnmeldungen zur Überprüfung von Aktivitäten und Sicherheit sowie Berichte zur Einhaltung von Vorschriften und zur Überprüfung von Vorschriften.
Um zukünftige Cyber-Angriffe zu vermeiden, durch die lebenswichtige Infrastruktur des Landes gefährdet werden könnte, müssen intelligente, umfassende Cyber-Sicherheits-Tools implementiert werden. Ein ganzheitlicher Überblick über die verschiedenen IT-Systeme der kritischen Infrastruktur ist hierbei von besonderer Bedeutung. Wenn diese hohe Transparenz mit Verhaltensanalysen kombiniert wird, sind CNI-Firmen in der besten Position, zukünftige Cyberangriffe vorherzusehen und ihnen entgegenzuwirken.
Ross Brewer ist Vice President und Managing Director EMEA bei LogRhythm
Lesen Sie mehr zum Thema
