Schutz kritischer Infrastrukturen

Sind KRITIS-Unternehmen von Cyberspionage betroffen, geht es häufig darum, Verwundbarkeiten zu identifizieren. Doch wie können sich Betreiber kritischer Infrastrukturen schützen und welche Anzeichen, auf die es zu achten gilt, liegen bei einer Kompromittierung vor?

Der Artikel liefert unter anderen Antworten auf folgende Fragen:

• Inwiefern sind Betreiber kritischer Infrastrukturen durch Cyberangriffe und -sabotage bedroht?
• Wie können sich KRITIS-Organisationen schützen?
• Welche Anzeichen, auf die es zu achten gilt, liegen bei einer Kompromittierung vor?
• Inwiefern stellt der Mensch ein Sicherheitsrisiko dar?
• Wo gibt es Hard- und Softwareschwachstellen?
• Welche Tools gibt es, um Cyberangriffen Herr zu werden?
• Welchen Schutz bietet eine XDR-Plattform?

Nicht erst seit dem russischen Überfall auf die Ukraine befinden sich die Betreiber kritischer Infrastrukturen (KRITIS) im Fadenkreuz von staatlich unterstützten, aber auch von finanziell motivierten Cyberkriminellen. Allerdings werden seit dem Beginn des Angriffskriegs hierzulande Unternehmen, die für die öffentliche Daseinsvorsorge von elementarer Bedeutung sind, um ein Vielfaches häufiger attackiert, als dies zuvor der Fall gewesen ist. Ob all diese Angriffsversuche mit der hybriden Kriegsführung Russlands in Verbindung gebracht werden können, sei dahingestellt, dennoch lässt sich hier ein signifikanter Zuwachs verzeichnen.

Gleichzeitig wächst nicht nur das Risiko für Cybersabotage im Zuge kriegerischer Auseinandersetzungen, sondern auch die Wirtschaftsspionage mittels Cyberangriffen hat aktuell Hochkonjunktur. Erst kürzlich, genauer gesagt am 6. Juli 2022, wandten sich die Direktoren des britischen Inlandsgeheimdienstes MI5 und des amerikanischen FBI zum ersten Mal gemeinsam an führende Vertreter aus Wirtschaft und Wissenschaft. Ihr Anliegen bestand darin, Unternehmen vor den Cyberbedrohungen durch die Volksrepublik China und ihrer aggressiven Vorgehensweise bei der Wirtschaftsspionage und dem Technologiediebstahl zu warnen. Dies betrifft nicht nur traditionelle Wirtschaftsunternehmen, deren Entwicklungsabteilung zum Ziel von Cyberangriffen wird, sondern insbesondere auch Betreiber kritischer Infrastrukturen. Generell sind Fälle von Cyberangriffen mit dem Ziel des Datendiebstahls ein alltägliches Phänomen und werden von allen Kontinenten aus initiiert. Auch kann davon ausgegangen werden, dass die meisten dieser Attacken weder entdeckt noch der Öffentlichkeit bekannt werden. Die Hintermänner sind meist schwer zu identifizieren, vor allem wegen fließender Trennlinien zwischen staatlich gesponsorten Akteuren und finanziell motivierten Hackergruppen. Die Mehrzahl der Cyberspionage-Aktivitäten wird von APTs (Advanced Persistent Threats) durchgeführt, die nicht selten von einer staatlichen Stelle unterstützt werden und sich durch die Raffinesse ihrer Angriffe auszeichnen.

Während die traditionelle Wirtschaftsspionage zum Ziel hat, den Angreifern einen Wettbewerbsvorteil zu verschaffen oder durch den Verkauf gestohlener Informationen Geld zu verdienen, geht es im Falle von KRITIS-Unternehmen hauptsächlich darum, Verwundbarkeiten zu identifizieren. Folglich ist der Schutz vor solchen Cyberangriffen nicht nur eine wirtschaftliche, sondern auch eine strategische Frage. Doch wie können sich KRITIS-Organisationen schützen und welche Anzeichen, auf die es zu achten gilt, liegen bei einer Kompromittierung vor?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Der Mensch als Cyberrisiko

Der Mensch ist bei den meisten Cyberangriffen das Haupteinfallstor. Ob absichtlich oder fahrlässig, ein menschlicher Fehler ist in der überwiegenden Zahl der Fälle die Ursache für eine Kompromittierung. Je nachdem, wie sensibel der Zugang eines Mitarbeiters auf Kritis-Systeme ist, sollten Zugangsberechtigungen mit besonderen Vorsichtsmaßnahmen verknüpft werden. Dazu gehört, dass die betreffende Person und ihr Umfeld einer Sicherheitsüberprüfung unterzogen werden, um etwaige Schwachstellen festzustellen, die unter Umständen eine Kompromittierung der Systeme begünstigen könnten.

Trotz dieser Vorsichtsmaßnahmen kann ein Mitarbeiter, der Zugang zu wertvollen (Anmelde-)Informationen hat, ins Visier einer Hackergruppe oder eines ausländischen Nachrichtendienstes geraten. Dabei kann die Cyberattacke vollständig virtuell ablaufen, ohne jegliche Interaktion in der realen Welt. Cyberkriminelle und Nachrichtendienste bedienen sich dabei vorwiegend dem sogenannten Social Engineering. Dabei wird beispielsweise über eine simple LinkedIn-Nachricht oder eine E-Mail versucht, das potenzielle Opfer zu einer unbedachten Handlung zu verleiten, wie der Preisgabe von Zugangsdaten oder dem Teilen von Daten. Dadurch können sich die Angreifer sehr schnell Zugang zu einem Unternehmensnetzwerk erschleichen und so Daten stehlen oder Systeme manipulieren.

Risiken durch Hard- und Software

Im Zusammenhang mit Cyberspionage müssen potenzielle Hard- und Software-Schwachstellen umgehend behoben werden, sobald sie bekannt werden. Das für die Sicherheit der Informationssysteme zuständige Team muss die veröffentlichten CVEs ständig überwachen und dafür sorgen, dass der IT-Bestand der Organisation ordnungsgemäß aktualisiert wird. Darüber hinaus muss ein Netzwerk-Mapping dafür sorgen, besonders sensible Geräte zu identifizieren und etwaige Schwachstellen zu ermitteln. Der Einsatz entsprechender Security-Tools kann hier einen wertvollen Beitrag leisten, um das Security-Team zu entlasten und Schwachstellen aufzuspüren, noch bevor sich daraus ein Risiko entwickelt.

Allerdings erfolgen nicht alle Eindringversuche aus der Ferne. Gerade im Falle kritischer Infrastrukturen werden von Angreifern gerne USB-Sticks in der Nähe des Firmengeländes „verloren“, um ahnungslose Finder dazu zu verleiten, aus Neugierde den Inhalt des Sticks zu durchsuchen. Denn auf diese Weise können auch Geräte mit Schadsoftware infiziert werden, die mittels Air-Gap, also einer physischen Trennung vom Netzwerk, geschützt werden.  Besonders – aber nicht ausschließlich – KRITIS-Unternehmen sollten daher auf einen sogenannten Sheep-Dip setzen. Dabei handelt es sich um ein spezielles Gerät, mit dem USB-Sticks und andere Speichermedien auf Malware und Schadcode geprüft werden können. Diese auch als White Stations bezeichneten Geräte helfen den Security-Verantwortlichen Cyberangriffe zu verhindern und gegebenenfalls Speichermedien von Schadsoftware zu säubern, bevor sie an einen Firmenrechner angeschlossen werden.

Vorbeugung ist unerlässlich

Sobald Risiken einmal identifiziert sind, muss der nächste Schritt darin bestehen den Bedrohungen zuvorzukommen. Einerseits ist es hierzu wichtig, unter den Mitarbeitern ein Bewusstsein für IT-Sicherheit zu schaffen und sie dazu regelmäßig zu schulen. Wiederkehrende Trainings, bei denen ein Cyberangriff simuliert wird – zum Beispiel durch eine gefälschte Phishing-E-Mail –, erhöhen aufseiten der Angestellten die Wachsamkeit und schulen die richtigen Reaktionen. Andererseits ist der Einsatz von Cybersicherheitssoftware zum Schutz kritischer IT-Ressourcen vor Cyberbedrohungen unerlässlich. Das für die Sicherheit der Informationssysteme zuständige Team sollte im Rahmen der Vorbeugung die folgenden Maßnahmen durchführen:

• Falls dies noch nicht geschehen ist, sollte zwingend eine Multi-Faktor-Authentifizierung (MFA) für alle IT-Systeme aktiviert werden. MFA ist zwar kein Allheilmittel, das jegliche Cyberattacken verhindert, aber der Zweck dieses Sicherheitsansatzes ist es, einem Angreifer den Zugang zu erschweren.
• Es muss sichergestellt werden, dass EDR (Endpoint Detection Response) auf allen Endgeräten des Unternehmens vorhanden ist. Zum einen erlaubt dies den Verantwortlichen einen ausreichenden Einblick in das Netzwerk zu erhalten, und zum anderen im Falle einer Entdeckung eines Angriffs schnell Gegenmaßnahmen ergreifen zu können. Das Ziel ist es, keinen weißen Flecken auf der Karte der Endgeräte verzeichnen zu müssen.
• Das SIEM (Security Information and Event Management) muss so eingerichtet sein, dass es hochwertige Quellen umfasst. Alles, was das interne Netzwerk betritt und verlässt, muss protokolliert werden. Daher müssen beispielsweise auch VPN-Verbindungsprotokolle gespeichert werden, um im Falle eines Vorfalls für eine Analyse zur Verfügung zu stehen oder bei ungewöhnlichen Ereignis Alarm schlagen zu können. Die Untersuchung von Protokollen in einem SIEM-Tool ermöglicht die Korrelation und Kontextualisierung von Ereignissen, um festzustellen, ob sie verdächtig sind. Beispiele hierfür können Verbindungsversuche von IP-Adressen aus entfernten geografischen Regionen, die Einrichtung eines neuen Benutzers mit Administratorrechten auf einem Rechner, das Löschen von Sicherheitsprotokollen und vieles mehr sein.
• Konfiguration eines Netzwerkschutzes mittels DNS-Firewall, die auf eine herkömmliche Firewall aufgesetzt wird und in der Lage ist, Spyware daran zu hindern, eine Verbindung zu einem Command-and-Control-Server (C2) herzustellen, um Daten zu auszuschleusen.
• Einrichtung eines Honeypot-Netzwerks zur Erkennung von Scans von Angreifern, die auf der Suche nach Schwachstellen sind. Diese Informationen sind von unschätzbarem Wert für die frühzeitige Erkennung von Bedrohungen. Auch lassen sich dadurch die Geräte und Anwendungen identifizieren, die von Angreifern besonders häufig ins Visier genommen werden.

Angriffe automatisiert erkennen und verhindern

Cyberattacken, die darauf abzielen sensible Daten zu stehlen beziehungsweise kritische Systeme zu sabotieren, zeichnen sich durch ihre Diskretion aus. Die Angreifer möchten eine Entdeckung vermeiden, um so lange wie möglich im Netzwerk des Opfers operieren zu können. Cybersecurity-Lösungen sind jedoch in der Lage, eine Vielzahl von Cyberspionage-Operation zu enttarnen und deren Auswirkungen zu begrenzen. Entsprechende IT-Sicherheitslösungen bieten den Security-Teams automatische Angriffswarnungen sowie umgehend eingeleitete Gegenmaßnahmen, um so eine Attacke einzudämmen, sobald diese erkannt wird. Mit Hilfe automatischer Gegenmaßnahmen auf der Grundlage von Schwellenwerten, die vom Analysten festgelegt werden, ist kein menschliches Zutun erforderlich, um einen Angriff zu stoppen. Ferner lassen sich mit entsprechenden Lösungen auch subtilere und diskretere Angriffe erkennen und verhindern, die sich beispielsweise bereits auf dem Rechner vorhandene Tools wie ProcDump (Anwendung aus der Sysinternals-Suite) zunutze machen, anstatt Malware einzusetzen. Insbesondere für Betreiber kritischer Infrastrukturen, die einer erhöhten Gefahr von Attacken durch äußerst versierte Angreifer ausgesetzt sind, ist dies von großer Bedeutung.

Ausgeklügelte Cybersicherheitsstrategien unverzichtbar

Zweifelsohne ist es schwierig, insbesondere ausgeklügelte – und zum Teil staatlich gelenkte – Cyberangriffe zu entdecken und zu neutralisieren. Auch weil die Täter im Falle von Datendiebstahl und Sabotage sehr diskret und bedacht vorgehen. Doch genau dieser Herausforderung müssen sich KRITIS-Unternehmen stellen und hier entsprechenden Cybersecurity-Strategien entwickeln. Diese müssen sowohl den menschlichen Faktor als Gefahrenquelle berücksichtigen, aber auch umfassende IT-Sicherheitslösungen beinhalten.

Nur mit entsprechenden Werkzeugen ist es möglich, diese Bedrohung so früh wie möglich zu erkennen und automatisiert zu stoppen, ohne dass ein Mitarbeiter eingreifen müsste. Dazu sollten KRITIS-Betreiber auf die XDR-Technologie (Extended Detection Response) setzen. Denn SIEM, EPP (Endpoint Protection Platform, besser bekannt als Antivirus-Software), EDR und andere Security-Tools decken jeweils nur Teilaspekte der IT-Sicherheit einer Organisation ab. Da jedoch die Angriffstaktiken immer ausgefeilter werden, nimmt der einhergehende Zeitaufwand bei der Identifizierung und Reaktion auf Vorfälle mit diesen Tools immer stärker zu. Eine XDR-Plattform ersetzt hingegen Silo-artige Sicherheitslösungen und bietet daher eine ganzheitliche Übersicht über Cybersecurity-Warnungen. Die Erkennungsmöglichkeiten von XDR-Lösungen sind weitaus umfangreicher als die dedizierter Tools und werden für Security-Teams daher zunehmend unverzichtbar. Ferner erlaubt XDR die automatisierte Neutralisierung von Cyberangriffen, wodurch Attacken gestoppt werden können, ohne dass ein Mensch zuvor aktiv werden muss.

Im Falle kritischer Infrastrukturen ist eine nachhaltige Security-Strategie von elementarer Bedeutung. Sie sichert nicht nur die Funktionsfähigkeit und den Bestand der jeweiligen Organisation, sondern trägt auch dazu bei, die Versorgung der Menschen zu gewährleisten und die öffentliche Ordnung aufrechtzuerhalten.  Eine Kombination von sich ergänzenden IT-Sicherheitslösungen ist daher unerlässlich, um dies dauerhaft zu erreichen.

Olaf Müller-Haberland, Head of Sales and Services DACH bei Tehtris

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Managed Security

Unterschätztes Geschäftsrisiko

Das deutsche Ransomware-Paradox

Fünf Schritte zur sicheren Vorbereitung

NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln

Cyberverteidigung

Threat Hunting: Proaktiv statt reaktiv

DeepSeek vs. ChatGPT

Das Duell der KI-Giganten und seine Folgen für die IT-Sicherheit

Check Point Pressedinner

Wie sich Unternehmen gegen KI-gestützte Angriffe wappnen können

Weitere Artikel zu IoT-Security

Meilenstein

Vodafone vernetzt das 200-millionste IoT-Gerät

ROI trifft Realisierbarkeit

Die Vorteile schlüsselfertiger IoT-Lösungen

Embedded Security made in Germany

Systemabsicherung aus sich selbst heraus

Siemens auf der Hannover Messe

IT- und OT-Integration beschleunigen

IoT-Tracking mittels Smart Label

Neue Lösung von G+D für Paketverfolgung und Logistikoptimierung

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus