2023: KRITIS-Angriffe, die auch treffen

Claroty-Expertenkommentar warnt vor erfolgreichen Attacken auf die KRITIS im kommenden Jahr

[datensicherheit.de, 12.12.2022] Max Rahner, „Senior Regional Director DACH & Eastern Europe“ bei Claroty, betont in seiner aktuellen Stellungnahme den Ernst der Lage insbesondere für die Kritische Infrastruktur (KRITIS): „Gleich vorweg: Ich wünschte, es wäre anders. Ich wünschte, ich könnte optimistischer ins neue Jahr blicken. Aber nach Hunderten Gesprächen mit europäischen und nordatlantischen Sicherheitskreisen, Kollegen, Experten, Partnern und Kunden bin ich davon überzeugt, dass wir 2023 erstmals mehrere erfolgreiche Angriffe auf unsere Kritische Infrastruktur sehen werden.“

Foto: Claroty

Max Rahner warnt: 2023 erstmals mehrere erfolgreiche Angriffe auf unsere Kritische Infrastruktur…

Mischung aus gezielten KRITIS-Angriffen und solchen nach dem Gießkannen-Prinzip

Bei diesen Attacken wird es sich seiner Einschätzung nach um eine Mischung aus gezielten Angriffen und solchen nach dem „Gießkannen-Prinzip“ handeln – ergänzt durch einhergehende physische Sabotage-Aktionen. Dabei würden auch die hochentwickelten, gezielten Attacken (zumindest zunächst) den Anschein erwecken, dass es sich um einen nicht-zielgerichteten Angriff handelt. „All dies trägt zur Verschleierung bei. Denn auch wenn die Anzeichen alle in eine gewisse Richtung deuten, vermeiden es staatliche Akteure, solche Spuren zu hinterlassen.“

Zudem handele es sich bei den Angreifern zumeist um Hacker-Gruppen, welche zwar eine Verbindung zu hohen staatlichen Stellen unterhielten, aber keine „offiziellen“ Einheiten seien. Rahner führt aus: „Der Grund ist klar: Cyber-Angriffe in größerem Ausmaß können als kriegerische Akte begriffen werden, so dass Artikel 5 des NATO-Vertrags greifen würde. Und das wollen die Angreifer vermeiden.“

Blackout nicht zu erwarten: Punktuelle KRITIS-Destabilisierung angestrebt

Entsprechend sei auch nicht mit einem großen, flächendeckenden Angriff zu rechnen, meint Rahner: „Das Ziel ist nicht die Betätigung eines ,Kill-Switches’, sondern die Destabilisierung unseres Systems. Der Verlust des Vertrauens in unsere Institutionen und das, was sie uns garantieren: Allen voran die Strom-, Wasser- und Lebensmittelversorgung.“

Aber auch andere Bereiche stellten potenzielle Ziele da: Insbesondere die Bahn, aber auch Medien oder Behörden. „Je mehr Aufmerksamkeit dabei durch einen Angriff generiert werden kann, desto besser. Je größer ein Vorfall wahrgenommen wird, desto größer die Unruhe und Verunsicherung.“

Wirkung von Cyber-Waffen auf KRITIS zeitlich begrenzt

Hinzu kommt laut Rahner: Im Gegensatz zu konventionellen Waffen verbrauchten sich hochentwickelte Angriffe sehr schnell: „Anders ausgedrückt: Staaten können nach dem Abwurf einer Atombombe weitere folgen lassen, die die gleiche Wirkung entfalten.“ Bei Cyber-Angriffen sehe es jedoch anders aus:

„Wenn man einmal seine ausgefeilte und in der Entwicklung sehr teure Schadsoftware eingesetzt hat, ist sie weltweit nicht mehr weiter nutzbar, da sich die Sicherheitshersteller auf sie einstellen und entsprechende Abwehrmaßnahmen umsetzen können.“ Das heißt demnach: So lange Angreifer mit dem Ausnutzen bekannter und bislang unbekannter Schwachstellen ihre Ziele erreichen können, werden sie diese verwenden.

Mangelnde Cyber-Hygiene der Industrie als KRITIS-Problem

Aber auch jenseits der Kritischen Infrastruktur würden diese Angriffe für großen Schaden sorgen, da die anvisierte Steuerungstechnik auch in vielen anderen Bereichen zum Einsatz komme: „Wir werden Angriffe auf die Bahn, Energieversorger und Verteilnetze sehen.“ Allerdings nutzten auch andere Unternehmen insbesondere in der Industrie diese speicherprogrammierbaren Steuerungen (SPS) und Managementsysteme und würden so zum „Beifang der Angriffe“.

Dabei spiele die mangelnde Cyber-Hygiene vieler Unternehmen den Angreifern in die Karten. „Es kommt leider allzu oft vor, dass Patches aus Angst vor Störungen der Produktion nicht eingespielt werden. Vor Jahren haben wir beispielsweise Tausende Unternehmen auf eine kritische Schwachstelle in einer von ihnen eingesetzten Fernwartungssoftware hingewiesen. Nach drei Monaten hatte lediglich ein Viertel dieser Betriebe ihre Systeme entsprechend aktualisiert.“ Rahner warnt: „Solange es eine Realität ist, dass Unternehmen Schwachstellen nicht beheben, selbst wenn vom Hersteller Abhilfemaßnahmen bereitgestellt werden, haben Angreifer ein leichtes Spiel.“ Sie könnten auf diese Weise die Sicherheitslücken weiterhin ausnutzen und müssten keine komplizierten neuen Angriffswege finden oder preisgeben.

Mögliche Forderung nach Staatliche Intervention bei KRITIS-Attacken

Wenn es zu vermehrten Angriffen auf die Kritische Infrastruktur komme, würden im Laufe des nächsten Jahres auch die Rufe lauter werden, dass die Cybersecurity von staatlicher Stelle zentral angegangen werden müsse. Entsprechend werde die Frage nach der Finanzierung durch den Bund und die Länder viele Diskussionen bestimmen. Allerdings zeigten die bisherigen Erfahrungen mit durchaus üppigen Fördertöpfen, dass hier zumindest kurzfristig mit keiner Entlastung zu rechnen sei. So sorgten beispielsweise im Rahmen des Krankenhauszukunftsgesetzes sehr komplizierte und aufwändige Anträge mit hohen Voraussetzungen dafür, dass lediglich rund die Hälfte der Fördermittel abgerufen worden seien.

Rahner fordert: „Wir müssen einen Weg finden, wie ISMS-Konzepte in der Kritischen Infrastruktur schnell und flächendeckend umgesetzt werden können. Dies könnte zentral etwa auf Länderebene erfolgen, indem das Land ein Konzept und gegebenenfalls einen Dienstleister für alle Unternehmen, also auch privatrechtlich organisierte, vorgibt.“ Allerdings stelle dies einen enormen Eingriff in die wirtschaftliche Freiheit dar und werfe somit verfassungsrechtliche Fragen auf. „Als vielversprechender sehe ich deshalb die Änderung des Vergaberechts an.“ Abgesehen davon, dass die Prozesse von Haus aus sehr langwierig seien, komme es gerade in diesem Bereich darüber hinaus auch häufig zu Klagen der unterlegenen Partei, die den gesamten Prozess um weitere Monate verzögerten. „Hier geht wertvolle Zeit verloren, die wir gerade jetzt einfach nicht mehr haben“, stellt Rahner klar.

Für KRITIS keine geopolitische Entwarnung in Sicht

„Wenn man wirklich erst aus Schaden klug wird, bleibt mir derzeit nur die Hoffnung, dass wir im nächsten Jahr zu dieser Zeit weiter sind und sich die allgemeine Cyber-Awareness deutlich verbessert hat.“ Gerade Deutschland habe hierbei einen enormen Nachholbedarf, vor allem im Vergleich zu vielen osteuropäischen Ländern. Viele Unternehmen hierzulande sähen nicht die Auswirkungen, die insbesondere der Krieg in der Ukraine auf ihre Sicherheit habe. „Und vergessen wir nicht: Auch wenn unsere Augen gerade sehr stark auf Russland gerichtet sind, wird dies nicht der letzte Konflikt sein, der gravierende Konsequenzen für die Cyber-Sicherheit hat“, sagt Rahner.

So habe kürzlich der Präsident des Bundesamts für Verfassungsschutz, Thomas Haldenwang, gesagt: „In meinen Gesprächen mit ausländischen Partnern – wenn man über China spricht – heißt es immer: ‚Russland ist der Sturm, China ist der Klimawandel.‘“ Wenn man sich die zuspitzende Situation im Hinblick auf Taiwan vergegenwärtige und in Betracht ziehe, „welches Cyber-Know-how China hat und wie viel chinesische Technologie hier zum Einsatz kommt, kann man dem kaum widersprechen“.

Weitere Informationen zum Thema:

Health & Care Management, pag, 10.12.2022
Kliniken rufen nur die Hälfte der Förderung ab / Ende des Jahres läuft die Frist zur Beantragung von Fördermitteln im Rahmen des Krankenhauszukunftsgesetzes (KHZG) ab. Bisher ist gerade einmal die Hälfte der Bundesmittel abgerufen worden.