Von unserem Gastautor Moreno Carullo, Gründer von Nozomi Networks

[datensicherheit.de, 23.07.2019] Wenn es um die Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder wie in Deutschland von einem „kritischen Gemeinwesen“ oder einer „kritischen Infrastruktur“. Werden diese Systeme negativ beeinflusst, hat das weitreichende Folgen, kann potenziell zu wirtschaftlicher Instabilität auf globaler Ebene führen und nicht zuletzt Menschenleben gefährden. Ein Stromausfall von etwa 5 Tagen käme bereits einer nationalen Katastrophe gleich. Nicht ohne Grund gibt der Bund dazu Informationsmaterialien heraus wie Bürger für den Ernstfall Vorsorge treffen können.

Laut Berichten des britischen National Cyber Security Centre (NCSC), des US Department of Homeland Security (DHS) und anderer Regierungsstellen weltweit ist die Zahl der Cyberbedrohungen in diesem Bereich in den letzten Monaten deutlich gestiegen. Kritische Infrastrukturen sind beides gleichermaßen: kritisch und verwundbar. Und genau deshalb sind Prozesse und Anlagen unterschiedlichsten Formen von Angriffen ausgesetzt – ob geopolitisch oder wirtschaftlich motiviert, böswillig oder einer Kombination aus allen dreien.

Die Angriffe nehmen zu

Zunehmend mehr werden auch Angriffe auf Netzwerke in Energie- und Verteilungssystemen und bei Energieversorgern. In diesen Szenarien geht es nicht um den Diebstahl von Daten, sondern um das Stören von Prozessen und mittelbar darum, Instabilität beispielsweise in wirtschaftlicher oder politischer Hinsicht zu erzeugen. Malware-Familien sind speziell für Attacken gegen die betreffenden kritischen Infrastrukturen entwickelt worden. Threat Actors haben sich mit ihren TTPs (Tactics, Techniques and Procedures) dediziert auf diese Ziele fokussiert. Gut in Erinnerung sind noch hochkarätige Attacken wie die beiden Angriffe auf das ukrainische Stromnetz 2015 und 2016 sowie Malware-Infektionen wie DragonFly und Stuxnet. Bekannt geworden sind auch zwei Attacken, die sich gegen deutsche Stromversorger gerichtet haben.

Energiewirtschaftliche Systeme: „Insecure by Design“?

Für Energieversorgungsunternehmen lag (und liegt) der Fokus auf der Hochverfügbarkeit ihrer Systeme. In der Energiewirtschaft durchdringen sich OT und IT aber mehr und mehr. IT-Technologien werden zum Überwachen und intelligenten Steuern der Systeme und Netze benutzt. Je höher allerdings der Grad von Konnektivität und Automatisierung, desto wahrscheinlicher wird eine erfolgreiche Attacke.

Die Herausforderungen gliedern sich im Wesentlichen in drei Bereiche:

• die eingesetzten Technologien,
• die betroffenen Prozesse und
• die Benutzer/Benutzeraktivitäten

Die steigende Konnektivität von Systemen erstreckt sich zum Teil über große geografische Distanzen hinweg und betrifft eine Vielzahl von physischen Systemen. Systeme,  die nicht nach den Prinzipien des „Security by Design“ entwickelt  wurden (wo Authentifizierung, Verschlüsselung und Widerstandsfähigkeit schon in der Konzeptionsphase eine Rolle spielen). Dazu kommt die Kommunikation über unterschiedliche Protokolle. Die Technologien sind allerdings nicht die einzige Herausforderung mit denen Betreiber kämpfen. Unzureichende Sicherheitsprozesse und die mangelnde Expertise im Bereich Cybersicherheit stellen zusätzliche Hürden dar.

Intelligent Electronic Devices (IED), Programmable Logic Controller (PLC) oder Remote Terminal Units (RTU) sind für einen bestimmten Einsatzzweck strukturierte, mächtige Computersysteme und primär dazu gedacht physische Komponenten wie Ventile, Pumpen, Motoren und so weiter zu steuern und zu überwachen. Diese Systeme nutzen unsichere Protokolle, bei denen auf in der IT gängige Sicherheitsmaßnahmen wie Authentifizierung und Verschlüsselung verzichtet wurde. Einfach, weil bei ihrer Entwicklung Sicherheit noch kein Thema war und der Fokus primär auf Verfügbarkeit lag. Prinzipiell sind die Datenströme im Netzwerk für praktisch jeden Benutzer sichtbar. Eingebaute Wartungszugänge dienen der Bestandsverwaltung, gefährden aber diese besonders langlebigen Systeme zusätzlich. Nun sind sie Teil eines unsicheren Ökosystems in dem die Verfügbarkeit per Definition eine höhere Priorität hat als die Sicherheit.

Transparenz in energiewirtschaftlichen Netzwerken: Die Aufgaben der IEC Working Group 15 (WG 15) der IEC TC 57

Die IEC TC57 WG15 ist eine Gruppe von Experten, Beratern und Herstellern, die erstmals im Jahr 2000 zusammenkamen angetrieben von wachsenden Sicherheitsbedenken. Die Gruppe beschäftigt sich nicht nur mit der Forschung und Entwicklung von Standards für Ende-zu-Ende Sicherheit, sondern überprüft diese regelmäßig und berät auch andere Gruppen. Die WG 15 der IEC TC 57 arbeitet an der Normenreihe IEC 62351. Diese besteht ihrerseits aus insgesamt 14 Bestandteilen, welche Cybersicherheit für die Kommunikationsprotokolle in der Energieversorgung beschreiben. Diese Protokolle sind in den Standards IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968 festgeschrieben.

Heute kann man unsichere Systeme schützen und überwachen. Was die Architektur und Segregation in aktuellen Netzwerken anbelangt trägt die IEC 62443-Familie von Standards dazu bei, Sicherheitsanforderungen und Produktivität in Einklang zu bringen. Die dazu nötigen Technologien existieren bereits. Sie erfassen präzise den kompletten Bestand an Systemen in der betreffenden Infrastruktur, überwachen die Aktivitäten dieser Systeme und führen Schwachstellen-Assessments durch.

Das ist heute schon möglich. Ziel für morgen ist allerdings eine „End-to-End-Security by Design“ mit folgenden Komponenten:

• Authentifizierung aller Systeme, Geräte und Anwendungen, die Daten verschicken und empfangen
• Autorisierung aller Interaktionen wie aufrufen, lesen, schreiben, kontrollieren, erstellen und löschen von Daten
• Datenintegrität sämtlicher Interaktionen und der zwischen den Systemen ausgetauschten Informationen
• Überprüfbarkeit (Accountability) gewährleistet, dass eine Einheit nicht bestreiten kann eine bestimmte Nachricht erhalten zu haben oder aufgrund einer Nachricht tätig geworden zu sein
• Verfügbarkeit von Interaktionen kann sich in einem Bereich von Millisekunden, Stunden oder auch Tagen bewegen
• Vertraulichkeit, die üblicherweise für Finanzdaten, Märkte sowie Unternehmensdaten und private Information unabdingbar ist

Dazu dienen Kommunikationsstandards wie die bereits von der WG15-Gruppe entwickelten. Andere befinden sich derzeit in der Testphase hinsichtlich der nötigen Interoperabilität und aufgrund von Compliance-Anforderungen. Neben den Standards der WG15 gibt es eine Reihe weiterer Standards, die von anderen Gruppen entwickelt wurden.

Fazit

Das Weltwirtschaftsforum im Januar zählt Cyberangriffe auf industrielle Systeme und kritische Infrastrukturen zu den größten Risiken für die internationale Stabilität. Die Studienergebnisse von Marsh bestätigen diese Einschätzung. Laut einer Befragung vom letzten Jahr befürchten drei Viertel der Führungskräfte im Energiesektor, dass Cyberangriffe den Geschäftsbetrieb unterbrechen könnten, und mehr noch, dass sie sich darauf vorbereiten, ihre Investitionen in den Bereich Risikomanagement für Cybersicherheit zu erhöhen.

An die Stelle der traditionellen Air-Gapped-Netzwerke treten aufgrund unternehmerischer Erfordernisse mehr und mehr IIoT-basierte Systeme. Will man die Vorteile der Vernetzung in einer kritischen Infrastruktur umfassend nutzen, ist es entscheidend sämtliche Netzwerke und Geräte zu erfassen und abzusichern. Jedes Gerät ist ein potenzieller Zugangspunkt für Angreifer. Dazu kommt die Pflege des bestehenden Inventars. Dabei müssen alle Geräte im Netzwerk genau erfasst werden. Auf sämtlichen Software‐ und Hardwarekomponenten sollten die neuesten Patches eingespielt sein, um Schwachstellen auszumerzen, die Angreifer sonst ausnutzen könnten. Schulungen spielen eine wichtige Rolle, um die Mitarbeiter aufzuklären und zu sensibilisieren und Unternehmen müssen für unterschiedliche Schutzebenen sorgen. Das reicht vom Absichern des Netzwerks selbst bis dahin es auf Anomalien hin zu überwachen, die Anzeichen für eine Cyberbedrohung sein könnten. Alle derzeitigen Anstrengungen werden auch morgen noch ihre Berechtigung haben, wir müssen allerdings zukünftig den Fokus verändern. Der sollte nicht länger auf den „Bad Guys“ liegen, sondern auf einem funktionierenden Security-by-Design-Ansatz für den wir bereits jetzt den Grundstein legen.

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 30.10.2018] Trend Micro zeigt in einer neuen Studie das Potential von Cyberangriffen auf die Systeme von Wasser- und Energieversorgern. Gefährdet sind nicht nur einzelne Unternehmen, sondern aufgrund der potentiellen Folgen eines Angriffs auch die Allgemeinheit.

Die heute veröffentlichte Untersuchunglegt offen, wie stark die Human-Machine-Interface-Systeme (HMIs) von Tausenden von kritischen Wasser- und Energieversorgungssystemen weltweit gefährdet sind. Erfolgreiche Cyberangriffe auf solche unzureichend geschützte Systeme könnten erhebliche Folgen für die reale Welt haben, beispielsweise die Kontamination der Trinkwasserversorgung.

HMI sind ein wichtiger Bestandteil von industriellen IT-Systemen. Sie ermöglichen es menschlichen Bedienern, mit SCADA-Umgebungen (Supervisory Control and Data Acquisition) zu interagieren. Eine große Mehrheit der identifizierten gefährdeten Systeme ist bei kleineren Energie- und Wasserversorgungsunternehmen zu finden, die die Lieferketten der großen Dienstleister speisen, die die Bevölkerung versorgen. Mit dem Zugriff auf ein ungeschütztes HMI-System ist ein Angreifer nicht nur in der Lage, alle Informationen über kritische Systeme zu sehen, sondern kann auch mit diesen Schnittstellen interagieren und sie missbrauchen.

„Kritische Infrastrukturen sind ein Brennpunkt für Cybersicherheit – und für Cyberkriminelle, die das schwächste Glied in diesen vernetzten Systemen aufspüren und für ihre Zwecke nutzen können“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Umso beunruhigender ist es, dass Forscher von Trend Micro noch immer kritische Geräte und mit ihnen verbundene Netzwerke entdecken, die unnötigerweise auffindbar und potentiell ungeschützt sind. Angesichts der Rekordzahl von ICS-Schwachstellen, die in diesem Jahr im Rahmen unserer Zero-Day-Initiative gemeldet wurden, bedeutet dies ein wachsendes Risiko, das sich auf unsere gesamte Gesellschaft auswirken kann.“

Viele dieser HMI sind Alt-Systeme, die ursprünglich nicht dafür konzipiert wurden, mit einem Netzwerk verbunden zu sein, jedoch heute dennoch angebunden werden. Sie haben oftmals eine lange Lebensdauer und sind nur schwer zu patchen, was das Risiko von Angriffen erhöht.

Angriffsszenarien auf kritische Infrastrukturen

In dem Bericht beschreiben die Forscher von Trend Micro potenzielle Angriffsszenarien auf kritische Infrastrukturen, die erhebliche Auswirkungen auf die reale Welt hätten. Diese Szenarien basieren auf Informationen, die in den auffindbaren Systemen entdeckt wurden, wie der Art des Geräts, dem physischen Standort und anderen Informationen auf Systemebene, die alle verwendet werden können, um einen Angriff zu planen.

Angreifer könnten sich in naher Zukunft der Ausnutzung dieser gefährdeten Systeme zuwenden. Darauf deutet hin, dass in diesem Jahr vermehrt neue Schwachstellen entdeckt wurden. So hat die Zero Day Initiative von Trend Micro 2018 bisher fast 400 SCADA-bezogene Schwachstellenhinweise veröffentlicht. Dies stellt einen Anstieg von 200 Prozent gegenüber dem Vorjahreszeitraum dar.

Laut einer aktuellen Umfrage von Trend Micro (1) werden solche Systeme in der Regel nicht von IT- oder Sicherheitsteams verwaltet. Die anhaltende Verwirrung darüber, wer in einem Unternehmen für die Sicherung von vernetzten Geräten verantwortlich ist, führt oft zu einem höheren Risiko für diese Anlagen.

Schnittstellen müssen ordnungsgemäß gesichert sein

Um HMI-Systeme vor Angriffen zu schützen, müssen Sicherheitsverantwortliche sicherstellen, dass die Schnittstellen ordnungsgemäß gesichert sind, sobald sie mit dem Internet verbunden werden müssen. Ebenso sollte eine größtmögliche Abschottung zwischen diesen Geräten und dem Unternehmensnetzwerk bestehen, um den Betrieb aufrechtzuerhalten und gleichzeitig das Risiko für Angriffe zu minimieren.

Welche Auswirkungen Cyberangriffe auf die reale Welt haben können, erklärt Ireneo Demanarig, Chief Information Officer beim brasilianischen Mikrochiphersteller CEITEC S.A.: „Hätten wir die Command- und Control-Malware in unserer SCADA-Umgebung nicht gefunden, wären unsere Überwachungssysteme für toxische Gase gefährdet gewesen und hätten Menschenleben gefährden können. Sicherheit muss für unser Unternehmens im Mittelpunkt stehen. Trend Micro bietet nicht nur umfassende Sicherheitslösungen, sondern ist auch ein großartiger Partner bei der automatischen Teilung von Bedrohungsinformationen, die uns das Leben leichter machen.“

(1) vgl. https://www.trendmicro.com/de_de/about/newsroom/press-releases/2018/20180906-studie-von-trend-micro-sicherheitsverantwortliche-haben-nur-wenig.html

Weitere Informationen zum Thema:

Trend Micro USA
Critical Infrastructures Exposed and at Risk: Energy and Water Industries

datensicherheit.de, 13.10.2018
ESET: Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen

[datensicherheit.de, 16.05.2018] Laut aktuellen Medienberichten soll es einen IT-Sicherheitsvorfall bei einem Tochterunternehmen eines deutschen Energieversorgers gegeben haben. Das Bundesamt für Sicherheit in der
Informationstechnik (BSI) ist nach eigenen Angaben über diesen Vorfall informiert und hat diesen im Rahmen des Nationalen Cyber-Abwehrzentrums in Zusammenarbeit mit dem betroffenen Unternehmen analysiert und bearbeitet. Es lägen derzeit keine Erkenntnisse vor, die auf eine Beeinträchtigung der kritischen Versorgungsdienstleistung des Unternehmens hindeuteten.

Betreiber Kritischer Infrastrukturen verstärkt im Fokus

Der Generalbundesanwalt habe im Zusammenhang mit dem genannten Vorfall ein Ermittlungsverfahren eröffnet. Details über Art und Auswirkungen des Vorfalls sowie sonstige Informationen könne das BSI daher derzeit nicht zur Verfügung stellen.
„Die Anzahl und Qualität der Cyber-Angriffe nimmt zu, auch Betreiber Kritischer Infrastrukturen sind verstärkt im Fokus. Als nationale Cyber-Sicherheitsbehörde arbeiten wir intensiv mit der KRITIS-Wirtschaft zusammen, um Schutzmaßnahmen zu verbessern und Cyber-Angriffe abzuwehren“, erläutert BSI-Präsident Arne Schönbohm.

Mehr in Informations- und Cyber-Sicherheit investieren!

Angesichts der zunehmenden Bedrohungslage und der zunehmenden Digitalisierung von Staat, Wirtschaft und Gesellschaft könne man sich Stillstand hierbei jedoch nicht leisten:
„Wenn wir auch in Zukunft einen starken und sicheren Standort Deutschland haben wollen, dann müssen wir mehr in Informations- und Cyber-Sicherheit investieren“, fordert Schönbohm. Der im Koalitionsvertrag geplante Ausbau des BSI und des Nationalen Cyber-Abwehrzentrums sowie die Weiterentwicklung des IT-Sicherheitsgesetzes seien „erste wichtige Schritte, die nun konsequent umgesetzt werden müssen.“

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Kritis im Visier: Hacker-Angriffe bleiben noch oft zu lange unbemerkt

[datensicherheit.de, 20.01.2016] Besuchern von Fachmessen und Teilnehmern an IT-Kongressen mag es häufig so erscheinen, dass Datensicherheit eine akademische Spielwiese oder aber ein aufgebauschtes Reizthema im Interesse von Beratern und Anbietern von Sicherheitslösungen ist. Die Dimension der Datensicherheit erschließt sich leider erst – und dabei ist durchaus eine Parallelität zur Gesundheit eines Individuums zu sehen – nach einer gravierenden Beschädigung.
Wer Datensicherheit nur auf der Office-Ebene betrachtet und nüchtern betriebswirtschaftliche Konsequenzen abwägt, mag die Investitionen in einen Grundschutz scheuen und „auf gut Glück“ setzen – wie naiv das wäre, wird anschaulich seit Jahren auf datensicherheit.de immer wieder erörtert. Nunmehr mit der Zielstellung, produzierende Betriebe erfolgreich in das Zeitalter der sogenannten Industrie 4.0 zu führen, wird mehr denn je deutlich, dass Datensicherheit in all ihren Ausprägungen ein Qualitätsmerkmal und erfolgskritischer Faktor ist.

Datensicherheit meint auch Verfügbarkeit verlässlicher Daten

Die Automatisierung der industriellen Produktion war schon immer eng verknüpft mit der Notwendigkeit, Daten zuverlässig zu erheben, zu verarbeiten, zu übertragen und zu speichern.
Im Zuge der Einführung der Industrie 4.0 sind nun nicht mehr allein Betriebe der Elektro- oder Verfahrenstechnik betroffen, sondern selbst kleinere produzierende Mittelstandsbetriebe, die bislang auf Insellösungen setzten.
Aber gerade für solche KMU stellt sich die Frage, wer ihnen in dieser existenziell wichtigen Frage zu Seite steht. Selten verfügen sie über explizite Fachabteilungen, die sich ständig um das Thema Datensicherheit kümmern können – aber ohne Datensicherheit wird selbst das eigene Kerngeschäft gefährdet.

Make or buy?

KMU werden zumeist auf externe Dienstleister angewiesen sein, weil sie selbst gar nicht die Ressourcen haben, eine eigene Expertise aufzubauen. Sie sollten anerkannte Begleiter insbesondere schon in den Phasen der Konzeption, Planung und Umsetzung von Automatisierungslösungen engagieren.
Dabei ist es durchaus möglich, betriebswirtschaftliche relevante Effekte zu erzielen, die dem Aufwand gegenüberzustellen sind. So vertritt z.B. Yokogawa Deutschland den Anspruch, Prozessanlagen mit dem Ziel der Effizienz so zu automatisieren, dass der Einsatz von Rohmaterialien und Energie reduziert wird. Nach eigenen Angaben verfügt dieser Anbieter über 30 Jahre Erfahrung in der Prozessautomatisierung. Ein solcher Vorsprung ist für einen kleinen Mittelständler kaum aufzuholen.
Das Traditionsunternehmen Yokogawa wurde bereits im Jahr 1915 in Tokio gegründet. Nach eigenen Angaben beschäftigt das Unternehmen weltweit rund 20.000 Mitarbeiter und unterhält ein Netzwerk von Standorten in über 50 Ländern. Der Automatisierungs-Experte hat sich auf das Gebiet des Energiemanagements spezialisiert und bietet derzeit vier unterschiedliche Energielösungen für Anlagenbetreiber. Hierfür wird spezielle Energiesoftware angeboten. Es steht außer Frage, dass modernes Energieeffizienzmanagement ein Höchstmaß an Datensicherheit im Sinne der Verfügbarkeit aller relevanten Prozessdaten, aber auch von prozessbegleitenden Experten erfordert.

[datensicherheit.de, 17.06.2010] Auf der Tagung „Daten- und Verbraucherschutz in Smart Grids“ des Bundesministeriums für Wirtschaft und Technologie hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar vor dem „Gläsernen Stromverbraucher“ gewarnt:
Intelligente Stromzähler könnten den Energieverbrauch im Sekundentakt aufzeichnen. Würden diese kunden- und gerätespezifischen Verbrauchsdaten an die Energieversorger übermittelt, könnten diese weitreichende Rückschlüsse auf die Lebensgewohnheiten ihrer Kunden ziehen – doch wen habe es zu interessieren, dass jemand z.B. vormittags Fernsehen schaue, abends die Sauna anheize oder nachts koche?
Eine zentrale Erfassung dieser Daten beim Versorgungsunternehmen sei auch gar nicht erforderlich, um mit Energie effizienter umzugehen, so Schaar. Die Daten über den Energieverbrauch einzelner Geräte müssten deshalb grundsätzlich beim Kunden bleiben. Sie sollten ihm für die intelligente und ökonomische Energienutzung in seinem Haushalt vollständig und differenziert zur Verfügung stehen und an Dritte nur in anonymisierter oder aggregierter Form übermittelt werden.

Weitere Informationen zum Thema:

BfDI, 17.06.2010
Intelligenter Datenschutz und intelligente Stromzähler passen prima zusammen!