Suchen

Sicherheit kritischer Infrastrukturen KRITIS-Bedrohung durch Ransomware

| Autor / Redakteur: Kristian von Mejer* / Sebastian Human

Angriffe auf kritische Infrastrukturen gehören zu den ultimativen Schreckensszenarien im Kontext von Cyberbedrohungen. Regularien und Gesetze sollen schützen, doch der wirksamste Schutz beginnt vor Ort.

Spricht man von KRITIS-Bedrohungen, denkt man immer auch an die Energieversorgung.
Spricht man von KRITIS-Bedrohungen, denkt man immer auch an die Energieversorgung.
(Bild: gemeinfrei / Pixabay )

Spearphishing, gekaperte IoT-Geräte, Brute-Force Fernzugriffe, vergessene Altsysteme, ungepatchte Webserver, kompromittierte Geräte von externen Servicepartnern, Bad-USB-Sticks, ungesicherte S3-Buckets… Es gibt viele Möglichkeiten, wie Angreifer in ein Unternehmen eindringen können. Lukrativ ist immer noch die Verteilung von Ransomware, um schlussendlich Lösegeld zu erpressen. Das MITRE ATT&CK-Framework beschreibt elf Techniken, die Angreifer verwenden, um sich Zugriff auf KRITIS-Systeme zu verschaffen. Es gilt als wahrscheinlich, dass mindestens eine davon beim Angriff auf das portugiesische Energieunternehmen Energias de Portugal (EDP) genutzt wurde.

Wenn die Malware zuschlägt: Der Worstcase im Energiebereich

Datenverlust ist schlecht für das Geschäft und die damit verbundenen Kosten steigen exponentiell mit der Zunahme der abgeflossenen Datenpakete an. Während das Gesundheitswesen und der Finanzsektor als die Branchen mit den kostspieligsten Sicherheitsverletzungen genannt werden, entfallen auf die Energieindustrie laut IBM und Ponemon durchschnittliche Kosten von 5,6 Millionen US-Dollar pro Vorfall. Diese Zahlen verblassen im Vergleich zu den fast 11 Millionen US-Dollar Lösegeld, das die Angreifer von EDP verlangten. Das Unternehmen wurde mit der Ransomware RagnarLocker angegriffen. Die Angreifer sperrten das Backoffice, nachdem sie potenziell 10 Terabyte an Unternehmensdaten exfiltriert hatten.

Glücklicherweise gab es im Fall EDP keinen physischen Stromausfall. Das liegt zum Teil daran, dass es sich lediglich um das Backoffice des Versorgungsunternehmens handelte. Die portugiesischen Verbraucher hatten Glück, verglichen mit dem Stromausfall bei Johannesburg in Südafrika im vergangenen Juli 2019. Einer der ersten Angriffe dieser Art war der auf das ukrainische Stromnetz 2015, bei der Malware eingesetzt wurde, um industrielle Kontrollsysteme (ICS) in kritischen Infrastrukturen (KRITIS) anzugreifen und einen Stromausfall im Dezember auszulösen.

Regulierung, Richtlinien und Bußgelder: Demnächst wird das Bulk Electric System (BES) besser überwacht

Der Vorfall der Lösegeldforderung für die Freigabe des EDV-Systems ereignete sich, bevor eine noch ausstehende Regelung, mit der solche Probleme verhindert werden sollten, zumindest in den USA in Kraft treten wird. Ab Juli 2020 werden neue erforderliche Cyber-Sicherheitskontrollen über NERC CIP-013, den CIP-Standard (CIP = Schutz kritischer Infrastrukturen) der North American Electric Reliability Corporation (NERC), in den USA eingeführt. Dabei handelt es sich um eine Non-Profit-Organisation mit Sitz in Princeton im US-Bundesstaat New Jersey, die für die Koordinierung der elektrischen Stromnetze in den USA zuständig ist. Vor dem Hintergrund rekordverdächtiger Bußgelder, die 2019 gegen Versorgungsunternehmen verhängt werden, umfassen die neuen Regeln Kontrollen für den Fernzugriff und einen risikobasierten Ansatz für das Lieferantenmanagement sowie die Gerätebeschaffung. All dies soll, zusammen mit Strafen, dazu beitragen, dass sich Energieversorger in den USA besser auf Cyberattacken und Sicherheitsvorfälle vorbereiten.

In Deutschland müssen sich KRITIS-Unternehmen, zu denen Energieversorger zählen, seit 2015 an die Anforderungen des IT-Sicherheitsgesetzes halten. „Ziel des IT-Sicherheitsgesetzes ist aber auch die Verbesserung der IT-Sicherheit bei Unternehmen und in der Bundesverwaltung, sowie ein besserer Schutz der Bürgerinnen und Bürger im Internet“, heißt es beim BSI.

Seit einiger Zeit liegt nun schon mit dem IT-Sicherheitsgesetz 2.0 ein neuer Entwurf vor, der rauf und runter diskutiert wird. Besonders die Idee, Betreiber von kritischen Infrastrukturen mit DSGVO-ähnlichen Pönalen zu bestrafen ist heftig umstritten. Darüber hinaus steht immer wieder eine Ausweitung des definitorischen Begriffs, was eigentlich ein KRITIS-Unternehmen ist und welche Schwellwerte angesetzt werden sollen, im Mittelpunkt der Debatten.

Nach heutigem Stand könnte die gute Nachricht zumindest bei dem Vorfall in Portugal sein, dass es sich „nur um eine Cyberkriminellen-Gang“ mit einer rein finanziellen Motivation handelt. Nationalstaatliche Bedrohungsakteure sind durchaus auch im Bankraub und im Diebstahl von Bitcoin geschult, jedoch reichen ihre Möglichkeiten deutlich darüber hinaus. Der Cyberangriff auf Versorgungsunternehmen kann dann über die reine digitale Erpressung hinaus bis in die politischen und cyber-physischen Bereiche hineinreichen. US-Behörden und Think Tanks, letztlich aber auch alle anderen Regierungen weltweit beobachten dies mit großer Sorge. Stromausfälle können katastrophal sein und Betriebsunterbrechungen, wirtschaftliche Schäden oder sogar öffentliche Unruhen verursachen, wie der Stromausfall, der sogenannte Blackout in New York 1977 beweist. Die Kopplung eines Stromausfalls mit einem physischen Angriff könnte zu einem beunruhigenden Schadensmultiplikator werden.

Die schlechte Nachricht ist, dass wir uns noch im Anfangsstadium befinden - der erste bekannte Cyberangriff auf das US-Netz fand erst vor ein paar Monaten statt. Das US-Stromgrid wird weiterhin mit Komponenten aus den 1890er Jahren betrieben, die immer weniger in der Lage sein werden, die heutigen Anforderungen an eine moderne Stromversorgung zu erfüllen.

In der Zwischenzeit können Cyberkriminelle Exploit-Kits entwickeln, die auf industrielle Steuerungen und Betriebstechniksysteme von Herstellern wie Advantech/Broadwin, Schneider Electric, Siemens, Cogent, GE, ABB, Moxa, Yokogawa und anderen abzielen. Der übergreifende Trend der IT-OT-Konvergenz bringt Geräte und Netzwerke näher zusammen. Es scheint unvermeidlich, dass eines Tages nicht nur die Nationalstaaten nach dem besten Weg suchen werden, einer vernetzten, modernen Stadt den Strom abzuschalten - es wird auch für Cyberkriminelle zur gängigen Praxis werden.

Fazit: Was kommt nach den Vorfällen in der Ukraine, Südafrika und Portugal?

Diese Angriffe stellen definitiv eine Warnung an andere Energieversorger und KRITIS-Betreiber dar. Immer mehr, spezifisch auf definierte Prozesse ausgelegte Malware-Attacken sind keine Seltenheit mehr. Immer mehr IT-Organisationen müssen sich der Herausforderung stellen, neben der IT-Umgebung auch die industrielle Betriebstechnik (OT) abzusichern. Security-Experten bieten beispielsweise cloudbasierte Lösungen für die unternehmensweite Netzwerksegmentierung an. Eine solche Software hilft dabei, das Absichern kritischer Anwendungen zu erleichtern, die Anfälligkeit gemischter IT/OT-Umgebungen zu verringern und die Auswirkungen von Angriffen auf das Netzwerk zu begrenzen. Mit der Lösung können Unternehmen ihre Netzwerksegmentierung definieren und umsetzen. Dies gilt auch für komplexe Unternehmensnetzwerke, Rechenzentren, Clouds und OT-Umgebungen.

* Kristian von Mejer arbeitet als Global Account Executive bei ForeScout Technologies Inc.

(ID:46628923)