Einst waren Szenarien, in denen Hacker zum Beispiel die Wasserversorgungssysteme einer Stadt kaperten und die Bevölkerung in Geiselhaft nehmen, ein Stoff für Katastrophenfilme. Doch mit der zunehmenden Digitalisierung, nicht zuletzt im Bereich kritischer Infrastrukturen (Kritis), sind derlei Szenarien nicht länger nur blanke Theorie.
Denn nahezu alle Systeme, die wir im täglichen Leben nutzen, sind heute digital miteinander verbunden, und ein Angreifer braucht schlimmstenfalls nur einen Knopfdruck, um ein Element der kritischen Infrastruktur – wie die Wasserversorgung einer Kommune – lahmzulegen.
Sich Zugang zu einem wichtigen Element der kritischen Infrastruktur zu verschaffen, ist für Cyberkriminelle sehr attraktiv. Denn aufgrund der massiven Auswirkungen für die Bevölkerung können sie hohe Lösegeldsummen zur „Behebung“ des Schadens fordern. Jüngste Beispiele, wie der Angriff auf die Colonial Pipeline im März 2021, haben verdeutlicht, dass Kritis-Betreiber spätestens jetzt im Fokus der Cyberkriminellen stehen. Sofern die Betreiber im Falle eines Angriffs nicht transparent agieren, bleiben sie gegenüber Cyberangriffen weiterhin verwundbar. Auch in der öffentlichen Wahrnehmung würde ein intransparentes Verhalten Argwohn hervorrufen.
Wie können die Betreiber ihre kritischen Infrastrukturen also am besten vor den zunehmenden Cyberbedrohungen schützen? Vor allem gilt es, die richtigen Lehren aus den vorangegangenen Angriffen zu ziehen.
Unternehmen sind nur so sicher wie ihr schwächstes Glied
Eine der wichtigsten Lehren der vergangenen Jahre besteht darin, dass Unternehmen nur so sicher sind wie ihr verwundbarster Lieferant und einfache Sicherheitsmängel Cyberkriminellen häufig Zugang zu wichtigen Unternehmensressourcen ermöglichen. Denn die meisten großen Unternehmen tun sich schwer damit, sich einen umfassenden Überblick über ihren Bestand an Systemen zu verschaffen – geschweige denn über Schwachstellen innerhalb ihrer Lieferkette. Cyberkriminelle wählen folglich nicht immer den direktesten Weg zu einer Anwendung, sondern suchen nach einem augenscheinlich übersehenen Altsystem, Kopplung oder einem weniger gut geschützten Zulieferer.
Ziel von Angreifern ist es, mit möglichst geringem Aufwand hohe Profite zu erzielen. Dazu halten sie nach potenziellen Zielen Ausschau, die weiterhin Altsysteme für den Betrieb von Netzwerken nutzen. Unter Altsystemen versteht man in diesem Zusammenhang Systeme, die veraltete und nicht gepatchte Software verwenden, Fehlkonfigurationen beinhalten oder schwache Authentifizierungsmethoden nutzen – alles Einfallstore für Cyberkriminelle, um auf Systeme zuzugreifen und sie zu überwinden.
Beispiel: Kaseya
Im Anschluss an einen Ransomware-Angriff, der rund 2.000 Unternehmen weltweit in Mitleidenschaft zog, gelang es dem Incident-Response-Team von Kaseya, die verschlüsselten Daten des Unternehmens innerhalb von 20 Tagen nach der Entdeckung des Sicherheitsvorfalls wiederherzustellen. Kaseya waren bereits zuvor sieben Schwachstellen in seinen Systemen bekannt, da es ein Programm zur Offenlegung von Schwachstellen (Vulnerability Disclosure Program, kurz VDP) aufgesetzt hatte. Allerdings waren nur vier der sieben von den Sicherheitsexperten gemeldeten Schwachstellen gepatcht worden, und eine der noch nicht behobenen Schwachstellen erlaubte es den Angreifern, ihre großangelegte Attacke durchzuführen. Kaseya hatte es also versäumt, rechtzeitig auf gemeldete Schwachstellen zu reagieren, wodurch wiederum zahllose weitere Unternehmen Opfer dieser Attacke wurden. Dieses Beispiel ist ein Beleg dafür, dass Unternehmen zwar über Cybersecurity-Programme verfügen, aber dennoch Opfer eines Angriffs aufgrund einer Schwachstelle in einem fremden Netzwerk werden können.
Kritische Infrastrukturen aktuell im Fokus
Nicht erst im Zuge des russischen Angriffskriegs gegen die Ukraine ist das Land von massiven Cyberattacken betroffen. Bereits in den Wochen vor der Eskalation der Gewalt fanden koordinierte Cyberangriffe gegen die ukrainische Regierung statt, bei denen die Bedrohungsakteure auf CMS- und Log4j-Angriffe setzten. Ziel der Attacken war ein wichtiger Teilnehmer der Lieferkette, eine IT-Firma, die einen Teil der Websites der ukrainischen Regierung verwaltet. Dass die Log4j-Sicherheitslücke zu diesem Zeitpunkt erst wenige Wochen zuvor entdeckt worden war, erhöhte den Druck auf die Security-Verantwortlichen. Denn für jedes Pentest- oder Sicherheitsteam ist ein solcher Zeitrahmen viel zu kurz, um jede Instanz einer Zero-Day-Lücke zu finden und zu beheben. Dies zeigt, dass Organisationen aus dem Kritis-Bereich auf andere, innovativere Methoden zurückgreifen müssen, um neue Schwachstellen in ihren riesigen Angriffsflächen schnell zu erkennen.
Erkennung von Angriffen ist für kritische Infrastrukturen elementar
Die jüngsten Angriffe auf kritische Infrastrukturen haben nicht nur negative Folgen. Sicherheitsteams, die kritische Systeme betreuen, profitieren sogar von den Erkenntnissen, die auf Basis früherer Angriffe gewonnen werden konnten. Ein gutes Beispiel dafür liefert der Hack des Houstoner Hafens, der sich im September 2021 ereignete. Eine mutmaßlich staatlich gelenkte Hackergruppe versuchte dabei den großen Hafen in Houston, Texas, lahmzulegen. Allerdings verhinderte die frühzeitige Erkennung ungewöhnlicher Aktivitäten in dem angegriffenen Netzwerk Schlimmeres. So konnten die Systeme vom Sicherheitsteam des Hafens abgeschaltet werden, noch bevor das Netzwerk beeinträchtigt wurde oder Daten gestohlen werden konnten. Die kurze Reaktionszeit war für den Erfolg des Sicherheitsteams ausschlaggebend. Dieser Vorfall belegt, dass die Fähigkeit zur Erkennung von Angriffen für den Schutz kritischer Infrastrukturen von entscheidender Bedeutung ist. Da die Angriffsfläche stetig zunimmt und kritische Infrastrukturen ein Hauptziel für Cyberkriminelle bilden, können sich Organisationen, die diese anfälligen Netzwerke verwalten, das Risiko, gehackt zu werden, einfach nicht leisten.
Innovative Methoden können helfen
Das einzige Mittel, das tatsächlich Schutz vor Cyberangriffen bietet, ist Prävention. Selbst gewöhnlich eher konservativere Branchen und Organisationen – darunter auch das britische Verteidigungsministerium – erwärmen sich nach und nach für unkonventionelle Sicherheitsansätze wie VDPs oder Bug-Bounty-Programme (BBP), um sich das Know-how der Ethical-Hacking-Community zunutze zu machen.
Ein weltweites Team ethischer Hacker kann rund um die Uhr und über alle Zeitzonen hinweg zusammenarbeiten, um anfällige Netzwerke genau unter die Lupe zu nehmen. Diese Sicherheitsspezialisten verfügen über ein umfangreiches Wissen, das genutzt werden kann, um Sicherheitslücken zu identifizieren. Ferner profitieren Unternehmen von einem detaillierten Feedback, das sie dabei unterstützt, Gegenmaßnahmen schneller ergreifen zu können. Mit Hilfe von Hackern können Sicherheitsteams, die kritische Infrastrukturen verwalten, gefährliche Aktivitäten schnell erkennen und Cyberkriminelle an ihren Aktivitäten hindern, noch bevor sie Schaden anrichten können.
Insbesondere bei der Minimierung bzw. bestenfalls der Schließung der sogenannten „Attack Resistance Gap“ spielen ethische Hacker eine wichtige Rolle. Damit wird die Lücke zwischen dem bezeichnet, was Unternehmen zu schützen imstande sind, und dem, was tatsächlich geschützt werden muss. Oftmals besteht zwischen beidem eine große Kluft, nicht zuletzt, weil den Security-Teams der Unternehmen zumeist nur begrenzte Personalressourcen zur Verfügung stehen. Die externen Security-Spezialisten der Ethical Hacking Community bieten hier einen Ausweg.
Darüber hinaus werden Sicherheitsexperten durch ein VDP oder ein Bug-Bounty-Programm angespornt, nach neuen und innovativen Schwachstellen wie „Backdoor“-Lücken zu suchen, die viele Cyberkriminelle nutzen, um sich Zugang zu kritischen Systemen zu verschaffen – wie im Falle der Log4j-Attacken auf die ukrainische Regierung. Ethische Hacker können im Rahmen solcher Programme ihr Spezialwissen in Sachen Hacking einbringen. Gerade diese Fähigkeiten sind für die Vorhersage der Taktiken von Cyberkriminellen von großer Bedeutung. Als ergänzende Vorsichtsmaßnahme können Unternehmen auch von Drittanbietern verlangen, dass sie ähnliche Security-Prozesse etablieren und ihre Zulieferer im Rahmen ihrer Sicherheitsvorkehrungen überprüfen. Dies verbessert die Cybersicherheit aller an der Softwarelieferkette beteiligter Organisationen – ein Gewinn für miteinander in Verbindung stehende kritische Infrastrukturnetze.
Die Bedeutung von Transparenz
Unternehmen – nicht nur aus dem Kritis-Betreibe – müssen die Bedeutung von Transparenz erkennen und Informationen über Sicherheitslücken offen teilen, denn nur eine diesbezügliche Offenheit schafft Vertrauen. Ausnahmslos jede Organisation ist anfällig für Cyberangriffe. Dies schließt kritische Infrastrukturen mit ein. Gerade Unternehmen aus diesem Bereich müssen dafür Sorge tragen, dass sie transparent mit Sicherheitslücken bzw. -vorfällen umgehen. Denn es steht zu viel auf dem Spiel, sollte ein Kritis-Unternehmen erfolgreich von Cyberkriminellen attackiert werden, da sich die Öffentlichkeit in hohem Maße auf diese Dienste verlässt. Sicherheitsteams stehen somit in der Pflicht, so viele Informationen wie möglich über entdeckte Schwachstellen preiszugeben, vor allem, wenn es einem Angreifer gelungen ist, die Systeme zu kompromittieren. Nur durch die Weitergabe von Wissen kann anderen dabei geholfen werden, sich vor denselben Bedrohungen zu schützen.
In der Vergangenheit hat sich bereits öfter gezeigt, wie Unternehmen, die von einer Cybersicherheits-Verletzung oder einem Angriff betroffen waren, von einer darauffolgenden Offenheit profitierten. Im März 2019 wurde Norsk Hydro – ein weltweit tätiger Aluminiumhersteller – Opfer eines umfassenden Cyberangriffs, der die gesamte globale Organisation betraf. Als Reaktion auf den Angriff verbreitete das Unternehmen häufig transparente Mitteilungen, nicht nur, um die Öffentlichkeit über die Ereignisse zu informieren, sondern auch, um die Taktiken der Cyberkriminellen aufzudecken und zukünftige Cyberbedrohungen einzudämmen. Dies zeigt einmal mehr, wie Transparenz Unternehmen dabei unterstützt, gegen Eindringlinge vorzugehen und gleichzeitig Vertrauen zu schaffen, wenn es zu einem Cyberangriff kommt. Führende Cybersecurity-Spezialisten, darunter der CEO von Dragos, lobten das Unternehmen in den Medien für seinen Umgang mit dem Angriff. Das Sicherheitsteam des Hafens von Houston wurde ebenfalls für seine Transparenz gelobt, als es im September 2021 den Cyberangriff erfolgreich bekämpfte.
Der einzige Weg, wie Betreiber kritischer Infrastrukturen den wachsenden Cyber-Bedrohungen effektiv begegnen können, ist die Zusammenarbeit von Industrie, staatlichen Stellen und der Öffentlichkeit. Indem sie mit anderen zusammenarbeiten und offen Informationen austauschen, können Sicherheitsteams ihre Kräfte bündeln, aus früheren Ereignissen lernen und letztendlich Vertrauen aufbauen – speziell für Kritis-Betreiber ist dies ein entscheidender Faktor.