Der Aufbau einer durchdachten Defense-in-Depth-Strategie wird für KRITIS-Betreiber zum entscheidenden Erfolgsfaktor, um Systeme und Dienste nachhaltig zu schützen.
Die Resilienz, also Widerstandsfähigkeit sogenannter wesentlicher Dienste in Deutschland – von Versorgungsunternehmen über Telekommunikation bis hin zu Gesundheit und Verkehr – gegenüber Cyberangriffen wurde in den letzten Monaten genauer unter die Lupe genommen
Anfang November konkretisierte die Bundesregierung ihre Absicht, die kritische Infrastruktur (KRITIS) besser zu schützen. So beschloss das das Bundeskabinett am 6. November 2024 einen Entwurf für das KRITIS-Dachgesetz, um die physische Resilienz kritischer Anlagen zu verstärken. Dieses sieht einheitliche Regeln zum Schutz von Energieunternehmen, Verkehrsinfrastruktur und Industrieanlagen vor. Das KRITIS-Dachgesetz soll besser mit den kürzlich in Kraft getretenen EU-NIS2-Vorschriften abgestimmt werden und komplementiert inhaltlich das NIS2UmsuCG. Während Letzteres die IT-Sicherheit schützen soll, regelt das KRITIS-Dachgesetz den physischen Schutz von Anlagen.
Diese rechtlichen Maßnahmen kommen zu einer Zeit, in der Angriffe auf Unternehmen und wichtige Institutionen bereits zu weitreichenden Störungen kritischer Dienste geführt und die Sicherheit und das Wohlergehen der Öffentlichkeit bedroht haben. Deutschland kann sich keine größeren Ausfälle dieser Dienste aufgrund einfacher Sicherheitslücken leisten. Ein mehrstufiger Verteidigungsansatz ist unerlässlich, um die Resilienz gegen diese Angriffe zu verbessern.
Eine Studie von OPSWAT hat jedoch ergeben, dass viele Unternehmen diesen Ansatz noch nicht in den Griff bekommen haben. Was steht also im Weg und wie können Sicherheitsverantwortliche die für die heutigen Bedrohungen erforderlichen mehrschichtigen Abwehrmechanismen aufbauen?
Die Lücken in der „Cyberbereitschaft“
Die Cyberrisiken für KRITIS-Anbieter erstrecken sich über mehrere verschiedene Vektoren, da die Angreifer nicht mehr nur den Netzwerkperimeter ins Visier nehmen, sondern eine Vielzahl von Taktiken einsetzen, um in kritische Systeme einzudringen. Das BSI hat in diesem Jahr mehrere dringende Warnungen vor staatlich unterstützten Akteuren aus Ländern wie Russland und China herausgegeben, die Botnets und Zero-Days einsetzen, um die kritische Infrastruktur ins Visier zu nehmen.
Trotz der Empfehlungen, einen vielschichtigen Ansatz zur Absicherung gegen solche Bedrohungen zu verfolgen, hat die OPSWAT-Studie ergeben, dass viele Sicherheitsverantwortliche nur wenig Vertrauen in ihre Fähigkeit haben, mit DDoS-Angriffen und fortschrittlicheren Bedrohungen wie APTs, Botnets und Zero-Day-Malware umzugehen.
Diese ausgeklügelten Angriffsmethoden machen deutlich, dass Unternehmen über grundlegende Sicherheitsmaßnahmen hinausgehen müssen. Der Schutz vor fortgeschrittenen Bedrohungen erfordert die Integration mehrerer Sicherheitsebenen in einem Defense-in-Depth-Ansatz, um sicherzustellen, dass Schwachstellen in jeder Phase abgedeckt sind.
Beispielsweise bieten Netzwerk-Appliance-Tools zwar Schutz vor netzwerkbasierten Angriffen, überprüfen jedoch in der Regel nicht den Inhalt hochgeladener Dateien. Durch die Integration einer Dateiscan-Lösung als Teil der Netzwerkverteidigung wird dieser blinde Fleck jedoch berücksichtigt und der Angriffspfad geschlossen.
Die Umsetzung einer Defense-in-Depth-Strategie ist jedoch leichter gesagt als getan. Nur 17 Prozent der befragten Unternehmen gaben an, dass sie eine Strategie vollständig umgesetzt haben, während die meisten ihre Maßnahmen nur teilweise umsetzen.
Hindernisse bei der Umsetzung mehrschichtiger Abwehrmechanismen
Während die Notwendigkeit einer Defense-in-Depth-Strategie von Entscheidungsträgern im Bereich Sicherheit allgemein anerkannt wird, stehen viele Unternehmen bei der vollständigen Umsetzung vor erheblichen Hindernissen.
Eine der größten Herausforderungen besteht darin, dass die Einführung einer effektiven Defense-in-Depth-Strategie eine kontinuierliche, koordinierte und abteilungsübergreifende Anstrengung erfordert, um alle Punkte miteinander zu verbinden. Für Sicherheitsteams ist es von entscheidender Bedeutung, dass sie einen Überblick über das Unternehmen und ein Verständnis für dessen Infrastruktur, Dienstleistungen, Lieferanten und Geschäftsprioritäten haben, um auf einer soliden Grundlage arbeiten zu können. OPSWAT stellte fest, dass Unternehmen oft Schwierigkeiten haben, den Fokus beizubehalten und Prioritäten zu setzen, wenn sie gleichzeitig mit all ihren anderen Sicherheits- und Betriebsanforderungen konfrontiert sind.
Der Budgetdruck ist ein besonders dringendes Problem, da viele führende Unternehmen trotz der wachsenden Bedrohungslandschaft von stagnierenden oder schrumpfenden Budgets im Bereich Cybersicherheit berichten. Dieser Mangel an Finanzmitteln zwingt Sicherheitsteams oft dazu, unmittelbare Risiken gegenüber langfristigen, belastbaren Strategien zu priorisieren, was es schwierig macht, die für einen umfassenden Schutz erforderlichen mehrschichtigen Abwehrmechanismen aufzubauen.
Darüber hinaus behindert der Mangel an Fachkräften weiterhin die Bemühungen, eine stärker vernetzte, mehrschichtige Strategie umzusetzen. In vielen Fällen sind die Sicherheitsteams überlastet und müssen eine Vielzahl von Systemen mit unzureichenden Ressourcen verwalten. Auch die mangelnde Aufmerksamkeit der Unternehmensleitung kann ein Hindernis für die Cyberbereitschaft sein. Ohne angemessene Schulung oder Unterstützung durch die Unternehmensleitung können selbst die gut gemeinten Sicherheitsinitiativen scheitern, was zu einem Flickenteppich an Verteidigungsmaßnahmen führt, anstatt zu einer robusten, mehrschichtigen Strategie.
Das Zusammenspiel dieser Probleme hat zu größeren Herausforderungen geführt, da Netzwerkumgebungen immer komplexer werden. So ist beispielsweise die Sicherheit von Webanwendungen durch den Einsatz miteinander verbundener Tools, die unternehmensinterne Lösungen umfassen, schwieriger geworden. Die zunehmende Verbreitung von Cloud-Speichern und potenziell anfälligen Open-Source-Tools hat die Herausforderung noch verstärkt. Aufgrund dieser Komplexität fühlen sich Unternehmen oft gelähmt und unsicher, wo sie anfangen sollen.
Die wichtigsten Ebenen einer Defense-in-Depth-Strategie
Eine robuste, mehrstufige Verteidigungsstrategie umfasst mehrere Sicherheitsebenen mit technischen Kontrollen und integrierten Prozessen in der gesamten Infrastruktur eines Unternehmens, wodurch die Wahrscheinlichkeit verringert wird, dass Angreifer einen einzelnen Schwachpunkt ausnutzen, und die Resilienz des Unternehmens gestärkt wird, sodass der Betrieb aufrechterhalten werden kann.
Die erste Ebene konzentriert sich auf die Netzwerksicherheit und verwendet Firewalls, Gateways und Datendioden, um den Datenverkehr zu kontrollieren und unbefugten Zugriff und Datenbewegungen zu verhindern. Selbst wenn ein Bereich kompromittiert wird, stellt die Segmentierung sicher, dass Bedrohungen eingedämmt werden.
Datensicherheit ist ebenso wichtig, da Dateien versteckte Malware enthalten können. Die in Netzwerkgeräte integrierte Dateiscantechnologie bereinigt oder blockiert schädliche Inhalte, bevor sie sensible Systeme erreichen. Ebenso schützt der Endpunktschutz Geräte wie Laptops und Desktops, die häufig Ziel von Angriffen sind und über Wechselmedien auf das Netzwerk zugreifen. Integrierte Suiten aus mehreren Malware-Erkennungs-Engines, verhaltensbasierten Sandboxes und Bedrohungsdaten-Feeds helfen, Infektionen zu erkennen und zu verhindern und das Risiko bekannter und Zero-Day-Angriffe zu minimieren.
E-Mail-Sicherheit ist eine weitere wichtige Ebene, da Phishing ein häufiger Einstiegspunkt für Ransomware-Nutzlasten ist. Lösungen, die Phishing blockieren und Anhänge und URLs auf schädliche Inhalte scannen, reduzieren dieses Risiko erheblich. Schließlich nutzt die Zero-Day-Verteidigung fortschrittliche Tools wie maschinelles Lernen und Verhaltensanalysen, um neue Schwachstellen zu erkennen, die herkömmliche Methoden möglicherweise übersehen. Zusammen bieten diese Ebenen eine umfassende Verteidigung, die in jeder Phase eines potenziellen Angriffs schützt.
Erste praktische Schritte
Für viele KRITIS-Unternehmen mag die Umsetzung einer umfassenden Defense-in-Depth-Strategie zur tiefgreifenden Verteidigung überwältigend erscheinen, aber ein strukturierter, schrittweiser Ansatz kann sie beherrschbar machen. Auch wenn die Angreifer unterschiedlich sein mögen und die IT-Umgebungen variieren, gilt für alle Unternehmen dieselbe Kernstrategie.
Der erste Schritt besteht darin, sich an etablierten Sicherheitsstandards, Frameworks und bewährten Verfahren wie NIST, CIS.ISO 27001 und MITRE ATT&CK auszurichten. Diese Richtlinien bieten klare Maßnahmen zur Verbesserung der Sicherheitslage, und die CISA-Empfehlungen der USA für kritische Infrastrukturen können ebenfalls als Fahrplan für die Stärkung der Abwehr dienen.
KRITIS-Betreiber sollten sich mit den grundlegenden Sicherheitsbausteinen wie Patch-Management und Multi-Faktor-Authentifizierung (MFA) befassen. MFA ist eine grundlegende Maßnahme, die immer noch häufig übersehen wird, insbesondere in Netzwerken der Betriebstechnik (OT). Dennoch kann sie Risiken erheblich reduzieren, indem sie sicherstellt, dass Angreifer nicht auf kritische Systeme zugreifen können, selbst dann, wenn die Zugangsdaten kompromittiert werden.
Als Nächstes ist die Durchführung einer Schwachstellenanalyse unerlässlich, um Schwachstellen zu identifizieren. Durch den Vergleich ihrer aktuellen Einrichtung mit den Branchenstandards können Unternehmen verbesserungsbedürftige Bereiche ermitteln und priorisieren, von der Netzwerksicherheit bis hin zum Endpunktschutz.
Schließlich sollten Unternehmen, bevor sie in neue Technologien investieren, alle Möglichkeiten ihres bestehenden Sicherheitspakets ausschöpfen. Sicherheitslösungen können über ungenutzte Funktionen verfügen, die die Sicherheit weiter verbessern und Risiken reduzieren können. Zum Beispiel durch die Aktivierung von Sandboxing oder die Entschärfung von Dateiinhalten und die Rekonstruktion, um Dateien in einen als sicher bekannten Zustand zu versetzen. Durch die Optimierung dieser Tools können Unternehmen ihre Ressourcen maximieren und gleichzeitig die Verwaltung und die Ausuferung von Tools vereinfachen.
Durch die Befolgung dieser Schritte können KRITIS-Betreiber den Grundstein für eine widerstandsfähigere Cybersicherheit legen, die ihr Netzwerk und ihre sensiblen Daten schützt. Da Behörden vor der wachsenden Bedrohung für die kritische Infrastruktur warnen, ist es für Unternehmen in diesem Sektor von entscheidender Bedeutung, einen umfassenden, mehrschichtigen Ansatz zur Verteidigung gegen raffiniertere, hartnäckigere und mächtigere Gegner zu priorisieren.