5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario – ein länger andauernder europaweiter Stromausfall – erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht. Aber auch Störungen durch Cyberangriffe in anderen KRITIS-Sektoren wie Ernährung, Verkehr und Finanzwesen können das ganze Land – Einzelpersonen, Unternehmen und stattliche Organisationen – erheblich schädigen. Im Folgenden werden fünf Faktoren skizziert, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

Anzeige

1. Cyberangriffe nehmen zu

Ende Mai legte die Telekom aktuelle Zahlen zur Cybersicherheit vor. Anfang April zählte der Konzern 46 Millionen tägliche Angriffe auf seine Honeypots. Dies ist ein neuer Spitzenwert. Im Schnitt gab es im letzten Monat 31 Millionen Angriffe pro Tag. Im April 2018 waren es durchschnittlich noch 12 Millionen und im April 2017 noch 4 Millionen. Die Angriffszahlen steigen exponentiell.

Mit ihrer Analyse steht die Telekom nicht alleine: Auch laut des HPI bereitet das Thema IT-Sicherheit Unternehmen und öffentlichen Einrichtungen zunehmend große Sorge. Branchenübergreifend werden daher IT-Experten gesucht, die sich mit der Thematik auskennen und mit den neuen Bedrohungen professionell fertig werden.

2. KRITIS zunehmend vernetzt

Die Betreiber Kritischer Infrastrukturen (KRITIS) setzen auf Vernetzung und Digitalisierung, um die Effizienz zu steigern und die Kosten zu senken. Doch das bringt nicht nur Vorteile, sondern es geht auch mit neuen Risiken einher: Wie das BSI feststellt, sind die Systeme und Dienstleistungen, ihre Infrastruktur und Logistik erstens immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig. Zweitens können vormals autarke Systeme aus der Ferne über das Internet angegriffen und lahmgelegt werden.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. KRITIS sind attraktive Ziele

Als ob ungezielte Angriffe wie Ransomware nicht schon schlimm genug wären, sind Kritische Infrastrukturen bzw. deren IT-Systeme – wie Forschungsministerin Anja Karliczek treffend feststellte – auch noch besonders attraktive Angriffsziele für Kriminelle, Terroristen und ausländische Aggressoren. Das BSI vertritt ebenfalls diese Ansicht: Die Gefährdungslage in den Kritischen Infrastrukturen sei insgesamt auf hohem Niveau. Laut einer im Auftrag eines IT-Sicherheitsanbieters durchgeführte Studie von Tenable und Ponemon Institute berichten 9 von 10 Sicherheitsverantwortliche kritischer Infrastrukturen von mindestens einem Cyberangriff innerhalb der letzten zwei Jahre. 62 % der befragten Unternehmen wurden in den letzten zwei Jahren sogar mehrmals angegriffen.

Experten stimmen außerdem darin überein, dass die Anzahl der Cyberangriffe auf KRITIS wächst. So warnte das BSI, dass Angriffe auf Betreiber kritischer Infrastrukturen in der zweiten Jahreshälfte 2018 deutlich zugenommen haben. Auch laut eines F-Secure Berichts sind Spionage- und Sabotageangriffe gegen KRITIS im Laufe der Jahre gestiegen.

4. Allianzen noch nicht verbreitet genug

Selbstverständlich ist IT-Sicherheit eines der sensibelsten Themen überhaupt in jeder Organisation. Von diesem Standpunkt aus ist es nachvollziehbar, das Unternehmen gerne die komplette Kontrolle darüber haben wollen. Allerdings sind IT-Security-Experten immer schwerer zu bekommen und werden immer teurer. Auch Anschaffung und Betrieb der vielen verschiedenen erforderlichen IT-Sicherheitslösungen für Schutz und Abwehr benötigen immer mehr Ressourcen. Unternehmen, die denken, dass sie aufgrund ihrer geringen Größe keinen umfassenden Schutz brauchen, sind leider auf dem Holzweg. Geringe Größe schützt nicht, oder wie es Torsten Harengel, Director, Head of Cyber Security Germany bei Cisco auf den Punkt formuliert: „KMU sind längst ein genauso attraktives Ziel für Cyberkriminelle wie große Konzerne, da sie vor der Herausforderung stehen, das Sicherheitsniveau eines Konzerns mit wesentlich geringeren Mitteln erreichen zu müssen.“

Dirk Backofen, Leiter Telekom Security, teilt diese Einschätzung: „Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten.“

Insofern ist es unumgänglich, Kompetenzen zu bündeln, Allianzen einzugehen und auch Outsourcing von IT-Security zu betreiben. SIEM-Lösungen sind beispielsweise als Services aus der Cloud verfügbar. Und auch ein SOC (Security Operations Center) muss nicht selbst betrieben werden: Durch ein Managed SOC oder SOC as a Service profitieren auch Organisationen von den Vorteilen eines SOC, die nicht über die personellen und technischen Ressourcen verfügen, ein komplettes SOC selbst zu betreiben. Das Gemeinschaftsprojekt CSOC ist ein Beispiel dafür und begründet seine Mission wie folgt: „Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert.“

5. Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert

Viele Komponenten, die heute bei Kritischen Infrastrukturen eingesetzt werden, sind zwar ans Netz angeschlossen, verfügen aber nicht über integrierte Sicherheitsmaßnahmen. Daher ist die IT-Sicherheit der vorgelagerten Netze oft der einzige Schutz. Mit dem IT-Sicherheitsgesetz 2.0 regiert der Staat auch auf diese sich verschärfende Situation. Das Gesetz plant für das BSI mehr Personal, Geld und weitreichendere Befugnisse ein. Zudem soll das BSI aktiv nach Sicherheitsrisiken suchen dürfen – auch ohne das Einverständnis der Betroffenen.

Die derzeit für die Suche nach Sicherheitsrisiken favorisierten Pentests haben durchaus ihre Existenzberechtigung, weisen allerdings diverse Nachteile auf: Sie sind teuer, zeitaufwendig und als manuelle Prozesse müssen sie von menschlichen Experten durchgeführt werden. Zudem sind sie nur geeignet, die aktuelle IT-Sicherheit zu prüfen – morgen könnten sie schon veraltet sein.

Eine Ergänzung zu Pentests wäre die moderne Methode der IT-Sicherheitsratings. Anstatt einzelne Stichproben durchzuführen, verfolgen IT-Sicherheitsratings einen anderen Ansatz: automatisches Sammeln und Auswerten großer Datenmengen im Hinblick auf IT-Sicherheit. Die datenbasierte, kontinuierliche Messung der IT-Sicherheit und automatisierte Auswertung durch leistungsfähige Algorithmen ermöglicht einen tagesaktuellen Überblick von außen über die Cybersicherheitsleistungen von allen Organisationen, die zur Kritischen Infrastruktur gehören – eine stets aktuelle Bewertung der Cybersicherheitsleistung von hunderttausenden Organisationen. Dabei steht vom generellen Überblick über die deutschlandweite Cybersicherheitsleistung bis hin zu kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer immer genau die Information bereit, die benötigt wird. 

www.bitsight.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.