Organisation & Compliance
IM FOKUS

Cybersecurity für kritische Infrastrukturen

Die Digitalisierung der operativen Wertschöpfungsketten ist mit einem großen Nutzen für Analyse, Prozessoptimierung und Automatisierung verbunden.

Gleichzeitig macht sie durch die Anbindung OT-Infrastrukturen und kritische Infrastrukturen angreifbar. Das ermöglicht Benutzern des angebundenen IT-Netzwerks und Dritten mit physischem oder Fernzu-griff auf OT-Netzwerke Zugriff auf bislang isolierte ICS- und SCADA-Systeme. Die Digitalisierung macht Geräte kritischer Infrastrukturen oder der OT auch aus dem Internet angreifbar. Experten schätzen, dass mehr als ein Drittel der Industriestandorte über mindestens eine direkte Verbindung zum Internet und gar drei Viertel der Industriestandorte über mindestens ein via Internet zugängliches Gerät verfügen. Das bedeutet, dass das Einfallstor IT-Infrastruktur weite Kreise bis in die OT ziehen kann. Damit sind Malware und Ransomware auch für OT-Bereiche äußerst ernstzunehmende Bedrohungen.

Bekannteste Beispiele waren WannaCry, das durch die Ausnutzung einer Schwachstelle in einer veralteten und nicht unterstützten Version von Windows erheblichen Schaden an OT-Systemen anrichtete, und NotPetya, das weltweit Unternehmen lahmlegte und rund 25 Prozent aller Öl- und Gasunternehmen betraf. In jüngster Zeit wurden auch Botnets entdeckt, die speziell auf SCADA-Systeme abzielen. Weiterhin beliebt sind Angriffe auf Internet of Things (IoT)-Geräte.

Herausforderungen beim Schutz kritischer Infrastrukturen

Eine Vielzahl an Netzwerken für kritische Infrastrukturen oder auch OT setzt sich aus älteren Geräten zusammen, die ursprünglich als Perimeter-Schutz samt Air-Gap gegen unsichere Netzwerke konzipiert wurden. Im Laufe der letzten Jahre wurde jedoch ein Großteil davon an die übrige Unternehmensinfrastruktur angebunden und damit eine lückenlose Verbindung zwischen OT, IT, IIoT, dem Industrial Internet of Things, und Internet geschaffen.

Es gibt viele Schwachstellen bei den Komponenten der Systeme, dazu zählt auch die unverschlüsselte Kommunikation. Somit sind althergebrachte Standardsicherheitsmechanismen nur bedingt anwendbar, da Software und Sicherheitsupdate viel größere Zykluszeiten haben oder gar keine Patches mehr verfügbar sind. Viele Infrastrukturen haben Geräte mit langer Lebensdauer samt veralteten Systemen im Einsatz, die keinen technischen Support mehr durch den Hersteller haben, oder es sind sogar Eigenentwicklungen in Betrieb, bei denen meist gar kein Augenmerk auf die Sicherheit gelegt wurde.
Das Einspielen und Testen von Updates ist aufwändig und teuer und birgt die Gefahr eines Ausfalls kritischer Systeme. Daher sind beim Schutz von kritischer Infrastruktur viele Details wichtig und zu beachten. Dazu gehört die physische Sicherheit und Objektsschutz wie Zutrittsbeschränkungen und -kontrollen. Weiters zählt auch der Perimeterschutz, Whitelisting bestimmter Anwendungen und Anomalie erkennungen (ungewohnter Datenverkehr, -zugriff) dazu.

Die Sicherheit für kritische Infrastruktur hat mit Verlässlichkeit, Sicherheit und Verfügbarkeit des Netzwerks und der Systeme zu tun. Der Ausfall eines einzigen Systems kann schwerwiegende Folgen nach sich ziehen, zum Beispiel das komplette Blackout einer Stadt. Die EU-NIS-Richtlinie 2016/1148 des Europäischen Parlaments und des Europarates zu Maßnahmen für ein höheres gemeinsames Sicherheitsniveau von Netzen und Informationssystemen in der gesamten Union ist im November 2018 in Kraft getreten. Ziel der Richtlinie ist es die Sicherheit in der EU zu erhöhen und zu stärken. Die NIS-Richtlinie nimmt sowohl Mitgliedstaaten als auch EU in die Pflicht.

Konkret sind darin mehrere Verpflichtungen für die Mitgliedstaaten festgelegt:

  • Erstellung einer nationalen Strategie für die Sicher-heit von Netzen und Informationssystemen sowie die Festlegung von Sicherheits- und Meldepflichten für Betreiber und Lieferanten
  • Benennung der zuständigen nationalen Behörden, zentralen Anlaufstellen und CSIRTs mit Aufgaben im Zusammenhang mit der Sicherheit von Netzen und Informationssystemen

Weitere Anweisungen bedeuten für die EU, eine Kooperationsgruppe zu bilden, um die strategische Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten zu unterstützen und zu erleichtern und Vertrauen zwischen ihnen zu entwickeln. Außerdem ist die Errichtung eines Netzwerks an Incident Response Teams (CSIRT-Netzwerk) vorgesehen, um die Zusammenarbeit zwischen den Mitgliedstaaten zu stärken und eine schnelle und wirksame operative Zusammenarbeit zu garantieren.

Die NIS-Richtlinie gilt für Digitale Service Provider und Betreiber kritischer Infrastrukturen. Diese Organisationen müssen nicht in der EU ansässig sein, aber Dienstleistungen in der EU erbringen. Zum Bereich der kritischen Infrastrukturen zählen jene Unternehmen, die eine Dienstleistung erbringen, die für die Aufrechterhaltung kritischer gesellschaftlicher und wirtschaftlicher Belange wesentlich ist. Weiters hängt die Bereitstellung dieser Dienste von den Netz- und Informationssystemen ab, und ein Sicherheitsvor-fall hätte erhebliche Auswirkungen auf wesentliche Dienste. Die Richtlinie nennt sieben Bereiche kritischer Infrastruktur, skizziert regulatorische Anforderungen und eine nationale Aufsicht, die einzusetzen ist.

Das gilt für Anbieter und Betreiber folgender Bereiche:

  • Energie: Strom, Öl und Gas
  • Transport: Luft, Schiene, Wasser und Straße
  • Bankwesen: Kreditinstitute Finanzmarktinfrastrukturen: Handelsplätze, zentrale Gegenparteien
  • Gesundheit: Spitäler und medizinische Versorgung Wasser: Trinkwasserversorgung und -verteilung
  • Digitale Infrastruktur: Internettauschpunkte, Domain-Namenssystem-Dienstleister, Top-Level-Anbieter und Domainnamen-Registrierungsstellen

Die EU-Mitgliedstaaten sind verpflichtet, die Betreiber wesentlicher Dienste zu benennen. Ihre Identifizierung wird von den Mitgliedstaaten nach eigenen Kriterien vorgenommen. Auswirkungen einer Störung müssen ebenfalls selbst erhoben werden.

Im Klartext bedeutet das:

Die Mehrheit, insgesamt 16 EU-Mitgliedstaaten, hat eine zentrale Anlaufstelle für alle betroffenen Wirtschaftssektoren etabliert. Zehn Staaten haben mehrere Anlaufstellen, abhängig von der jeweiligen Branche, eingesetzt. Die restlichen Länder haben noch keine Vorgänge bzw. Anlaufstellen gemeldet. Die Europäische Union spielt eine immer wichtigere Rolle bei der Regulierung und Definition von Standards im Bereich Technologie und deren Sicherheit.

Die wichtigsten Schritte für Betreiber kritischer Infrastrukturen:

  1. Kritische Systeme und Prozesse identifizieren und analysieren
  2. Roadmap und Ziele definieren und umsetzen, um Richtlinien und Gesetze einzuhalten
  3. Laufendes Monitoring, Risiken neu bewerten, um Vorschriften zu erfüllen
  4. Auswirkungen von Sicherheitsbedrohungen minimieren