Schutz für Kritische Infrastrukturen

Die Netzwerke im Blick behalten

Kai Thomsen, Trainer für ICS-Sicherheit beim SANS Institute, führt im Interview aus, wieso beim Schutz von Kritischen Infrastrukturen wie z.B. Energieversorgern mehr Wert auf das Monitoring der Anlagenetze gelegt werden muss.

Die Netzwerke im Blick behalten

Kai Thomsen sieht Smart Meters nicht als ein Einfallstor für einen weitreichenden Blackout, wie man ihn aus Filmen oder Büchern kennt.

ITD: Herr Thomsen, wie würden Sie den derzeitigen Digitalisierungsgrad des deutschen Energiesektors einordnen?
Kai Thomsen: Wenn mit Digitalisierungsgrad der Level an Automatisierung im deutschen Energiesektor gemeint ist, den schätze ich sehr hoch ein. Was das Sicherheitsniveau der Anlagennetze angeht, sind wir sicherlich in weiten Teilen noch ganz am Anfang.

ITD: Wo gibt es Vorreiter und wo besteht noch Nachholbedarf? 
Thomsen: Ich kann hier wieder nur über das Sicherheitsniveau sprechen, da der generelle Grad von Digitalisierung und Automation sich meiner Kenntnis entzieht. Ausgehend von Gesprächen mit Kollegen aus dem Energiesektor und was ich in meinem Hauptberuf als Leiter des Incident Response beim ICS Security Unternehmen Dragos an Kundenanfragen sehe und Einblicke in Anlagen bekomme, sind die Vorreiter in Sachen IT-Sicherheit in Anlagennetzen im Energiesektor in den USA, dem Mittleren Osten, Australien und Nordeuropa zu finden. In Mitteleuropa befinden wir uns noch ganz am Anfang dieser Reise. 

Die Teilnehmer an den ICS Security Kursen, die ich bei SANS gebe, bestätigen das ebenfalls. Die meisten stammen aus den oben erwähnten Ländern, Deutschland insbesondere ist da noch recht wenig vertreten, erfreulicherweise hat aber die Zahl deutscher Teilnehmer in meinen Kursen in den letzten beiden Jahren zugenommen. Der Bedarf an Ausbildung von Personal, das Angriffe gegen Industrieanlagen erkennen, analysieren und stoppen kann, steigt also, wenn auch auf einem leider noch recht niedrigen Niveau.

ITD: Welche neuen Gefahren bringen intelligente Stromnetze und die damit einhergehenden Technologien wie das Smart Metering konkret mit sich?
Thomsen: Zuallererst einmal etwas zur Beruhigung: ich sehe Smart Meters nicht als ein Einfallstor für einen weitreichenden Blackout wie in Marc Elsbergs gleichnamigem Roman beschrieben. Was man allerdings schon bedenken sollte, ist das das „smart“ an Smart Meters in der Regel die Netzwerkverbindung zum Stromanbieter ist. Je nach Qualität der Software des Smart Meters und der weitergehenden Absicherung und Überwachung der Netzwerke, an die Smart Meter angeschlossen sind, könnte sich neue potentielle Einfallstore für Angreifer öffnen und möglicherweise die Bewegung zu wirklich kritischen Bereichen ermöglichen. Gerade in großen Netzwerken sind die lateralen Verbindungen und deren Absicherung oft sehr schwer vollständig zu erfassen, mit der Komplexität steigt wie so oft die Wahrscheinlichkeit von Schwächen in der Sicherheit, die sich ausnutzen lassen.

ITD: Wie können Energieversorger ihre digitalen Infrastrukturen vor potenziellen Angriffen schützen?
Thomsen: Am wichtigsten ist die Erkenntnis, insbesondere für IT Sicherheitsabteilungen, dass in Anlagennetzen, also OT- oder ICS-Umgebungen, andere Anforderungen und Regeln gelten als in einen IT-Umgebungen, die andere Vorgehensweisen erfordern. So kann man oft nicht einfach alle Windows Systeme in einem Anlagennetz patchen, weil Änderungen an kritischen Systemen eventuell eine Rezertifizierung der Anlage erfordern oder auch einfach das Betriebsrisiko zu hoch ist, falls ein Patch zu einer Störung führt. Oft führen Patches auch nicht zu einer vollständigen Blockierung eines bestimmten Risikos sondern verhindern nur einen ganz bestimmten Angriffsvektor. Ändert ein Angreifer seine Methode nur ein wenig, greift der Patch ins Leere.

ITD: Was lässt sich daraus folgern?
Thomsen: Ultimativ heißt das insbesondere für Anlagennetze, dass viel mehr Wert auf das Monitoring der Netze gelegt werden muss. Das beginnt bei dem Erstellen von Asset Datenbanken, als dem Wissen, welche Komponenten im Netzwerk angeschlossen sind und wie diese Komponenten miteinander kommunizieren. Da dies flächendeckend in vielen Umgebungen aufgrund der schieren Masse an Komponenten und der Größe von Netzwerken nicht möglich ist, sollte man sich auf die wichtigsten Segmente eines Anlagennetzes konzentrieren, die sogenannten Kronjuwelen. Die sind in einem Anlagennetz viel leichter zu identifizieren als in einem normalen IT-Netzwerk. Man fragt die für eine Anlage verantwortlichen Ingenieure, welche Ausfälle von Komponenten zu einem sehr großen Schaden führen würden, sowohl möglicherweise einer Havarie, also ein Schadensfall mit Gefahr für Leib und Leben oder Umweltschäden oder auch einer massiven Störung des Geschäfts, also erheblichen finanziellen Verlusten für den Betreiber der Anlage. Die Netzwerksegmente, in denen sich diese kritischen Komponenten befinden, sollte man zuallererst überwachen und dann das Monitoring ausdehnen auf die Segmente, die auf dem Weg eines potentiellen Angreifers vom Rand des Anlagennetzes, z.B. dem Übergang vom IT- zum Anlagennetz bis zu den kritischen Komponenten liegen.

Kombinieren sollte man diese Überwachung mit dem Wissen um die Vorgehensweisen möglicher Angreifer, also das was wir allgemein Threat Intelligence nennen. Es gibt eine ganze Reihe von Angreifergruppen, die sich auf ICS Systeme, also Industrieanlagen und kritische Infrastrukturen spezialisiert haben. Und jede dieser Gruppen hat in der Regel bestimmte Industriebereiche im Visier. Das bedeutet also, dass sich die Security Teams für bestimmte Anlagen auf die Vorgehensweisen bestimmter Angreifer konzentrieren können und nicht jede mögliche bösartige Aktivität erkennen können müssen.

Ein weiterer Punkt ist der physische Impact der erreicht werden kann, wenn man Einfluss auf Anlagennetze nimmt. Genau das ist ja Sinn und Zweck der Automatisierung und auch die Intention vieler Angreifer. Um diese Einflussnahmen detektieren zu können und zu verstehen, müssen ICS/OT Security Analysten die in Anlagennetzen verwendeten Protokolle verstehen und auch die Prozesse in den Anlagen selbst. Das erfordert eine enge Zusammenarbeit mit den OT Teams, also den Kollegen im Unternehmen, die für die eigentliche Prozesssteuerung in einer Anlage zuständig sind. Da müssen dann oft mehr oder weniger tiefe kulturelle Gräben in Unternehmen überwunden werden, um die effektive Zusammenarbeit unterschiedlicher Abteilungen zu ermöglichen. 

ITD: Wie wirkt sich der KRITIS-Status der Energieversorger auf die Anforderungen an die IT-Sicherheit aus? 
Thomsen: Ob KRITIS Status oder nicht sollte man sich immer vor Augen halten, dass bei Einbrüchen in Anlagennetze die Möglichkeit besteht, dass es zu einem Ausfall der Anlage kommt, mit mehr oder weniger schweren physischen Auswirkungen und Schäden. KRITIS oder nicht, Anlagen werden betrieben um Geld zu verdienen, jede größere Störung führt zu finanziellen Verlusten, die für jedes Unternehmen empfindlich sein können.

Bei KRITIS Unternehmen kommt hinzu, dass ein Ausfall massive Auswirkungen auf das tägliche Leben haben kann. Ein Stromausfall oder eine Störung der Wasserversorgung ist eine sehr ernste Sache und kann Menschenleben gefährden.

Da wir seit Jahren gezielte Einbrüche oftmals von staatlich unterstützten Gruppen in kritische Infrastrukturen oder damit verbundene Organisationen beobachten, muss die Bedeutung einer Überwachung der Anlagennetze gerade den Betreibern kritischer Infrastrukturen absolut klar sein. Dazu gab es gerade in den letzten Jahren und auch im Frühjahr 2020 immer wieder einschlägige Hinweise des BSI und anderer Behörden, die insbesondere die Betreiber kritischer Infrastrukturen wie Strom- und Wasserversorgung vor zunehmenden Aktivitäten staatlich unterstützer Angreifergruppen gewarnt haben.

ITD: Wiegen die Vorteile von intelligenten Stromnetzen das steigende Gefahrenpotenzial durch die zunehmende Vernetzung Ihrer Meinung nach auf?
Thomsen: Wie bereits erwähnt, sehe ich nicht zwangsweise eine höhere Gefahr für intelligente Stromnetze als die Bedrohungen die bereits jetzt gegen unsere kritischen Infrastrukturen bestehen. In Deutschland betrifft das vor allem die Stromübertragung auf langen Strecken, denn wenn ein Angreifer darauf Einfluss nehmen kann, hat das potentiell Effekte auf die Stromverteilung in großen Teilen Europas.

Ich bin der Ansicht, dass wir in den Industrienationen schon vor langer Zeit den Weg eingeschlagen haben, auf immer mehr Automatisierung zu ersetzen und dadurch auch oft besser gefahren sind, mit besserer Versorgung in der Fläche, höherer Qualität und geringeren Kosten. Dieses Rad lässt sich sicherlich in den allermeisten Bereichen nicht mehr zurückdrehen. Andererseits sind viele der Anlagen und Automatisierungstechnologien in Zeiten entwickelt worden, als die Anbindung an das Internet noch überhaupt kein Thema war. Wir müssen also viel mehr Augenmerk auf die Entwicklung sicherer Standards in der Automatisierung und ganz besonders der Überwachung auf mögliche Angriffe richten. Gerade hinsichtlich Monitoring von Anlagennetzen haben wir eine Menge Hausaufgaben zu erledigen und hinken anderen Ländern hinterher.

ITD: Welche Motivation steckt hinter Cyberattacken auf Energieversorger?
Thomsen: Wir sehen hauptsächlich zwei Gruppen hinter Attacken auf Energieversorger, organisierte Cyberkriminalität und staatliche unterstützte Teams, oft auch direkt staatlichen Nachrichtendiensten unterstellt. Kriminellen geht es wie immer ums Geld. Bei Gruppen die in staatlichem Interesse handeln, gibt es verschieden Motive. Es kann um Spionage gehen, um die Demonstration militärischer Fähigkeiten in diesem neuen „Cyberraum“, den Test neuer Fähigkeiten oder auch um Sabotage kritischer Infrastruktur um einem Land Schaden zuzufügen. Die Stuxnet Malware, die seinerzeit von den USA und Israel gegen die iranische Urananreicherungsanlage in Natanz zum Einsatz gebracht wurde und zur Zerstörung zahlreicher Zentrifugen führte, ist ein gutes Beispiel für Sabotage. Die im Dezember 2015 und Dezember 2016 durchgeführten Attacken gegen das Stromnetz in der Ukraine haben mehrere Motive, darunter Test und Demonstration neuer militärischer Fähigkeiten. Die 2016 gegen einen Stromversorger im Großraum Kiev zum Einsatz gebrachte Malware CRASHOVERRIDE hätte zu massiven Schäden führen können, wäre sie fehlerfrei gewesen. Diese Operation sah sehr nach einem Test aus. Ein anderes Beispiel für versuchte Sabotage und den Test neuer Fähigkeiten, bei dem die Angreifer bewusst Gefahr für Leib und Leben in Kauf nahmen, war die Attacke im Sommer 2017 gegen eine Raffinerie in Saudi Arabien, bei der ein Sicherheitssystem gezielt manipuliert wurde, damit es nicht mehr seine Funktion ausführen konnte. Das Ziel war, über eine weitere Manipulation einen Prozess in der Schwefelabscheidungsanlage der Raffinerie außer Kontrolle zu bringen und so einen massiven Schaden herbeizuführen. Bei Fehlern in Schwefelabscheidern können große Mengen an Schwefelwasserstoff freigesetzt werden. Dieses Gas ist nicht nur hoch giftig sondern auch explosibel. 

Darüber hinaus beobachten wir eine Zunahme von Aktivitäten staatlich unterstützter Angreifergruppen, um kritische Infrastrukturen für Strom und Wasser insbesondere in Europa und Deutschland auszuspionieren und den Zugriff für die Angreifer zu ermöglichen. Wie bereits erwähnt gab es in diesem Jahr dazu auch bereits einschlägige Berichte des BSI und anderer Behörden sowie in diesem Umfeld tätiger Security Unternehmen, wie auch meiner Firma, Dragos Inc. Ich erwarte, dass diese Aktivitäten zunehmen, da sich die politische Situation gerade mit Russland derzeit immer weiter verschärft.

Bildquelle: SANS Institute

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok