MH - Fotolia
Wachsender Druck auf KRITIS-Betreiber
Cyberangriffe auf kritische Infrastrukturen bleiben ein akutes Bedrohungsszenario. Zugleich erhöht der Gesetzgeber die Anforderungen an die IT-Sicherheit der Betreiber.
Stromnetze, Wasserwerke, öffentlicher Personennahverkehr – nach der Einschätzung vieler Fachleute sind kritische Infrastrukturen (KRITIS) wie diese spätestens seit Russlands Einmarsch in die Ukraine vermehrt in das Visier global operierender Cyberkrimineller geraten. Eine Einschätzung, die auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter gewissen Einschränkungen teilt. Die Behörde spricht von einer erhöhten Bedrohungslage im Kontext des Krieges, die grundsätzlich auch kritische Infrastrukturen betreffe.
Fest steht, dass die zunehmende Digitalisierung auch bei KRITIS-Betreibern neue Sicherheitslücken und Einfallstore für Hacker mit sich bringt – vor allem an der Schnittstelle von Informations- und Betriebstechnologien (OT, Operational Technology). So erwartet einer aktuellen Umfrage von PwC zufolge jedes vierte deutsche Unternehmen einen signifikanten Anstieg der Attacken auf OT-Infrastrukturen. Das Problem: Gut darauf vorbereitet sind nur die Wenigsten.
Wachsende Angriffsflächen für Cyberkriminelle
Die verletzliche Konvergenz von OT und IT ist für die öffentliche Sicherheit deshalb so problematisch, weil sie nahezu alle KRITIS-Betreiber betrifft. Vernetzte Leitstände, industrielle Steuerungssysteme (ICS) oder Fernwartungslösungen sind in Kraftwerken genauso im Einsatz wie in Kläranlagen oder in der Nahrungsmittelproduktion. Umso mehr diese Technologien Teil des Industrial Internet of Things (IIoT) werden, desto größer ihre Angriffsfläche. So können sich Hacker in vernetzten Industrieumgebungen von verschiedenen Einstiegspunkten aus über seitliche Bewegungen (Lateral Movement) der OT-Infrastruktur nähern und diese stören oder im schlimmsten Fall sogar übernehmen. Um große Schäden anzurichten, muss es aber gar nicht erst so weit kommen. Die Praxis hat immer wieder gezeigt, dass auch klassische Ransomware-Attacken außerhalb der OT-Netzwerke ausreichen, um den operativen Betrieb bei KRITIS-Betreibern lahmzulegen. Denn in der Regel fahren die Betroffenen aus Sicherheitsgründen ohnehin alle Systeme runter, um eine Ausbreitung der Malware zu verhindern. So könnten auch verhältnismäßig einfache Angriffe auf Energieversorger oder Lebensmittelproduzenten zu temporären Engpässen führen und die öffentliche Ordnung empfindlich stören.
„Vor der Herausforderung, die neuen Regularien und die dynamische Bedrohungslage kontinuierlich mit der eigenen Strategie abzugleichen, stehen jetzt alle KRITIS-Betreiber – ganz unabhängig von ihrer Größe.“
André Glenzer, PwC Deutschland
Um die Wahrscheinlichkeit für Schreckensszenarien wie großflächige Stromausfälle oder Störungen der Wasserversorgung bestmöglich einzudämmen, schärft der Gesetzgeber bei den Auflagen für die IT-Sicherheit der KRITIS-Betreiber immer wieder nach. So auch mit dem im Mai 2021 in Kraft getretenen IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0). Mit der Novelle hat der Bund den Anwendungsbereich des Gesetzes deutlich ausgeweitet. So wurde mit der Siedlungsabfallentsorgung beispielsweise ein komplett neuer Sektor aufgenommen. Neu ist zudem die Einstufung von Unternehmen im besonderen öffentlichen Interesse als KRITIS-Akteure. Auch durch neue verringerte Schwellenwerte für die Einstufung sind mehr Unternehmen betroffen. Diese sind ab dem ersten Mai 2023 etwa dazu verpflichtet, Systeme zur frühzeitigen Erkennung und Abwehr von Angriffen zu implementieren und zu betreiben. Das Problem: Die Anforderungen an diese Systeme sind erst seit dem 26. September 2022 bekannt. Somit bleibt Unternehmen nur wenig Zeit, die neuen Anforderungen umzusetzen. Prinzipiell betreffen die neuen Pflichten sämtliche Bereiche der IT, von der Cloud-Strategie über den IoT-Betrieb bis zur allgemeinen Netzwerkarchitektur. Mit Regelungen wie der NIS2- (Network and Information Systems Directive) und RCE/CER-Richtlinie kommen zudem auch auf europäischer Ebene weitere Pflichten auf die betroffenen Organisationen zu.
Regulatorisches Umfeld wird zur Herausforderung
Obwohl sich Politik und Wirtschaft einig sind, dass mehr Schutz für kritische Infrastrukturen unausweichlich ist, gibt es auch immer wieder Kritik an Regulierungsmaßnahmen wie dem IT-Sicherheitsgesetz. So beklagen beispielsweise viele Experten, dass durch die Anpassung des Gesetzes plötzlich viele Organisationen in den Anwendungsbereich der Novelle fallen, die den technologischen und bürokratischen Aufwand aufgrund ihrer geringen Größe gar nicht stemmen können. So ist es beispielsweise nur schwer vorstellbar, dass ein kleines, kommunales Stadtwerk die fachlichen Kapazitäten hat, um eine elaborierte Incident-Response-Strategie umzusetzen oder fortgeschrittene Threat-Detection-Systeme zu implementieren. Das ändert allerdings nichts daran, dass auch sie attraktive Ziele für Cyberkriminelle sind. Im Gegenteil: Gerade das niedrigere Schutzniveau solcher Akteure könnte sie verstärkt auf den Plan rufen.
Vor der Herausforderung, die neuen Regularien und die dynamische Bedrohungslage kontinuierlich mit der eigenen Strategie abzugleichen, stehen jetzt alle KRITIS-Betreiber – ganz unabhängig von ihrer Größe. Die Grundlage für sichere IT-Infrastrukturen ist und bleibt dabei ein klares Bewusstsein für die Angriffsfläche. Um diese besser abzustecken, können betroffene Organisationen beispielsweise die Intervalle für entsprechende Assessments erhöhen. Tools für die Netzwerkanalyse oder dezidierte Schwachstellenscans helfen dabei, potenzielle Sicherheitslücken aufzudecken. Professionelle Penetrationstester können diesen Vorgang unterstützen und auch versteckte Einfallstore zuverlässig identifizieren. Erst auf Basis der damit einhergehenden Erkenntnisse lassen sich effektive Erkennungs- und Abwehrmechanismen implementieren, die sowohl der Regulatorik als auch dem wachsenden Bedrohungsniveau gerecht werden.
Über den Autor:
André Glenzer ist Partner Cyber Security Services bei PwC Deutschland.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.