Aufrufe
vor 3 Jahren

11 | 2015

IT & Management Defizite

IT & Management Defizite in der IT-Security machen es Hackern leicht, Versorgungsanlagen anzugreifen. Die geordnete, sichere Energieversorgung kann dadurch ins Schlingern geraten – mit unabsehbaren Folgen. Analyselösungen ermöglichen gezielte Prävention vor Cyber-Angriffen Rundumschutz für kritische Infrastrukturen SECURITY ANALYTICS | Die Bundesregierung fordert im IT-Sicherheitsgesetz umfassende Schutzmaßnahmen für kritische Infrastrukturen wie die Energieversorgung, die für Wirtschaft und Gesellschaft unverzichtbar sind. Vor allem die darin gesetzlich verankerte Meldepflicht für Cyber-Angriffe stellt Energieversorger vor große Herausforderungen. So müssen sie aktuelle Technologien einsetzen, um möglichst schnell Sicherheitsvorfälle zu entdecken sowie eine vollständige Transparenz über deren Art und Ausmaß zu erhalten. Cyber-Angriffe auf Energieversorger sind keine Seltenheit mehr – treffen sie doch Wirtschaft und Gesellschaft im Kern, die unabdingbar auf Strom, Wasser, Öl und Gas angewiesen sind. Laut einer jährlichen Studie des Sans-Instituts (SysAdmin, Networking and Security) haben über 40 % der Befragten 2013 Angriffe auf ihre Supervisory Control and Data Acquisition (Scada)-Systeme verzeichnet – 12 % mehr als im Vorjahr 1 ). Dennoch wurden die Schutzvorkehrungen nicht erhöht. Die Betreiber hatten wie in den Vorjahren große Probleme, die Attacken überhaupt zu erkennen. Fast 17 % der Befragten gaben an, keine Systeme einzusetzen, die Schwachstellen in den IT-Systemen aufdecken. Versorger im Fadenkreuz des globalen Cyberkriegs Dennoch ist selten über Cyber-Angriffe auf Energieversorger zu lesen. Im Oktober 2012 berichtete die Nachrichtenagentur Reuters über einen Virus, der die Turbinensteuerung eines US-amerikanischen Kraftwerks befallen hatte und das Werk vier Wochen lang lahmlegte 2 ). Den Virus hatte ein Mitarbeiter durch einen infizierten USB-Stick in das Netzwerk gebracht. Die Malware nutzte eine Schwachstelle im Windows-Betriebssystem aus und konnte sich ungehindert auch in Bereiche ausbreiten, die selbst nicht mit dem Internet verbunden sind. Ein weiteres Beispiel ist aus dem asiatischen Raum bekannt geworden: Hier hatten sich Terroristen Zugang zu einem Elektrizitätswerk verschafft. Über ein Jahr lang hatten sie Zugang zu sensiblen Informationen und der Steuerung der Generatoren. Während eines Taifuns, der die Stromversorgung in den benachbarten Städten lahmgelegt hatte, sabotierte die Gruppe die Anlagen und schaltete alle Lichter in der kompletten Umgebung ab. Die Beispiele zeigen, wie sensibel die IT-Infrastrukturen von Energieversorgern sind – und wie wichtig es ist, sie gegen Cyber-Attacken und Ausfälle abzusichern. Was müssen Betreiber tun, um kritische Infrastrukturen vor Cyber-Kriminalität zu schützen? Hierfür muss man zunächst verstehen, wie diese Infrastrukturen aufgebaut sind. Üblicherweise sind die Systeme in drei Ebenen aufgebaut: Die erste umfasst alle industriellen Steuerungssysteme (Industrial Control Systems, ICS) – digitale Geräte, die einfache Funktionen ausüben, etwa Ventile öffnen und schließen, Temperatur und Druck überwachen. 1 ) www.sans.org/reading-room/analysts-program/ survey-controlsystems-breaches 2 ) www.reuters.com/article/2013/01/16/ cybersecurity-powerplants-idUSL1E9CGFPY 20130116 38 BWK Bd. 67 (2015) Nr. 11

IT & Management Eine Ebene darüber befinden sich die Scada-Systeme, die die Funktionen der ICS überwachen und steuern. Diese Ebene beinhaltet sensible Informationen wie Systemkonfigurationen und Leistungsdaten. Die dritte Ebene umfasst alle übrigen IT-Systeme: Anwendungen, die beispielsweise die Systemleistung analysieren und diese Daten an die verantwortlichen Mitarbeiter weiterleiten. Der USB-Stick kann zum Träger von Malware werden Diese drei Ebenen sind zwar untereinander vernetzt, allerdings nicht mit externen Netzen oder dem Internet verknüpft. Sobald jedoch Mitarbeiter mit USB-Sticks oder einem anderen Datenträger an die Systeme andocken, verbinden sie diese indirekt – und meist auch unbeabsichtigt – eben doch mit dem Internet. Damit sind alle drei Ebenen Viren und Malware schutzlos ausgesetzt – Schwachstellen, die Cyber-Kriminelle kennen und ausnutzen. Doch so dramatisch die Lage angesichts der verheerenden Auswirkungen scheinen mag, so einfach ist es, sich mit modernen Sicherheitslösungen zumindest vor einem Großteil der Angriffe zu schützen. Trotzdem wird das Risiko von vielen Betreibern kritischer Infrastrukturen unterschätzt: Den meisten Unternehmen fehlen sogar die grundlegendsten Sicherheitslösungen, geschweige denn stehen Tools bereit, um nachvollziehen zu können, dass ein Hackerangriff stattgefunden hat und welcher Schaden entstanden ist. Security Analytics: wissen, mit wem man es zu tun hat Die Erfahrung zeigt, dass langfristig geplanten, maßgeschneiderten Advanced Persistent Threats (APT) mit klassischen Filter- und Präventivmaßnahmen kaum beizukommen ist. Schutz bietet nur ein ganzheitlicher Security-Ansatz, der im Sinne einer Advanced Threat Defense über die reine Prävention hinausgeht und die gesamte Bandbreite an Bedrohungen berücksichtigt. Hierzu gehören neben der zuverlässigen Abwehr bekannter Threats mit klassischen Sicherheitstechnologien wie Virenschutz, Firewall oder Zwei-Faktor-Authentifizierung vor allem auch innovative Security-Analytics-Lösungen. Denn die größte Gefahr der APT ist, dass sie wie bei dem zitierten asiatischen Energieversorger oft über Monate hinweg unerkannt bleiben und so in aller Ruhe Fir- Cyber-Angriffe auf kritische Infrastrukturen können Wirtschaft und Gesellschaft im Kern treffen. mengeheimnisse ausspionieren können. Daher gehören Analyse-Tools, die den gesamten Datenverkehr innerhalb des Netzwerks zur Identifikation potenzieller Bedrohungen untersuchen, welche die äußeren Sicherheitsvorkehrungen überwunden haben, zu den besten Schutzvorkehrungen, die Unternehmen derzeit treffen können. Security-Analytics-Lösungen bieten die Möglichkeit einer nachgelagerten Analyse. Sie stellen nicht nur innerhalb kürzester Zeit fest, dass ein Unternehmen Opfer eines Hackerangriffs geworden ist. Die Analyse offenbart auch, was dabei passiert ist, wie sich die Hacker Zugang zum Unternehmensnetz verschaffen konnten und welche Daten abgeflossen sind. Auf Basis dieser Untersuchung können die Sicherheitsverantwortlichen Gegenmaßnahmen ergreifen – erstens, um den Schaden des Angriffs zu begrenzen und seine Folgen zu beseitigen, und zweitens, um sich für künftige Angriffe dieser Art zu wappnen. Was müssen aber Infrastrukturbetreiber unternehmen, um sich vor den heutigen akuten Cyberbedrohungen zu schützen? IT-Security: Vorstandsaufgabe mit hoher Priorität Vor allem müssen sie IT-Security zu einer Vorstandsaufgabe mit hoher Priorität machen. Die Führungsebene ist regelmäßig über aktuelle Gefahren sowie über die Schutzmaßnahmen für ihre physikalischen und digitalen Infrastrukturen zu informieren. Zur Unterstützung sollte zudem die Verantwortlichkeit für Cyber- Security auf IT-Führungskräfte, Systembetreiber und Risikomanager erweitert werden. Zusätzlich sind auf allen Systemen aktuelle Cyber-Security-Lösungen zu installieren – unternehmensweit. Infrastrukturbetreiber haben auch sicherzustellen, dass hochausgebildete, kompetente Experten die Technologien zur Kontrolle der Unternehmenssysteme verwalten. Setzen sie diese Maßnahmen nicht um, werden sie stets einen Schritt hinter den Angreifern bleiben. Schließlich werden deren Attacken immer intelligenter und ausgefeilter. Zudem setzen die Betreiber dann kritische Infrastrukturen möglicherweise katastrophalen Ereignissen aus, die die gesamte Gesellschaft und Wirtschaft einer Nation in die Knie zwingen können. Präventivmaßnahmen zum Security-Lifecycle vereinen Fazit: Je stärker die Betreiber kritischer Infrastrukturen wie Energieversorger ins Visier internationaler Cyber-Krimineller geraten, umso wichtiger wird ein umfassender Schutz ihrer IT-Infrastrukturen, damit für die Wirtschaft und Gesellschaft lebensnotwendige Funktionen zuverlässig aufrecht erhalten werden können. Dabei ist entscheidend, dass die Unternehmen präventive mit nachgelagerten Lösungen kombinieren, um Angriffe abzuwehren und sie im Fall der Fälle schnellstmöglich erkennen und ihre Folgen beheben zu können. i Robert Arandjelovic, Blue Coat Systems GmbH, München www.bluecoat.com BWK Bd. 67 (2015) Nr. 11 39

Ausgabenübersicht