Sicherheitslücken stellen für jedes Unternehmen eine Bedrohung dar. Doch wenn es um die Betreiber von Kritischer Infrastruktur geht, dann kommt eine weitere Dimension dazu – eine potentielle Gefahr für die Gesellschaft.

Kritische Infrastruktur (KRITIS) ist ein dehnbarer Begriff. Laut der Definition des Bundesamts für Sicherheit in der Informationstechnik (BSI) handelt es sich dabei um „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“. Dazu zählen Energieversorger, Betreiber von IT- und Kommunikationssystemen, Banken und Versicherungsunternehmen, Wasserwerke, das Gesundheitswesen, Ernährung sowie Transport- und Logistikunternehmen. Seit dem IT-Sicherheitsgesetz 2.0 vom Mai 2021 gehören weitere Firmen dazu, wie Entsorgungsunternehmen, und die Unternehmen im besonderen öffentlichen Interesse (UBI). Letztere werden in die Kategorien UBI 1 bis UBI 3 geteilt, die absteigend weniger Anforderungen erfüllen müssen. UBI 1 umfasst die Wehrtechnik und staatliche Verschlussache, UBI 2 die nach ihrer inländischen Wertschöpfung größten Unternehmen der Republik und UBI 3 die Betreiber eines Bereiches der oberen Klasse nach der Störfall-Verordnung. Der Staat zählt übrigens ebenfalls dazu, aber auch hier gibt es Interpretationsspielraum.

Den rechtlichen Rahmen gibt das Kritis-Gesetz vor. Es nennt sich „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ und stammt aus dem Jahr 2016. Das BSI regelt die Anforderungen, denen Kritis-Betreiber folgen müssen, etwa angemessene Vorkehrungen zur Vermeidung von Störungen ihrer IT-Systeme, Komponenten und Prozesse nach dem Stand der Technik zu treffen und dies gegenüber dem BSI nachzuweisen.

Schwachstellen und die Motivation der Angreifer

Die Gefahr wächst mit dem vehementen Digitalisierungsschub, den Deutschland in den vergangenen Jahren erfahren hat. Netze und deren Zugriff müssen flexibel sein und sich auf Dinge einstellen, die in der Vergangenheit sehr statisch geregelt wurden. Durch die Pandemie stieg die Notwendigkeit, aus der Ferne auf ein System zuzugreifen, sprunghaft an. Der Gang ins Homeoffice erfolgte oftmals überhastet und ließ Sicherheitsfragen erstmal links liegen.

Die Angreifer haben nun im Sinn, an wichtige Informationen, wie Zugangsdaten, zu gelangen und diese dann zu Geld zu machen. Oder sie verschlüsseln IT-Systeme mit Ransomware und ermöglichen gegen ein Lösegeld eine angebliche Entschlüsselung. Wer das Lösegeld bezahlt, hält das kriminelle System am Laufen. Unternehmen haben aber oftmals keine andere Wahl. Auch persönliche Gründe, wie Rache wegen einer Kündigung, ideologische Vorstellungen und staatlich gelenkte Angriffe sind an der Tagesordnung.

Veraltete Hard- und Software als Einfallstore

Die Gründe für sogenannte Legacy-Systeme sind vielfältig. In vielen Unternehmen schlummern Systeme, die schlichtweg in Vergessenheit geraten sind. Manche IT-Systeme sind so alt, dass es keine Sicherheitsaktualisierungen mehr gibt, weil sie schon längst aus dem Support-Zyklus geflogen sind – oder sie sind so in die Infrastruktur eingebettet worden, dass sie den einzigen Weg darstellen, um ein Remote-System zu erreichen. Es gibt Berichte von Kraftwerken, die noch Windows 2000 einsetzen, weil die Steuerungsprogramme auf neueren Betriebssystemen nicht mehr läuft – selbiges gilt für einige Produktionsumgebungen mit ihren veralteten SCADA-Maschinen und Betriebssystemen. Eines haben die Legacy-Systeme gemeinsam: Sie stellen eine Gefahr für die Kritische Infrastruktur dar und machen es den Angreifern vergleichsweise einfach.

Ein Lösungsansatz nennt sich Virtual Patching. Dabei handelt es sich um eine Lösung, die Schwachstellen schließen kann, ohne von Unternehmen zu fordern, dass sie dafür die Software ihrer Produktionsmaschinen anfassen müssen und einen Patch vom Hersteller benötigen. Mit einem virtuellen Patch wird nicht die eigentlich fehlerhafte Anwendung repariert, sondern ein zusätzlicher Sicherheitsmechanismus etabliert – eine virtuelle Ebene eingezogen – der die Ausnutzung einer Schwachstelle verhindern soll.

Corona und Homeoffice haben den Angreifern weitere Türen geöffnet

Viele Unternehmen sind am Anfang der Pandemie ziemlich überrascht worden. Sie mussten schnell reagieren und IT-Systeme schnell überall zugänglich machen. Dabei wurden viele Fehler gemacht. So sind zum Beispiel Outlook-Server plötzlich im Netz erschienen, weil man schnellstmöglich einen Zugang zu den E-Mails ermöglichen wollte. Mitarbeiter hatten teilweise keinen Firmen-Rechner, der mit entsprechender Sicherheit ausgestattet war, sondern haben ihre privaten Geräte eingesetzt. Das Potential an möglichen Cyber-Angriffen hat somit extrem gewonnen. Das gilt nicht nur, aber auch, für Betreiber der Kritischen Infrastruktur.

Gerade das Gesundheitswesen hat einiges verkraften müssen in den vergangenen beiden Jahren. Mitten in der Pandemie legten Hacker die Universitätsklinik Düsseldorf lahm. Bei dem Angriff sind 30 Server des Klinikums verschlüsselt worden, ein Mensch ist gestorben. Das hat klar gezeigt, was alles möglich ist. Ende Januar 2022 ist die Firma Oiltanking GmbH das Opfer eines IT-Angriffs geworden. Damit wurde eine Kritische Infrastruktur lahmgelegt, da die Ladesysteme von Oiltanking nicht mehr funktionierten und einige Tankstellen unversorgt blieben. Bisher ist Deutschland eher glimpflich davongekommen, aber es ist letztlich nur eine Frage der Zeit, bis weitere Betreiber von Kritischen Infrastrukturen angegriffen werden.

Wie die Schwachstelle Log4J zu bewerten ist

„Das ist ein Supply-Chain-Angriff“, erklärt Christine Schönig vom Sicherheitsanbieter Check Point Software Technologies, „denn die Lieferkette ist bloß so stark, wie ihr schwächstes Glied. Bei Log4J war es ein Baustein aus einer Java-Umgebung. Durch die Schwachstelle war es möglich geworden, über eine Java-Protokoll-Bibliothek ein System aus der Ferne zu übernehmen.“ Das erklärt, wie ein Angreifer auf den Webserver zugreifen kann und warum er die Chance, sich im Netzwerk auszubreiten. Die Schwachstelle war deshalb so folgenschwer, weil praktisch alle Unternehmen dieser Welt dieses Stückchen Software in ihrer Webserver-Protokollierung einsetzen.

Was die Betreiber von Kritis tun können, um sich besser zu schützen

Die IT-Sicherheit sollte nach Möglichkeit auf mehreren Säulen ruhen. Die Themen des Monitoring und Audits sind von großer Bedeutung, um zusätzlich zu sehen, welche Systeme im Netzwerk überhaupt vorhanden sind. Weitere Elemente können die Segmentierung des Netzwerks sein und das durchdachte Backup. Dazu kommt: einen Incident-Response-Plan vorbereiten und Was-wäre-wenn-Szenarien durchspielen, was Fragen umfasst, wie diese: Wer wird informiert? Welche Systeme müssen sofort heruntergefahren werden? Welcher Notfallplan tritt in Kraft? Welche Lehren und Erkenntnisse lassen sich aus einem Angriff ziehen, um nicht den gleichen Fehler später erneut zu machen. Darüber hinaus empfiehlt es sich, grundsätzlich einen Zero-Trust-Ansatz zu fahren. Dabei ist alles verboten, was nicht explizit erlaubt ist und jeder Nutzer sieht vom Netzwerk nur, was er sehen darf. Damit wird beinahe nichts dem Internet sichtbar gemacht und die Angriffsfläche schrumpft erheblich. Diese umfassende Vorbereitung ist nicht nur nötig, sondern wird von Unternehmen, die zu KRITIS und UBI zählen sogar gefordert, um Deutschland nicht in eine unangenehme Lage über einen vermeidbaren IT-Angriff zu bringen.