Bis vor kurzem war der Schutz kritischer Infrastrukturen eine rein physische Angelegenheit: Dicke Mauern, hohe Zäune und teilweise bewaffnetes Personal waren der Schlüssel zum Schutz unserer Energie-, Transport- und Wasserinfrastruktur vor potenziellen Gefahren. Dieser Status quo bestand überraschend lange Zeit, auch wenn fast jeder andere Aspekt unseres Lebens zunehmend digitalisiert wurde. Die meisten Branchen haben die digitale Transformation in den letzten Jahren voll und ganz angenommen und die Geschäftswelt ist von einem hochkomplexen Netz aus vernetzten Technologien abhängig geworden. Auch unser Privatleben ist von der digitalen Technologie geprägt, die sich zum de-facto-Standard für alles entwickelt hat – von der Bezahlung von Rechnungen bis zur Überwachung unserer Gesundheit. Doch im Laufe des digitalen Zeitalters blieben die industriellen Kontrollsysteme, die unserer kritischen Infrastruktur zugrunde liegen, weitgehend vom Internet isoliert, und der Sicherheitsperimeter war lange Zeit fast vollständig physisch.

Die digitale Transformation

Doch mittlerweile hat der digitale Wandel mit seiner Aussicht auf eine höhere Effizienz und größere Flexibilität auch die industrielle Welt erreicht. Vernetzte Informations- und Kommunikationstechnologien, die die Bereiche Wirtschaft und Handel antreiben, wachsen schnell mit den operativen Technologien (OT) zusammen, die unsere kritische Infrastruktur steuern. Die Kombination aus fortschrittlicher Computertechnik und industrieller Automatisierung trägt dazu bei, die Produktivität und den Output zu steigern. Dieser Ansatz eröffnet auch neue Möglichkeiten rund um die vorbeugende und Fernwartung und hilft, Situationen zu lösen, bevor sie zu kostspieligeren Problemen eskalieren, die wiederum zu schweren Ausfällen führen können. Aber auch dieser Fortschritt bringt neben all den Vorteilen auch eine Reihe Risiken mit sich. Unsere (kritische) Infrastruktur muss sich nun zunehmend auf potenziell katastrophale Bedrohungen vorbereiten, die weit über den Rahmen von Sicherheitszäunen und bewaffneten Wachen zur Abwehr hinausgehen.

Wachsende Cyberbedrohungen

Der Umgang mit Cyberangriffen gehört mittlerweile zum Geschäftsalltag, bedenklich regelmäßig lesen wir über einen schweren Sicherheitsvorfall bei einem großen Unternehmen. So wurde etwa im Juli bekannt, dass einige deutsche Konzerne aus unterschiedlichen Branchen von der Hackergruppe Winnti angegriffen wurden. Sicherheitsexperten vermuten, dass die Angreifer aus China stammen und wahrscheinlich von staatlichen Stellen organisiert oder beauftragt werden. Mit der zunehmenden Vernetzung steigen natürlich die Risiken – und Betreiber von kritischen Infrastrukturen bilden da keine Ausnahme. Und dieses neue Feld wird von Bedrohungsakteuren genutzt, um Aufklärungsaktionen durchzuführen, Fernzugriff zu erhalten und sogar schwere Angriffe zu starten. Glücklicherweise sind diese Vorfälle bislang deutlich seltener als die ständigen Angriffe auf Unternehmen aus der Finanzbranche und dem Handel. So gab es in den letzten Jahren weltweit tatsächlich nur eine geringe Anzahl an Fällen. Die Auswirkungen eines Angriffs auf die Infrastruktur sind jedoch weitaus größer als in fast jedem anderen Sektor. Während ein Verstoß, den ein Einzelhandelsunternehmen erleidet, seinen Gewinn beeinträchtigt und seine Kunden einem erhöhten Betrugsrisiko aussetzt, kann ein erfolgreicher Angriff auf kritische Infrastrukturen auf nationaler Ebene viel konkretere und weitreichendere Auswirkungen haben – und möglicherweise sogar Leben gefährden.

Fortschrittliche Infrastruktur-Angriffe

Der Wendepunkt für die Cybersicherheit in kritischen Infrastrukturen erfolgte im Jahr 2015 mit dem ersten bekannten erfolgreichen Angriff auf ein Stromnetz. Im Dezember 2015 wurden die Informationssysteme von drei Energieversorgern in der Ukraine von einem Angriff getroffen, der später das Netz zum Erliegen brachte. Der Angriff war sehr organisiert, komplex und folgte einem mehrstufigen Ansatz, der mehrere verschiedene Angriffstechniken kombinierte. Als erster Schritt wurden die Unternehmensnetzwerke mit einer leistungsstarken Malware namens BlackEnergy kompromittiert, die über eine Spear-Phishing-E-Mail verbreitet wurde. In der Folge ergriffen die Angreifer die Kontrolle über die SCADA-Systeme (Supervisory Control And Data Acquisition), um Umspannwerke aus der Ferne abzuschalten und IT-Infrastrukturanlagen zu deaktivieren. Daneben wurde eine weitere Malware namens KillDisk eingesetzt, um große Mengen an Dateien zu löschen, die auf Workstations und Servern gespeichert waren, und schließlich wurde ein DDoS-Angriff (Distributed Denial of Service) eingesetzt, um ein Call Center zu deaktivieren und so zu verhindern, dass Verbraucher Informationen über den Blackout erhalten. Das Resultat: 225.000 Menschen hatten zwischen einer und sechs Stunden lang keinen Strom. Aufgrund des anhaltenden Konflikts zwischen der Ukraine und Russland zu diesem Zeitpunkt wurde der Angriff von den meisten Experten der russische APT-Gruppe zugeschrieben.

Die Ukraine war ein Jahr später, im Dezember 2016, Opfer eines weiteren schweren Angriffs auf ihr Stromnetz. Dieser zweite Angriff setzte fast ein Fünftel von Kiew rund eine Stunde außer Strom, wobei vielfach davon ausgegangen wird, dass diese Attacke vor allem eine Art Testlauf der Angreifer gewesen ist. Der zweite Angriff verfolgte einen anderen Ansatz als der erste und setzte auf die Malware Industroyer bzw. Crashoverride. Die Malware wurde speziell entwickelt, um industrielle Kontrollsysteme zu stören und enthält eine Reihe von Komponenten, die verschiedene Aktionen ausführen: So stellt ein Backdoor-Element eine Fernverbindung her, die es Angreifern ermöglicht, Befehle zu geben und Angriffe auszuführen. Für den Fall, dass diese Hintertür entdeckt wird, steht den Angreifern noch eine zweite zur Verfügung. Vier separate Payload-Komponenten richten sich dann gegen bestimmte Industrieprotokolle, während ein Wiper wichtige Registry-Keys löscht und Dateien überschreibt, was die spätere Wiederherstellung erheblich erschwert.

Zwar sind die Angriffe auf die Ukraine glücklicherweise bislang eher außergewöhnlich, doch die Gefahr eines neuen Vorfalls ist sowohl für die Energiewirtschaft als auch für andere kritische Einrichtungen auf der ganzen Welt groß. Jüngste Untersuchungen, die gemeinsam vom UK Infrastructure Transitions Research Consortium an der University of Oxford und dem Centre for Risk Studies an der Cambridge Judge Business School durchgeführt wurden, haben das potenzielle Risiko für das Vereinigte Königreich durch einen Cyberangriff quantifiziert. Ausgehend von den ukrainischen Vorfällen schätzten die Forscher, dass ähnliche Angriffe auf Großbritannien mehr als 111 Millionen Pfund pro Tag kosten könnten. Es wurde der Schluss gezogen, dass selbst ein relativ kleiner Vorfall die Stromversorgung von mehr als 1,5 Millionen britischen Bürgern beeinträchtigen könnte. Es ist davon auszugehen, dass diese Zahlen auf die meisten europäischen Länder übertragbar sind.

Ins Unbekannte

Eine der größten Herausforderungen in der Cybersicherheit ist die Einbeziehung des Unbekannten. Während sich Sicherheitsteams und Security-Lösungen schnell an neu entdeckte Schwachstellen, Malware und Techniken anpassen können, kann man sich eben nur schwerlich auf bisher unbekannte Bedrohungen vorbereiten. Wir müssen leider davon ausgehen, dass in vielen industrielle Systeme bereits unbekannte Malware buchstäblich schlummert und nur auf Anweisungen wartet, zu gegebener Zeit zuzuschlagen. Der damalige Direktor der US-amerikanischen nationalen Nachrichtendienste Dan Coates sagte Anfang 2019 vor dem Kongress, dass die Sicherheitskräfte davon ausgehen, dass Russland im Falle einer Krise Cyberangriffe auf die zivile und militärische Infrastruktur durchführt, um diese zu stören.

Wie bei traditionellen Waffen können auch Cyber-Angriffstools, wenn sie sich nur in den Händen einiger Nationalstaaten befinden, eine abschreckende Wirkung erzielen. Angriffe würden zu Gegenangriffen führen, so dass große Schlagabtäusche eher unwahrscheinlich sind. Gleichwohl kann es durchaus zu staatlich unterstützten Aktivitäten in kleinerem Rahmen kommen, insbesondere wenn die Zuordnung des Angriffs nicht ohne weiteres möglich ist.

Im Gegensatz zur konventionellen Kriegsführung können schwere Cyberangriffe jedoch auch von nicht-staatlichen Akteuren mit vergleichsweise geringen Ressourcen organisiert werden. Kritische Infrastrukturen stellen (bislang) ein unattraktives Ziel für den durchschnittlichen Kriminellen dar, der insbesondere durch finanziellen Gewinn motiviert ist. Andere Branchen versprechen höhere Gewinne bei weniger Aufwand und Risiko. Allerdings ist die Infrastruktur nach wie vor potenziell durch nichtstaatliche Akteure wie Terroristen gefährdet. Und möglicherweise entwickeln auch Cyberkriminelle im Bereich der kritischen Infrastrukturen noch lohnende Geschäftsmodelle.

Ist der Weg zurück ein Ausweg?

Die vielleicht größte Herausforderung bei der Sicherung der weltweiten Infrastruktur besteht darin, dass sie nie so konzipiert wurde, dass sie gegen diese Art von Bedrohungen geschützt ist. Die meisten Systeme waren für den Betrieb in hochsicherer Umgebung vorgesehen, geschützt vor Störungen durch Wände, Tore und Schutzeinrichtungen. Das bedeutet, dass den Geräten oft grundlegende Funktionen wie Authentifizierung und Verschlüsselung fehlen. Die Herausforderung wird durch die fragmentierte und intransparente Natur der Angriffsziele noch verschärft. Der größte Teil der kritischen Infrastruktur der Welt läuft auf einer Vielzahl alter und undurchsichtiger Protokolle, von denen viele proprietär sind, was es viel schwieriger macht, eine einheitliche Sicht auf die Systeme als Ganzes zu erhalten.

Ein verbreiteter Lösungsvorschlag für die Problematik besteht darin, die Digitalisierung zurückzudrehen. So kündigte im Juli 2019 die US-Regierung Pläne an, kritische Systeme auf analoge und manuelle Technologie umzustellen, um die wesentlichen Leitsysteme des Netzes zu isolieren. In einer Pressemitteilung zur Verabschiedung des Securing Energy Infrastructure Act (SEIA) heißt es, dass sichergestellt werden soll, dass Angreifer wieder physischen Zugriff benötigen würden, um sie zu stören oder zu beschädigen.

Aber ist dieser Weg zurück wirklich ein Fortschritt, zumindest in Sachen Sicherheit? Es ist eher davon auszugehen, dass dieser Schritt eher kontraproduktiv ist und der Innovation schaden könnte. Die kritische Infrastruktur, sei es die amerikanische oder die eines anderen Landes auf der Welt, ist nicht verwundbar, weil sie digital ist, sondern weil die Bedrohungsakteure die Landschaft besser verstehen als diejenigen, die sie verteidigen sollen.

Transparenz ist der Schlüssel

Wir stehen heute vor der ungewöhnlichen Situation, dass die Industrie und nicht die Regierung an vorderster Front bei potenziellen Konflikten stehen. Angesichts einer großen Anzahl kritischer Infrastrukturen, die von der Privatwirtschaft verwaltet werden, ist es weitgehend Sache der einzelnen Unternehmen, für die Transparenz ihrer eigenen Netzwerke und der Fähigkeit zur Identifizierung und Abwehr von Bedrohungen zu sorgen. Deshalb muss die oberste Priorität darin liegen, diese Transparenzlücke zu schließen, welche es Angreifern derzeit ermöglicht, komplexe Angriffspläne umzusetzen, ohne entdeckt zu werden. Industrie und staatlichen Stellen müssen hier zusammenarbeiten, um die heterogene, zerklüftete und undurchsichtige Angriffsfläche von heute in eine transparente Verteidigungsarchitektur zu verwandeln, die es den Verteidigern ermöglicht, Bedrohungen zuverlässig zu erkennen und abzuwehren.