KRITIS kennen Cyberrisiken nicht

Betreibern kritischer Infrastrukturen fehlen Transparenz und Werkzeuge zur Messung des Risikos von Cyberangriffen. In den USA gab es dazu jetzt im Rahmen der Anhörung des House Committee on Homeland Security mit dem Titel „Mobilizing our Cyber Defenses: Securing Critical Infrastructure Against Russian Cyber Threats“ eine sehr aufschlussreiche Erklärung.

Bei seinem Auftritt vor dem US-Kongress gab Amit Yoran, CEO und Chairman von Tenable, eine Erklärung zu den Sicherheitsrisiken in kritischen Infrastrukturen angesichts möglicher Attacken aus Russland ab. Hier ein Auszug – untergliedert nach wesentlichen Gesichtspunkten:

„Zu verstehen, woher die Bedrohung kommt, ist aus der Perspektive der nationalen Cyberstrategie, der Verteidigung und der Aufklärung nützlich. Es kann auch dabei helfen, die Prioritäten für Abhilfemaßnahmen auf der Grundlage der Motivationen der Angreifer festzulegen. Darüber hinaus hat das Wissen, woher eine Bedrohung kommt, wenig Einfluss darauf, wie ein Unternehmen reagiert. Für fast alle Unternehmen sind die Praktiken für das Risikomanagement im Bereich der Cybersicherheit die gleichen, unabhängig davon, ob der Angriff von den Russen, anderen Nationalstaaten, Cyberkriminellen oder anderen böswilligen Akteuren ausgeht.

Ransomware gegen kritische Infrastrukturanbieter ist für Cyberkriminelle unglaublich profitabel, wie die Conti-Ransomware-Datenlecks zeigen. Alle kritischen Infrastruktursektoren befinden sich weiterhin in der digitalen Transformation, was zu einer wachsenden Angriffsfläche für Cyberangriffe führt. Neue technologische Investitionen bieten großartige Möglichkeiten zur Effizienzsteigerung, wie die Beispiele Smart Factory und Smart City zeigen. Diese Veränderungen können jedoch zu realen Sicherheitslücken führen. Ohne Verbesserungen bei der Sicherheit und Widerstandsfähigkeit sind die Anbieter kritischer Infrastrukturen nicht auf Cyberbedrohungen vorbereitet.“

Unter Bezugnahme auf die Bedrohungen, denen kritische Infrastrukturen durch die schnelle Konnektivität und die Risiken der IT/OT-Konvergenz ausgesetzt sind, schrieb Yoran:

„Eine kürzlich durchgeführte Auswertung einer Suchmaschine für mit dem Internet verbundene Geräte ergab, dass mehr als 28.000 industrielle Steuerungssysteme (Industrial Control Systems, ICS) sowie Überwachungs- und Datenerfassungssysteme (Supervisory Control and Data Acquisition, SCADA) direkt über das Internet zugänglich sind. Auch wenn dies nicht der Fall ist, kann über die immer häufiger genutzten Serviceportale auf unzählige weitere Systeme zugegriffen werden, die ihrerseits kompromittiert werden können. Hinzukommen menschliches Versagen und die Häufigkeit schlecht konfigurierter Software, sowie schnelle Konnektivität. Letztere ist erforderlich, um die heutigen OT-Umgebungen effizient am Laufen zu halten. Damit treten wir möglicherweise in eine Ära ein, in der systemische Ausfälle der Cybersicherheit exponentiell zunehmen. Systeme, die in einer Weise miteinander verbunden sind, für die sie nicht konzipiert wurden, führen zu Komplexität und erzeugen Unsicherheit.

Diese Systeme und andere OT-Technologien, die in kritischen Infrastrukturumgebungen eingesetzt werden, sind bekanntermaßen schwer zu patchen, da sie bei jeder Aktualisierung heruntergefahren und gründlich getestet werden müssen. Die bestehenden Betriebsmodelle für die meisten OT-Umgebungen, wie Kraftwerke, Gaspipelines und Fertigungsanlagen, lassen nur wenig Spielraum für Ausfallzeiten. Diese Unternehmen haben in der Vergangenheit versucht, ihre Anfälligkeit zu verringern, indem sie ihre Umgebungen stark segmentiert haben. Die zunehmende IT/OT-Konvergenz macht die Segmentierung jedoch weniger effektiv, was dazu führt, dass die Systeme nicht gepatcht oder als Ziele gesichert werden können.“

Auf die Frage, was Unternehmen tun können, um sich besser zu schützen, fügte Yoran hinzu:

„Anbieter kritischer Infrastrukturen haben eine Sorgfaltspflicht, die in turbulenten Zeiten besonders hervorgehoben wird. Die Betreiber müssen die Dienste, auf die sich alle verlassen, verantwortungsvoll verwalten. Um sich zu schützen, müssen sie wissen, was sich in ihrem Netzwerk befindet, und es in einem guten Zustand halten, wozu auch der Schutz vor bekannten Schwachstellen gehört.

Da immer mehr Menschen Zugang zu diesen Systemen haben, bricht die Sicherheit schnell zusammen, wenn nicht gleichzeitig strenge Identitätsverwaltungspraktiken eingesetzt werden. Die Systeme gilt es daher so zu behandeln, als ob ein raffinierter Angreifer bereits Zugang hätte oder sich Zugang verschaffen könnte.“

Zum Abschluss seiner schriftlichen Stellungnahme fügte Yoran hinzu:

„Es gibt grundlegende Schritte, die alle Anbieter vornehmen müssen. Diese reichen von der Kenntnis darüber, was sich in ihrem Netzwerk befindet und wie diese Systeme verwundbar sind, bis hin zur Behebung von Schwachstellen. Weitere Maßnahmen reichen von der Kontrolle des Benutzerzugangs und der Privilegien bis hin zur Verwaltung kritischer Systeme, die miteinander verbunden sind. So gelingt es, böswilligen Akteuren zu erschweren, kritische Infrastrukturen zu kompromittieren.

In vielen kritischen Betriebsumgebungen fehlt ein formaler systemischer Ansatz für Risikobewertungen und -prozesse, ganz zu schweigen von der kontinuierlichen Sichtbarkeit, die für kritische Dienste und hochwertige Ziele erforderlich ist. Diese formalen Prozesse sind dringend nötig, da die rasche Zunahme der Zugriffsmöglichkeiten und der Interkonnektivität das Risiko drastisch erhöht. In diesen Fällen können Vorschriften für Transparenz und Sorgfaltsstandards dazu beitragen, die Risikomanagementpraktiken zu verbessern und gleichzeitig die Innovation zu fördern.“

Die die vollständige Niederschrift von Amit Yorans Erklärung gibt es hier (in englischer Sprache).