Aktive Cyberkriegsführung findet bereits statt – kritische Infrastrukturen im Fadenkreuz

4 Min. Lesezeit
© AdobeStock/Chor-muang

Nicht erst die Cyberangriffe der vergangenen zwei Wochen auf kritische Infrastrukturen – Energie, Logistik, Telekommunikation – haben gezeigt, wie verwundbar viele Organisationen und deren Infrastrukturen sind. Besonders heikel und kritisch wird es dann, wenn Angriffe sowohl IT (Informationstechnologie – PCs, Server etc.) als auch OT (Betriebstechnologie – Maschinen etc.) betreffen.

„1997 führte das US-Verteidigungsministerium (DoD) die ersten ´Cyberkriegsspiele´ unter der Operation ´Eligible Receiver´ durch“, erinnert sich Daniel Bren, dem CEO und Mitbegründer von OTORIO. Der ehemalige IT-Sicherheitschef der israelischen Armee und heutige Unternehmer weiß, was sich daraus entwickelt hat und kennt viele Aspekte der Problematik: „Ein Jahrzehnt später, im Jahr 2007, zeigte der geheime Aurora Generator Test, wie ein Cyberangriff auf ein industrielles Kontrollsystem (ICS) physische Schäden an einer Maschine und ihrer Umgebung verursachen kann. Etwa ein weiteres Jahrzehnt später war der russische Cyberangriff auf das ukrainische Stromnetz im Jahr 2015 der erste seiner Art, der erfolgreich auf die Energieinfrastruktur abzielte und diese beschädigte.

Heute erleben wir eine weitere Eskalation der Krise in der Ukraine und wachsende Spannungen zwischen Russland und dem Westen. Der große Unterschied heute? Offensive Cyberkapazitäten sind für autoritäre Staaten wie Russland, den Iran und Nordkorea als Mittel der Außenpolitik mittlerweile fest etabliert. Cyberangriffe auf kritische Infrastrukturen kommen heute strategisch zum Einsatz, um den Verlauf politischer Konflikte zu schüren und zu beeinflussen. Das bedeutet, dass die Cyberkriegsführung, wie sie 1997 erdacht wurde, heute Realität geworden ist. Somit ist die Cyberverteidigung kritischer Infrastrukturen heute eine Schlüsselkomponente der nationalen Sicherheit – auch in Deutschland.

Cyberangriffe sind schwer zu lokalisieren

Ein großes Problem bei der Cyberkriegsführung ist, wie bei der traditionellen Kriegsführung, das Übergreifen von Konflikten. In der Vergangenheit haben sich Konflikte immer wieder ausgeweitet und dabei auch Akteure einbezogen, die ursprünglich nicht in den Konflikt verwickelt waren. Bei der Cyberkriegsführung ist das nicht anders.

Als russische Hacker 2017 am Vorabend des ukrainischen Verfassungstages einen Virus namens NotPetya freisetzten, legte dieser erfolgreich die Computerinfrastruktur der ukrainischen Regierung und des Bankensektors lahm und beeinträchtigte etwa 80 ukrainische Unternehmen. Außerdem legte er – erschreckenderweise – die Überwachungssysteme im Kernkraftwerk Tschernobyl lahm. NotPetya machte jedoch nicht an der ukrainischen Grenze halt. Er breitete sich auf Unternehmen in der ganzen Welt aus und verursachte Schäden in Millionenhöhe.

Aus diesem Grund beobachten die westlichen Länder den sich entwickelnden Ukraine-Konflikt mit besonderer Sorge. Sie verstärken nicht nur ihre Abwehrmaßnahmen gegen direkte russische Cyberangriffe auf kritische Infrastrukturen als Reaktion auf mögliche westliche Sanktionen, falls diese verhängt werden. Sie sind auch besorgt über unbeabsichtigte Schäden an kritischen Infrastrukturen oder der globalen Lieferkette durch Angriffe, die sich von ihren ursprünglichen Zielen ausbreiten.

Aktuelle Krise versetzt Behörden in Alarmbereitschaft

Das US-Ministerium für Heimatschutz ruft die Betreiber kritischer Infrastrukturen auf, angesichts einer breiten Palette offensiver Cyber-Tools in höchster Alarmbereitschaft zu sein. Cyberangriffe auf den Energiesektor sind für die USA besonders besorgniserregend. Die Erinnerung an die Abschaltung der Colonial Pipeline im vergangenen Mai ist noch frisch, und eine ernsthafte Schädigung der kritischen Infrastrukturen könnte erhebliche Gegenreaktionen auslösen.

In den letzten Tagen haben NATO-Offizielle vor einem Cyberangriff durch Russland gewarnt. In Großbritannien hat das National Cyber Security Centre (NCSC) einen neuen Leitfaden herausgegeben, in dem erklärt wird, dass Unternehmen potenziellen Bedrohungen unbedingt einen Schritt voraus sein müssen. Die CISA, das FBI und die NSA haben außerdem eine gemeinsame Empfehlung herausgegeben, in der US-Unternehmen aufgefordert werden, die Lücken zwischen IT- und OT-Sicherheitsabdeckung zu minimieren, einen Plan für die Reaktion auf Zwischenfälle zu erstellen und Schwachstellen und Konfigurationen zu verwalten. Das US-Ministerium für Innere Sicherheit ruft die Betreiber kritischer Infrastrukturen dazu auf, angesichts eines breiten Spektrums offensiver Cyber-Tools, die auf kritische Infrastrukturen in den USA abzielen könnten, in höchster Alarmbereitschaft zu sein. Die Szenarien reichen von einfachen Denial-of-Service-Angriffen bis hin zu zerstörerischen Angriffen.

Diese Ereignisse sind ein weiterer Schritt in der gefährlichen Entwicklung zunehmend ausgefeilter und immer effektiverer offensiver Cyberfähigkeiten. Die Bedrohung durch einen Cyberkrieg ist nun sehr real, und kritische Infrastrukturen sind eindeutig einer gegenwärtigen Gefahr ausgesetzt. Unternehmen müssen daher einen proaktiven Ansatz verfolgen, also das Risiko einschätzen, indem sie sich einen Überblick über ihre Netzwerke verschaffen und sich über die Gefährdung informieren, um dann diese Risiken proaktiv zu mindern.

Sicherheitstools sollten für OT-Ökosysteme konzipiert sein

Es ist auch wichtig zu erkennen, dass die Sicherung der Netzwerke, die Industrieanlagen und die Infrastruktur steuern, eine andere Art von Cybersicherheitsansatz erfordert. Sowohl Behörden als auch Betreiber industrieller/kritischer Infrastrukturen werden sich der Notwendigkeit von Tools zur Angriffsabwehr bewusst, die von Grund auf für OT-Ökosysteme konzipiert und entwickelt wurden. Betriebsprozesse und Geschäftskontinuität haben dabei oberste Priorität.

Um das potenzielle Risiko zu verstehen, ist ein automatisiertes Tool zur Erkundung der OT-Umgebung hilfreich, mit dem sich die Assets eines Unternehmens aus der Sicht eines potenziellen Angreifers ermitteln lassen. Zur schnellen Bewertung der Sicherheitslage empfiehlt sich ein Inventarisierungstool, das alle OT-, IT- und IIoT-Ressourcen erfasst. Ein solches Tool sollte operative Sicherheitsteams zudem mit Konformitätsberichten, die auf Sicherheitsstandards und Frameworks wie IEC 62443, NERC CIP und NIST basieren, unterstützen. Ein weiteres Tool für die Risikoüberwachung und das Risikomanagement erkennt, analysiert und überwacht kontinuierlich alle OT-, IT- und IIoT-Ressourcen innerhalb der Betriebsumgebung. Es korreliert Risiken und Warnungen und priorisiert sie auf der Grundlage ihrer Auswirkungen auf die Betriebs- und Geschäftskontinuität. Sicherheitsteams erhalten so eine überschaubare Anzahl von Warnungen und vereinfachte Playbooks mit gezielten Gegenmaßnahmen.

Der beste Weg für kritische Infrastrukturen, um mit der aufkommenden Bedrohung durch Cyberwar-Spillover oder direkte Cyberangriffe durch nationale Angreifer oder Cyberkriminelle umzugehen, ist eine grundlegende Cyberhygiene. Die Unternehmen müssen einen proaktiven Ansatz verfolgen, also die Risiken bewerten, indem sie sich einen Überblick über ihre Netzwerke verschaffen und die Gefährdung erkennen, um dann die Risiken zu mindern.“

Foto: OTORIO

Daniel Bren, dem CEO und Mitbegründer von OTORIO

Andere interessante News

Wie ein DDoS-Angriff am besten zu verteidigen ist

Während DDoS früher in erster Linie für politisch-soziale Proteste oder zur Eigenwerbung eingesetzt wurden, sind die Angriffe jetzt hauptsächlich erpresserischer Natur. Aber egal welches Motiv, für die erfolgreiche Verteidigung sind einige Grundregeln dringend zu beachten.

Funktion im Microsoft Virenschutz öffnet Ransomware die Türen

Fast jeder aktuelle Windows-Rechner hat den Microsoft Windows Defender vorinstalliert. Doch das Programm bietet nicht nur Schutz: Das darin enthaltene Befehlszeilentool bietet Angriffspunkte für kriminelle Akteure der „LockBit“-Gruppe.

SEMIKRON Gruppe Opfer eines Ransomware-Angriffs

Die Nürnberger SEMIKRON Gruppe wurde von einer bisher unbekannten Hackergruppe angegriffen. Infolge des Angriffs seien IT-Systeme und Dateien teilweise verschlüsselt worden. Den Angreifern zufolge sollen zudem Unternehmensdaten gestohlen worden sein.