Gastbeitrag
Steigende Zahl von Cyberangriffen auf den Energiesektor
Wenn es um die Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder wie in Deutschland von kritischen Infrastrukturen (KRITIS). Es sind Systeme, ohne die unsere Gesellschaft und unser Gemeinwesen nicht funktionieren. Werden diese Systeme negativ beeinflusst, hat das weitreichende Folgen, kann potenziell zu wirtschaftlicher Instabilität auf globaler Ebene führen und nicht zuletzt Menschenleben gefährden.
Laut Berichten des britischen National Cyber Security Centre (NCSC), des US Department of Homeland Security (DHS) und anderer Regierungsstellen weltweit ist die Zahl der Cyberbedrohungen in diesem Bereich in den letzten Monaten deutlich gestiegen. Kritische Infrastrukturen sind beides gleichermaßen: kritisch und verwundbar. Und genau deshalb sind Prozesse und Operationen unterschiedlichsten Formen von Angriffen ausgesetzt – ob geopolitisch oder wirtschaftlich motiviert, böswillig oder einer Kombination aus allen dreien.
Ein erfolgreicher Angriff auf Systeme, die physikalische und technische Prozesse steuern, beeinträchtigt unter Umständen die Funktionsfähigkeit der gesamten Anlage. Die daraus resultierende Ausfallzeit hat verheerende wirtschaftliche Auswirkungen. Eine Attacke, die sich direkt gegen Sicherheitseinrichtungen oder Verfahren richtet, verursacht möglicherweise Umweltschäden oder gefährdet Menschenleben.
Es gilt also die Angriffswege zu identifizieren, die vermutlich benutzt werden. Das ist angesichts der möglichen Auswirkungen alternativlos.
Sicherheit für kritische Infrastrukturen bleibt eine Herausforderung
Die Energiemärkte sind hart umkämpft und besonders volatil. So sind Produzenten und Versorger bemüht, sich von ihren Wettbewerbern abzusetzen und wenn möglich, gleichzeitig ihre laufenden Kosten zu senken. Dazu gehört es, die Umwandlung von Rohstoffen in Energieträger zu verbessern, den Raffinierungsprozess und die weitere Verarbeitung effizienter zu gestalten, optimale Speichertechnologien zu entwickeln, um die Speicherkapazitäten zu erhöhen, bessere Transportmöglichkeiten zu finden und Emissionen zu senken. Die dazu notwendigen Technologien spielen eine entscheidende Rolle für die Energiewirtschaft.
Allerdings stammen zahlreiche Anlagen und Systeme noch aus der Vor-Internet-Ära, und sie wurden nach dem Prinzip der physischen Nähe konzipiert. Inzwischen hat sich die Arbeitsweise stark verändert. Heute sind diese historisch gewachsenen Systeme mit IT-Netzwerken oder mit der Außenwelt verbunden, um Prozesse zu steuern und zu überwachen. Diese Konnektivität der Netze hat ganz offensichtlich ihre Vorteile. Die Kosten sinken, die betriebliche Effizienz steigt, die Gesundheit der Mitarbeitenden wird geschont, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen. Jede Veränderung auf betrieblicher Seite wird dabei gründlich geprüft – Sicherheit spielt dabei allerdings eher eine Nebenrolle. Das hat Folgen. Jede neu aufgemachte Verbindung fungiert als möglicher Eintrittspunkt ins Netzwerk, als versteckter Pfad oder sogar als Mechanismus um automatisierte physikalische Systeme zu manipulieren.
Spezielle Angriffsvektoren gegen kritische Infrastrukturen
Cyberangriffe haben sich bisher in erster Linie gegen Endverbraucher und Unternehmen, wie Banken, Auskunfteien und Einzelhändler, gerichtet. Das Abziehen von Daten und eine schnelle Monetarisierung sind die beiden Hauptziele der Akteure. Die jüngsten Ereignisse bestätigen aber, dass sich sowohl die Ziele als auch die Absichten ändern.
Wir beobachten zunehmend Angriffe auf Netzwerke in Energie- und Verteilungssystemen, bei Energieversorgern, petrochemischen Anlagen und anderen Betreibern kritischer Infrastrukturen. In diesen Szenarien geht es nicht um den Diebstahl von Daten, sondern um Störungen der Prozesse und mittelbar darum, Instabilität beispielsweise in wirtschaftlicher oder politischer Hinsicht zu erzeugen. Erfolgreiche Angriffe und Malware-Varianten sind speziell für Attacken gegen die betreffenden kritischen Infrastrukturen entwickelt worden. Gut in Erinnerung sind noch hochkarätige wie die beiden Angriffe auf das ukrainische Stromnetz 2015 und 2016 sowie Malware-Infektionen wie DragonFly und Stuxnet. Bekannt geworden sind in jüngster Zeit auch zwei Attacken, die sich gegen deutsche Stromversorger gerichtet haben.
Sie alle zeigen, dass die Bedrohungen längst nicht nur technisch möglich, sondern real geworden sind. Angreifer versuchen aktiv Fuß zu fassen und diese sensiblen Netze zu „knacken“. Black-Hat-Aktivisten und Hacker in staatlichem Auftrag nutzen frei zugängliche Daten und Informationen, um technisch möglichst genau über das anvisierte Ziel Bescheid zu wissen. Auf dieser Basis wird ein maßgeschneiderter Angriff gestartet, mit dem Ziel physische Systeme zu manipulieren oder zu zerstören.
Eine Malware jüngeren Datums richtet sich gezielt gegen einen bestimmten Typ von Industriesystemen, das sogenannte Safety Instrumented System (SIS). In der Öl- und Gasindustrie dienen SISs dazu, gefährliche Ereignisse zu erkennen und anschließend Maßnahmen einzuleiten, um einen Prozess wieder in den sicheren Zustand zu versetzen. Die „Triton“-Malware wurde speziell für Triconex SIS entwickelt und hat das Potenzial, industrielle Kontrollsysteme auf drei verschiedene Arten negativ zu beeinflussen. Mit steigendem Schweregrad.
- Falsche Positivmeldungen im SIS – sie veranlassen das SIS die Abschaltung einer Anlage oder eines verteilten Leitsystems (DCS) grundlos auszulösen.
- SIS-Ausfall – das SIS funktioniert nicht ordnungsgemäß und erkennt kritische Zustände im laufenden Betrieb nicht mehr. Im Notfall funktioniert das SIS nicht.
- SIS-Shutdown und DCS-Manipulation – verursacht einen SIS-Ausfall. Kombiniert mit der Fähigkeit der Triton-Malware, den Controller innerhalb des DCS zu manipulieren, um das System in einen unsicheren Zustand zu überführen. Eine der schwerwiegendsten Folgen eines erfolgreichen Triton-Angriffs.
Man kann getrost soweit gehen, den Triton-Angriff als Weckruf für die Branche zu betrachten. Allein durch die praktische Erfahrung bei einem Angriff finden Hacker sehr schnell heraus, was wie funktioniert. Und sie lernen aus ihren Fehlern. Zwar sind die Folgen dieses Malware-Angriffs noch überschaubar. Aber schon der nächste Angriff hat vermutlich weitaus verheerendere Folgen. Wir befinden uns aktuell einem Punkt, an dem viele Betreiber kritischer Infrastrukturen erkannt haben, dass die Sicherheitsmaßnahmen mit der steigenden Konnektivität bei weitem nicht Schritt gehalten haben. Ein Befund, der sich dringend ändern muss.
Jede neu aufgemachte Verbindung fungiert als möglicher Eintrittspunkt ins Netzwerk, als versteckter Pfad oder sogar als Mechanismus um automatisierte physikalische Systeme zu manipulieren. Wir befinden uns aktuell einem Punkt, an dem viele Betreiber kritischer Infrastrukturen erkannt haben, dass die Sicherheitsmaßnahmen mit der steigenden Konnektivität bei weitem nicht Schritt gehalten haben. Ein Befund, der sich dringend ändern muss.
Sicherheit für kritische Infrastrukturen: Best Practices
Während die Energiewirtschaft bei der Cybersicherheit aufgeholt hat, gibt es noch einen anderen Bereich, den es sich lohnt genauer anzusehen. Denn immer mehr Industriekomponenten und Prozesse sind digital miteinander verbunden. In einer Zeit der eskalierenden Bedrohungen sind Unternehmen bestrebt, Sicherheitsanforderungen und Produktivität in Einklang zu bringen. Was nicht immer einfach ist.
Leider sind Angreifer von außen und zielgerichtete Attacken nicht das einzige Risiko. Wie in jeder anderen IT-Umgebung entstehen auch bei kritischen Infrastrukturen Sicherheitslücken durch schwache Passwörter oder sogar offene Ports. Dabei spielt es kaum eine Rolle, ob die Sicherheitslücken absichtlich herbeigeführt oder schlicht durch einen Fehler verursacht wurden. So oder so wirken sie sich negativ auf die Produktivität aus.
Wenn es um Ölraffinerien, Gasförderanlagen und Transportleitungen geht, stehen Zuverlässigkeit und Arbeitssicherheit an oberster Stelle. Best Practices in Sachen Cybersicherheit sind für kritische Infrastrukturen unabdingbar und ein erster Schritt in Richtung umfassender Risikominderung:
- Die Grundlagen der IT-Sicherheit unterscheiden sich dabei in kritischen Infrastrukturen nicht von den Sicherheits-Layern in einem IT-Netzwerk. Das gilt etwa für Firewalls, SNMP-Netzwerkmanagement-Tools, SIEMs usw.
- Gehen Sie davon aus, dass es trotz eingesetzter Sicherheitsmaßnahmen zu einem erfolgreichen Einbruch in Ihr Netzwerk kommen kann. Setzen Sie also Lösungen ein, die Cybersicherheitsvorfälle frühzeitig im jeweiligen Einbruchs-/Angriffszyklus erkennen und Sie so darauf reagieren können.
- Der technische Fortschritt innerhalb des maschinellen Lernens und der künstlichen Intelligenz macht es möglich, auch große, komplexe Netzwerke und kritische physikalische Prozesse, die für Raffinerien, Kraftwerke und Pipelines typisch sind, zu modellieren und zu überwachen. Das erst erlaubt einen vollständigen Einblick in die Anlagen und gestattet es, Schwachstellen zu identifizieren.
- Dann gilt es Werte für ein „normales“ Verhalten bei der Netzwerkkommunikation und den Prozessen zu definieren. Um alles das zu überwachen und zu analysieren, was von dieser Normalskala abweicht. Erstellen Sie ein Frühwarnsystem, das sofort Erkenntnisse liefert, um Fehler bei der Cybersicherheit zu erkennen und zu beheben sowie gegebenenfalls betroffene Prozesse schnell wieder aufzusetzen. Das hilft Ingenieuren und Anlagenbetreibern, betroffene Geräte zu identifizieren und kompensatorische Kontrollen anzuwenden, bevor betriebliche Systeme beeinträchtigt werden.
- Führen Sie eine effektive Patch-Management-Strategie ein, damit veröffentlichte CVEs und ICS-Certs (in einer Software identifizierte Fehler) sich weniger schädlich auswirken und gepatcht werden, bevor sie als Waffe eingesetzt und ausgenutzt werden können.
- Mitarbeitende sind mit unbeabsichtigt verursachten Fehlern gerne das schwächste Glied in einer Sicherheits-Policy. Ohne kontinuierliches Training zur Awareness und zum Verhalten wird es nicht gehen. Auch der berüchtigte Stuxnet-Wurm, der die Steuerungsanlage eines Kernkraftwerks lahm legte, gelangte durch einen unvorsichtigen Mitarbeiter ins Netz. Über ein externes USB-Laufwerk.
Fazit
NCSC, DHS und Regierungsstellen weltweit sind sich einig, dass Angriffe auf kritische Infrastrukturen gegenwärtig eine reale Gefahr darstellen. Und es ist kaum damit zu rechnen, dass Angreifer in ihren Bemühungen nachlassen bessere Angriffsmethoden und –strategien zu entwickeln und anzuwenden. Cyberbedrohungen haben sich inzwischen vom Desktop oder dem Serverraum in die Anlagenkontrollräume verlagert. Attacken beispielsweise auf Stromnetze sorgen – wie wir es schon erlebt haben – für wirtschaftliche Instabilität und gefährden die physische Sicherheit.
Energieversorger und Netzbetreiber sowie Betreiber von nachgeschalteten Öl-, Gas- und petrochemische Anlagen und Pipelines sind angehalten zeitgemäße Sicherheitsmaßnahmen umzusetzen und neuartige Ansätze bei der Implementierung in Betracht zu ziehen.
Über den Autor:
Will Stefan Roth, Regional Director DACH & EE bei Nozomi Networks
Weiterführende Informationen:
Nozomi Networks
Aufmacherbild /Quelle / Lizenz