Energieversorger & Co. schützen

Systeme zur Angriffserkennung

von - 13.03.2023
Hinzu kommen ab Mai 2023 die Anforderungen der Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (OHSZA). Dazu André Glenzer: „Firmen müssen ein entsprechendes System installieren und auf einer Reifegradskala von 1 bis 5 mindestens Reifegrad 3 erreichen. Die Einhaltung wird vom BSI geprüft. Die OHSZA fordert auch eine bessere Überwachung von OT-Komponenten etwa in Steuerungsanlagen oder der Leittechnik von Energieversorgern, um den Schutz zu erhöhen. Das haben viele KRITIS-Betreiber bisher nicht auf dem Schirm.“
Das Problem: Durch die zunehmende Vernetzung und Digitalisierung der Leit- und Steuerungstechnik (Operational Technology, OT) steigen auch die Sicherheitsherausforderungen. Eine wachsende Anzahl von Verbindungen auf verschiedenen Ebenen stellt für Hacker attraktive Angriffspunkte in die früher so stark abgeschotteten KRITIS-Infrastrukturen dar. „Systeme zur Angriffserkennung lesen Kommunikations- und Systemdaten mit und durchsuchen sie nach Spuren von Cyberangriffen. Wird ein Angriff bemerkt, initiieren sie Gegenmaßnahmen, um den Angriff möglichst schnell und wirkungsvoll zu vereiteln oder zu verhindern, dass er sich weiterverbreitet“, erklärt Sascha Jäger, Geschäftsführer von Ausecus.
Ausecus zum Beispiel bietet mit KRITIS Defender eine Angriffserkennung as a Service speziell für kleinere und mittlere Versorgungsunternehmen an. Dazu Sascha Jäger: „Kleine und mittlere Versorger verfügen meistens nicht über ausreichend Fachpersonal, um derartige Systeme zu implementieren und zu betreiben. Sie sind oft schon mit ihrem täglichen Betrieb und den Anforderungen der Digitalisierung stark ausgelastet.“

Unterschiedliches Schutzniveau

Zu diesen kleineren Versorgern gehören auch die Stadtwerke kleinerer Kommunen. Sie erfüllen mangels Ressourcen die hohen KRITIS-Sicherheitsanforderungen oft nur unzureichend. BSKI-Vorstand Holger Berens rät diesen Kommunen daher, sich – abhängig von der Größe – mit anderen kleineren Städten, Gemeinden oder Landkreisen zusammenzuschließen und KRITIS-Cluster zu bilden: „So können sie ihre Ressourcen bündeln, ein einheitliches Sicherheitskonzept für das gesamte Gebiet erstellen und ein gemeinsames IT-Sicherheitszentrum oder zusätzliche Redundanzen aufbauen.“
Insgesamt unterscheidet sich das Schutzniveau zwischen den KRITIS-Sektoren und auch innerhalb der Sektoren mitunter stark. Darüber sind sich alle von uns befragten Experten einig. Während die kleineren Versorger eher schlechter aufgestellt sind, gelten große Energie­unternehmen mit umfangreichen Ressourcen als Vorreiter. „Da sie Blackout-Szenarien seit 15 Jahren diskutieren und üben, sind Notfall- und Krisenpläne vorhanden. Energie ist sowieso der wichtigste Sektor. Wenn Strom mittel- oder langfristig ausfällt, betrifft das alle anderen Sektoren“, so Holger Berens. Auch die Banken sind ihm zufolge sehr gut aufgestellt, da sie durch die Bafin auch in puncto Informationssicherheit stark reguliert werden. „Leider fehlt es zwischen den Sektoren wegen unterschiedlicher Aufsichtsbehörden (BSI, Bafin, Bundesnetzagentur) an Koordination, es gibt keine einheitlichen Standards. Die branchenspezifischen Sicherheitsstandards (B3S) unterscheiden sich durchaus in ihrer Qualität“, konstatiert Berens. Ein Beispiel: Die Branchen Strom und Gas orientieren sich an der internationalen Norm ISO/IEC 27001, die Wasserversorger am nationalen BSI-Grundschutz.

Viele Angriffspunkte

Eine Zertifizierung gemäß den genannten Standards heißt indes nicht, dass schon alles gut ist. Wie andere Unternehmen auch, müssen KRITIS-Betreiber ihre Sicherheitsmaßnahmen kontinuierlich prüfen und verbessern. Denn Hacker entwickeln ihre Methoden ständig weiter, um neue Angriffswege zu finden und Firmen zu infiltrieren. „Wenn ein Krimineller die Angriffsfläche eines Unternehmens bewertet, sucht er nach der passenden Kombination aus Schwachstellen, Fehlkonfigurationen und Identitätsprivilegien, die ihm am schnellsten den größtmöglichen Zugriff ermöglicht“, erläutert Roger Scheer, Regional Vice President Central Europe beim Security-Anbieter Tenable.
Die Einfallstore und Angriffsmethoden sind vielfältig. Das zeigt der aktuelle „Unit 42 Incident Response Report“. Phishing-Versuche über Mitarbeiter-E-Mails und soziale Netzwerke (37 Prozent) stehen an erster Stelle vor Software-Schwachstellen (31 Prozent). Es folgen mit großem Abstand Brute-Force-Angriffe auf Zugangsdaten (9 Prozent), bei denen die Hacker versuchen, ein Passwort oder einen Benutzernamen per Trial-and-Error-Methode zu knacken. Weitere Angriffspunkte sind kompromittierte Zugangsdaten, Insiderbedrohungen, Social Engineering oder der Missbrauch vertraulicher Beziehungen/Tools.
Tenable stellte laut Roger Scheer viele Angriffe fest, die auf die IT-Seite des Unternehmens abzielten, durch die enge Vernetzung von OT und IT aber zugleich auf OT-Systeme einwirkten. Besonders effektiv waren demnach Ransomware-Angriffe, in deren Folge zahlreiche Firmen den Betrieb einstellen mussten. „KRITIS-Betreiber sollten zum Schutz ihrer Systeme ihre Ressourcen effizient einsetzen, priorisieren und sich zunächst auf die wichtigsten Assets konzentrieren. Damit meine ich die kritischen Systeme und Dienste, die zum Funktionieren benötigt werden, sensible Daten sowie die Angriffspfade, mit denen Angreifer anfänglichen Zugriff erhalten und sich dann weiter im Netzwerk zum Erlangen von Privilegien bewegen“, empfiehlt Roger Scheer.
Verwandte Themen