Recherchen haben ergeben, dass die digitalen Attacken auf Stromnetze zunehmend aggressiver werden und eine der gefährlichsten Hackergruppierungen auch Deutschland ins Visier genommen hat. [...]
Wenn es um Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder von kritischen Infrastrukturen (KRITIS). Es sind Systeme, ohne die unsere Gesellschaft und unser Gemeinwesen nicht funktionieren. Heute sind diese historisch gewachsenen Systeme mit IT–Netzwerken oder der Außenwelt verbunden. Die Konnektivität der Netze hat für die Betreiber viele Vorteile. Die Kosten sinken, die betriebliche Effizienz steigt, und es ist möglich, Interoperabilität zwischen bestehenden und neuen Systemen herzustellen. Aber die untereinander und mit dem Internet verbundenen Geräte haben die Angriffsfläche für Cyberattacken deutlich vergrößert. Dabei fungiert die IT nicht selten als Einstiegspunkt für Angreifer, die es auf die OT-Netzwerke – also die Operations Technology-Netzwerke – abgesehen haben. Der direkte Einstieg in das OT-Netzwerk über schwach abgesicherte W-LAN Infrastrukturen oder auch die Infektion über direkt an den OT-Geräten angeschlossenen externen Datenspeichern für Firmware-Updates, bergen hier zusätzliche Risiken.
Angriffe auf kritische Infrastrukturen, wie auf die beiden deutschen Stromversorger (wo nach Angaben der SZ-Quellen ebenfalls die Hackergruppierung Sandworm ihre Fingerabdrücke hinterlassen hat) erinnern an die vorhandenen Schwachstellen sowohl in der IT als auch in der OT. Auch und gerade für diese Umgebungen gilt, dass ein Netz nur so sicher ist wie das schwächste Glied in der Kette. Erfolgreiche Attacken und Malware-Varianten werden oftmals speziell für Angriffe gegen die betreffenden kritischen Infrastrukturen entwickelt. BlackEnergy, verantwortlich für die hochkarätigen Attacken auf das ukrainische Stromnetz 2015 und 2016, wurde allerdings nicht extra für diese Angriffe entwickelt. Es gab bereits vorher Angriffe beispielsweise auf Banken und Nachrichtensender, die BlackEnergy verwendet haben. Der letztendlich entscheidende Schritt beim Angriff auf das Stromnetz der Ukraine wurde über das vorhandene ICS-Equipment durchgeführt.
Malware-Infektionen à la DragonFly und Stuxnet
Diese Beispiele zeigen, dass sich die Bedrohungen längst aus dem Bereich des technisch Möglichen in die Realität verlagert haben. Cyberbedrohungen haben sich inzwischen von Desktop oder Serverraum in die Anlagenkontrollräume ausgeweitet. Angreifer versuchen nun, aktiv Fuß zu fassen und diese sensiblen Netze zu „knacken“. Black-Hat-Aktivisten und Hacker in staatlichem Auftrag nutzen frei zugängliche Daten und Informationen, um technisch möglichst genau über das anvisierte Ziel Bescheid zu wissen. Auf dieser Basis wird ein maßgeschneiderter Angriff gestartet.
Es ist nicht damit zu rechnen, dass Angreifer in ihren Bemühungen nachlassen, bessere Angriffsmethoden und –strategien zu entwickeln und einzusetzen. Attacken auf Chemieanlagen und Stromnetze haben das Potenzial für wirtschaftliche Instabilität zu sorgen und die physische Sicherheit zu gefährden. Das übergreifende Management von Cyberrisiken muss deshalb auf der Prioritätenliste ganz nach oben. Staat und Privatwirtschaft sind aufgerufen, Hand in Hand zu arbeiten und zielgerichtet in präventive Maßnahmen zu investieren. Maßnahmen, die die Resilienz der Netze deutlich verbessern. Inzwischen haben die viel zitierte künstliche Intelligenz und das maschinelle Lernen für den nötigen technologischen Fortschritt auch an dieser Stelle gesorgt. Insbesondere deren Fähigkeit, prädiktive Modelle zu erstellen und selbst hoch komplexe Netzwerke und kritische physikalische Prozesse transparent zu überwachen.
Energieversorger und Netzbetreiber sollten zeitgemäße Sicherheitsmaßnahmen umsetzen und neuartige Ansätze bei der Implementierung in Betracht ziehen. Man muss allerdings einräumen, dass sich trotz aller Unkenrufe die deutschen Unternehmen und Betreiber der Lage sehr wohl bewusst sind und damit begonnen haben, Budgets in weit größerem Ausmaß als noch vor Kurzem für Cybersicherheitsprojekte in den beschriebenen Bereichen bereitzustellen.“
*Will Stefan Roth ist Regional Director bei Nozomi Networks.
Be the first to comment