Von unserem Gastautor Moreno Carullo, Gründer von Nozomi Networks

[datensicherheit.de, 23.07.2019] Wenn es um die Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder wie in Deutschland von einem „kritischen Gemeinwesen“ oder einer „kritischen Infrastruktur“. Werden diese Systeme negativ beeinflusst, hat das weitreichende Folgen, kann potenziell zu wirtschaftlicher Instabilität auf globaler Ebene führen und nicht zuletzt Menschenleben gefährden. Ein Stromausfall von etwa 5 Tagen käme bereits einer nationalen Katastrophe gleich. Nicht ohne Grund gibt der Bund dazu Informationsmaterialien heraus wie Bürger für den Ernstfall Vorsorge treffen können.

Laut Berichten des britischen National Cyber Security Centre (NCSC), des US Department of Homeland Security (DHS) und anderer Regierungsstellen weltweit ist die Zahl der Cyberbedrohungen in diesem Bereich in den letzten Monaten deutlich gestiegen. Kritische Infrastrukturen sind beides gleichermaßen: kritisch und verwundbar. Und genau deshalb sind Prozesse und Anlagen unterschiedlichsten Formen von Angriffen ausgesetzt – ob geopolitisch oder wirtschaftlich motiviert, böswillig oder einer Kombination aus allen dreien.

Die Angriffe nehmen zu

Zunehmend mehr werden auch Angriffe auf Netzwerke in Energie- und Verteilungssystemen und bei Energieversorgern. In diesen Szenarien geht es nicht um den Diebstahl von Daten, sondern um das Stören von Prozessen und mittelbar darum, Instabilität beispielsweise in wirtschaftlicher oder politischer Hinsicht zu erzeugen. Malware-Familien sind speziell für Attacken gegen die betreffenden kritischen Infrastrukturen entwickelt worden. Threat Actors haben sich mit ihren TTPs (Tactics, Techniques and Procedures) dediziert auf diese Ziele fokussiert. Gut in Erinnerung sind noch hochkarätige Attacken wie die beiden Angriffe auf das ukrainische Stromnetz 2015 und 2016 sowie Malware-Infektionen wie DragonFly und Stuxnet. Bekannt geworden sind auch zwei Attacken, die sich gegen deutsche Stromversorger gerichtet haben.

Energiewirtschaftliche Systeme: „Insecure by Design“?

Für Energieversorgungsunternehmen lag (und liegt) der Fokus auf der Hochverfügbarkeit ihrer Systeme. In der Energiewirtschaft durchdringen sich OT und IT aber mehr und mehr. IT-Technologien werden zum Überwachen und intelligenten Steuern der Systeme und Netze benutzt. Je höher allerdings der Grad von Konnektivität und Automatisierung, desto wahrscheinlicher wird eine erfolgreiche Attacke.

Die Herausforderungen gliedern sich im Wesentlichen in drei Bereiche:

• die eingesetzten Technologien,
• die betroffenen Prozesse und
• die Benutzer/Benutzeraktivitäten

Die steigende Konnektivität von Systemen erstreckt sich zum Teil über große geografische Distanzen hinweg und betrifft eine Vielzahl von physischen Systemen. Systeme,  die nicht nach den Prinzipien des „Security by Design“ entwickelt  wurden (wo Authentifizierung, Verschlüsselung und Widerstandsfähigkeit schon in der Konzeptionsphase eine Rolle spielen). Dazu kommt die Kommunikation über unterschiedliche Protokolle. Die Technologien sind allerdings nicht die einzige Herausforderung mit denen Betreiber kämpfen. Unzureichende Sicherheitsprozesse und die mangelnde Expertise im Bereich Cybersicherheit stellen zusätzliche Hürden dar.

Intelligent Electronic Devices (IED), Programmable Logic Controller (PLC) oder Remote Terminal Units (RTU) sind für einen bestimmten Einsatzzweck strukturierte, mächtige Computersysteme und primär dazu gedacht physische Komponenten wie Ventile, Pumpen, Motoren und so weiter zu steuern und zu überwachen. Diese Systeme nutzen unsichere Protokolle, bei denen auf in der IT gängige Sicherheitsmaßnahmen wie Authentifizierung und Verschlüsselung verzichtet wurde. Einfach, weil bei ihrer Entwicklung Sicherheit noch kein Thema war und der Fokus primär auf Verfügbarkeit lag. Prinzipiell sind die Datenströme im Netzwerk für praktisch jeden Benutzer sichtbar. Eingebaute Wartungszugänge dienen der Bestandsverwaltung, gefährden aber diese besonders langlebigen Systeme zusätzlich. Nun sind sie Teil eines unsicheren Ökosystems in dem die Verfügbarkeit per Definition eine höhere Priorität hat als die Sicherheit.

Transparenz in energiewirtschaftlichen Netzwerken: Die Aufgaben der IEC Working Group 15 (WG 15) der IEC TC 57

Die IEC TC57 WG15 ist eine Gruppe von Experten, Beratern und Herstellern, die erstmals im Jahr 2000 zusammenkamen angetrieben von wachsenden Sicherheitsbedenken. Die Gruppe beschäftigt sich nicht nur mit der Forschung und Entwicklung von Standards für Ende-zu-Ende Sicherheit, sondern überprüft diese regelmäßig und berät auch andere Gruppen. Die WG 15 der IEC TC 57 arbeitet an der Normenreihe IEC 62351. Diese besteht ihrerseits aus insgesamt 14 Bestandteilen, welche Cybersicherheit für die Kommunikationsprotokolle in der Energieversorgung beschreiben. Diese Protokolle sind in den Standards IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968 festgeschrieben.

Heute kann man unsichere Systeme schützen und überwachen. Was die Architektur und Segregation in aktuellen Netzwerken anbelangt trägt die IEC 62443-Familie von Standards dazu bei, Sicherheitsanforderungen und Produktivität in Einklang zu bringen. Die dazu nötigen Technologien existieren bereits. Sie erfassen präzise den kompletten Bestand an Systemen in der betreffenden Infrastruktur, überwachen die Aktivitäten dieser Systeme und führen Schwachstellen-Assessments durch.

Das ist heute schon möglich. Ziel für morgen ist allerdings eine „End-to-End-Security by Design“ mit folgenden Komponenten:

• Authentifizierung aller Systeme, Geräte und Anwendungen, die Daten verschicken und empfangen
• Autorisierung aller Interaktionen wie aufrufen, lesen, schreiben, kontrollieren, erstellen und löschen von Daten
• Datenintegrität sämtlicher Interaktionen und der zwischen den Systemen ausgetauschten Informationen
• Überprüfbarkeit (Accountability) gewährleistet, dass eine Einheit nicht bestreiten kann eine bestimmte Nachricht erhalten zu haben oder aufgrund einer Nachricht tätig geworden zu sein
• Verfügbarkeit von Interaktionen kann sich in einem Bereich von Millisekunden, Stunden oder auch Tagen bewegen
• Vertraulichkeit, die üblicherweise für Finanzdaten, Märkte sowie Unternehmensdaten und private Information unabdingbar ist

Dazu dienen Kommunikationsstandards wie die bereits von der WG15-Gruppe entwickelten. Andere befinden sich derzeit in der Testphase hinsichtlich der nötigen Interoperabilität und aufgrund von Compliance-Anforderungen. Neben den Standards der WG15 gibt es eine Reihe weiterer Standards, die von anderen Gruppen entwickelt wurden.

Fazit

Das Weltwirtschaftsforum im Januar zählt Cyberangriffe auf industrielle Systeme und kritische Infrastrukturen zu den größten Risiken für die internationale Stabilität. Die Studienergebnisse von Marsh bestätigen diese Einschätzung. Laut einer Befragung vom letzten Jahr befürchten drei Viertel der Führungskräfte im Energiesektor, dass Cyberangriffe den Geschäftsbetrieb unterbrechen könnten, und mehr noch, dass sie sich darauf vorbereiten, ihre Investitionen in den Bereich Risikomanagement für Cybersicherheit zu erhöhen.

An die Stelle der traditionellen Air-Gapped-Netzwerke treten aufgrund unternehmerischer Erfordernisse mehr und mehr IIoT-basierte Systeme. Will man die Vorteile der Vernetzung in einer kritischen Infrastruktur umfassend nutzen, ist es entscheidend sämtliche Netzwerke und Geräte zu erfassen und abzusichern. Jedes Gerät ist ein potenzieller Zugangspunkt für Angreifer. Dazu kommt die Pflege des bestehenden Inventars. Dabei müssen alle Geräte im Netzwerk genau erfasst werden. Auf sämtlichen Software‐ und Hardwarekomponenten sollten die neuesten Patches eingespielt sein, um Schwachstellen auszumerzen, die Angreifer sonst ausnutzen könnten. Schulungen spielen eine wichtige Rolle, um die Mitarbeiter aufzuklären und zu sensibilisieren und Unternehmen müssen für unterschiedliche Schutzebenen sorgen. Das reicht vom Absichern des Netzwerks selbst bis dahin es auf Anomalien hin zu überwachen, die Anzeichen für eine Cyberbedrohung sein könnten. Alle derzeitigen Anstrengungen werden auch morgen noch ihre Berechtigung haben, wir müssen allerdings zukünftig den Fokus verändern. Der sollte nicht länger auf den „Bad Guys“ liegen, sondern auf einem funktionierenden Security-by-Design-Ansatz für den wir bereits jetzt den Grundstein legen.

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 07.01.2014] Die Internet-Sicherheits-Agentur der Europäischen Union, ENISA, hat einen neuen Report veröffentlicht, der die Beeinträchtigung der Verfügbarkeit von Netzwerken ausgelöst durch Stromausfälle behandelt. Der Report beinhaltet Empfehlungen für die Elektro-Kommunikationsbranche um Stromausfällen standzuhalten und auf diese effizient zu reagieren. Es sei außerdem von besonderer Bedeutung, einen verbesserten Austausch von Situationsbewusstsein zu etablieren und somit die Mechanismen  im Bereich Zusammenarbeitsmit dem Energiesektor zu stärken.

Der Jahresbericht der ENISA über die größten Vorfälle in der EU, deckte auf, dass Stromausfälle eine der Hauptgründe für gravierende Netzwerk- und Serviceausfälle in der Elektro-Kommunikationsbranche sind.  Elektro-Kommunikationssysteme bilden das Rückgrat der digitalen Gesellschaft in der EU und sind daher für die Kommunikation und den Informationsaustausch für Bürger, Unternehmen, Regierungen und Organisationen unverzichtbar. Um Risiken durch  Netzwerk- und Serviceausfälle, ausgelöst aufgrund von Stromausfällen, zu reduzieren, gibt die Agentur acht Empfehlungen an Regulierungsbehörden / National Regulatory Authorities (NRA) und Anbieter innerhalb des Elektro-Kommunikationssektors.

Die Regulierungsbehörden sollten:

• die Häufigkeit und Auswirkung von Netzwerkausfällen, ausgelöst durch Stromausfälle, analysieren.
• mit Anbietern kooperieren um Good Practices für eine Erhöhung der Widerstandsfähigkeit  zu sammeln.
• eine Kosten-Nutzen-Analyse durchführen, um das Minimum an notwendiger Widerstandsfähigkeit gegen Stromausfälle zu bestimmen.
• Lehren aus Problemen, ausgelöst durch Stromausfälle, ziehen und sichergehen, dass betroffene Anbieter systematisch arbeiten um ihre Protektionsmaßnahmen zu verbessern.
• eine Strategie fördern, die Kooperation und Hilfsvereinbarungen für gemeinsame Servicewiederherstellung nach großen Stromausfällen garantiert.
• ein Prioritätschema in Betracht ziehen, welches bevorzugte Behandlung in der Elektro-Kommunikationsbranche gewährleistet und somit die Wiederherstellungsdauer der Services unter außergewöhnlichen Umständen verringert.
• Anbieter sollten regelmäßige Prüfungen der schon bestehenden Schutzmaßnahmen durchführen, um sicherzugehen, dass kurze und mittellange Stromausfälle keine negativen Auswirkungen haben.
• Regulierungsbehörden, Anbieter und Akteure im Energiesektor sollten, im Falle eines gravierenden Stromausfalls, miteinander kooperieren um Mechanismen für den Informationsaustausch zu etablieren und somit einen effizienten Austausch von Situationsbewusstsein und Prognose- und Wiederherstellungszeiten zu ermöglichen.

Der Geschäftsführer der ENISA, Professor Udo Helmbrecht, kommentierte: „Die Empfehlungen unterstreichen die notwendigen Schritte, um Risiken von Netzwerkausfällen zu reduzieren, und erhöht die Kapazität, auf Stromausfälle angemessen zu reagieren. Wir rufen die verschiedenen Akteure dazu auf, Wege zu finden, um einen besseren Informationsaustausch über Ausfälle besonders zwischen dem Energiesektor und dem Elektro- Kommunikationssektor zu ermöglichen.“

[datensicherheit.de, 02.10.2013] Am 2. Oktober 2013 musste das ZDF Improvisationstalent beweisen – am frühen Morgen fiel im ZDF-Hauptstadtstudio für 45 Minuten der Strom aus. Deshalb mussten rund 450.000 Zuschauer auf das „Morgenmagazin“ verzichten. Welche technischen Gründe ausschlaggebend waren, gab der Sender bisher noch nicht bekannt.
Laut einer Stellungnahme von Rüdiger Gilbert, „Vice President IT Business“ bei Schneider Electric, gehen Experten gehen davon aus, dass die Zahl der Stromausfälle in Deutschland zunimmt. Die Bundesnetzagentur habe in ihrem „Monitoringbericht 2012“ über 206.600 solcher Fälle registriert. Gezählt worden seien nur Störfälle, die länger als drei Minuten dauerten; deshalb liege die eigentliche Zahl weitaus höher, betont Gilbert. Spürbar sei der aktuelle Blackout für die Frühaufsteher und Fans des „ZDF-Morgenmagazins“ gewesen.

Foto: Schneider Electric GmbH, Ratingen

Rüdiger Gilbert warnt vor Ausfällen schon im Sekundenbereich

Nicht jedes Unternehmen könne auf Störfälle dieser Art jedoch so humorvoll reagieren wie das ZDF oder habe ein entsprechendes Alternativprogramm in petto. Richtig ernst könne es für Unternehmen und Privatanwender werden, warnt Gilbert, denn schon ein Ausfall im Sekundenbereich könne hohen wirtschaftlichen Schaden verursachen, wenn die Produktion still steht oder teure Rechnersysteme Schaden nehmen.
Ursache dafür könnten unter anderem Spannungsschwankungen im Stromnetz sein, aber auch Defekte der internen Stromverteilung im Gebäude. Deshalb sei es wichtig, dass sich Privatanwender genauso wie Unternehmen mit Systemen für unterbrechungsfreie Stromversorgung vor Datenverlusten und Schäden an empfindlichen Geräten absichern. Neben USV-Systemen spielten auch Notstromaggregate oder Monitoring-Software eine wichtige Rolle.
Regelmäßige Wartungen oder das Durchspielen von Notfallszenarien gehörten zum Pflichtprogramm, denn wenn die integrierten Bauteile nicht perfekt zusammenarbeiten, könne es trotz entsprechender Investitionen in Stromsicherungssysteme zum Ausfall kommen.

Weitere Informationen zum Thema:

Bundesnetzagentur
Monitoringbericht 2012