Wie hat sich die Gefahrensituation, als Unternehmen Opfer von Cyber-Kriminalität zu werden in den vergangenen Jahren verändert?
Automatisierung hat allerorten Einzug gehalten, insbesondere auch bei den bösartig Handelnden. Durch automatische Exploits werden CotS-Komponenten und damit kommerzielle Produkte „von der Stange“ leichte Beute. Insbesondere internetfähige Geräte, egal ob Internet of Things oder Smartphone, werden vermehrt an Serverdienste angeschlossen. Das vergrößert die Angriffsfläche enorm.
Wie schätzen Sie die Bedrohungslage von Energieversorgern im Vergleich zu Industrieunternehmen ein?
Mit Blick auf die Informationssicherheit ist die Motivation des Angreifers interessant: Energieversorger werden wohl eher von Terroristen als von Kriminellen ins Visier genommen, da hier eine Bedrohung automatisch ein terroristischer oder kriegerischer Akt ist. Die Frage ist, ob ein Täter tatsächlich weiß, wen er angreift: Werden Standardkomponenten verwendet, wenn auch nur als Softwarepaket, gelangen auch Energieversorger in die Fänge von Kriminellen. Angriffe auf Energieversorger sind somit aktuell wohl entweder Tests oder als unerwünschte Begleiterscheinung zu betrachten.
Welche Bedrohungen haben heute insbesondere „Konjunktur“?
Für den Energiesektor sind – von professionellen kriegerischen Ereignissen wie in der Ukraine im Jahr 2016 einmal abgesehen – insbesondere Angriffe ohne Nutzerinteraktion zu nennen. Diese finden auf Protokollebene – Stichwort: Portscans – statt und nutzen dieselben Effekte, die sonst nutzbringend gewünscht sind, wie automatisierte Vernetzung, Kommunikation und Reaktion: Malware 4.0. Für den menschlichen Benutzer gibt es nichts Neues: Die „gute alte“ Phishing-Mail ist weit vorne im Rennen, jedoch wegen neuer Methoden schwieriger zu erkennen. Ebenfalls nicht neu ist es, falsche Daten über Sensoren ins dahinterliegende System zu senden. Allerdings ist es aufgrund von vernetzten Sensoren deutlich leichter geworden, solche Angriffe durchzuführen.
Welche Wettbewerbsvorteile lassen sich durch eine optimierte Cyber-Security-Strategie erzielen?
Hier spielen verschiedene Aspekte der Informationssicherheit eine Rolle: Zum einen ermöglichen es Maßnahmen im Betrieb, die Verfügbarkeit von Systemen zu erhöhen, auch unabhängig von Angriffen, etwa im Falle höherer Gewalt. Zum anderen erhält der Betreiber eines Systems einen tieferen Einblick in die Anforderungen, die er an einzelne Komponenten zu stellen hat. Darüber hinaus hat er ein klares Bild der Fähigkeiten, die diese Komponenten bereitstellen. Die systematische Verwendung von Produkten, die mit Blick auf Application Security entwickelt wurden, ermöglicht es außerdem ein ganzheitliches Sicherheitskonzept aufzubauen.
Zu welchem Vorgehen hinsichtlich der Einrichtung der Cyber-Abwehr raten Sie? Optionen sind hier ein gestaffeltes Sicherheitssystem oder das Defense-in-Depth-Prinzip.
Das Defense-in-Depth-Konzept ist ein zentraler Pfeiler eines jeden Systems, das Security by Design umsetzt. Das bedeutet, dass eine einzelne Maßnahme niemals ein Sicherheitsziel realisieren kann. Die Funktionsweise einer Firewall muss etwa durch ein Intrusion Detection System, kurz IDS, überwacht werden. Gleichzeitig muss auch die Konfiguration der Firewall regelmäßig überprüft werden.
Welche Rolle spielt dabei die Überwachung des Datenverkehrs wie die Anomalieerkennung über IDS?
Ein IDS achtet auf Anomalien-Erkennung, eine seit vielen Jahren bewährte und gewachsene Technik. Für sich allein ist eine Anomalie allerdings kein Hinweis auf einen Angriff oder auch nur eine Fehlfunktion der anomalen Komponente. So ist etwa ein Feueralarm im laufenden Betrieb eine Anomalie. Fatal wäre es, das entsprechende Signal zu blockieren, weil es eine Anomalie darstellt. Mit Blick auf Informationssicherheit entwickelte Komponenten liefern Listen mit unterstützten Protokollen, geöffneten Ports und vorgesehenen Kommunikationswegen. Werden diese in dem IDS konfiguriert, sind weitergehende heuristische Maßnahmen gar nicht nötig. Aus der Konfiguration wird klar, ob die Netzwerkkommunikation legitim ist oder ob sie der Anbieter der Komponente nicht beabsichtigt hat.
Im Energiebereich gilt das Thema Smart City als wichtige Zukunftslösung. Damit verbunden ist die Vernetzung verschiedenster IoT-fähiger Geräte, sei es zur Abflussmessung in Kanalschächten oder der Füllstandkontrolle in Abfallbehältnissen. Wie schätzen Sie hier die Gefahrensituation ein?
Das Gefährdungspotenzial ist einerseits riesig, allein aufgrund der gewaltigen Menge der potenziellen Endgeräte. Insbesondere die Anbindung von Feldgeräten, die sich im öffentlich zugänglichen Raum im Herzen der lebenswichtigen Infrastruktur einer Stadt befinden, an eine Cloud ist höchst sensibel. Andererseits fordert der Gesetzgeber im IT-Sicherheitsgesetz diverse Maßnahmen bezüglich der Kritischen Infrastrukturen. Solange die Anbieter entsprechender Geräte die gesetzliche Verpflichtung ernst nehmen und sich an die nationalen und internationalen Normen und Standards halten, kann diese Vernetzung relativ sicher sein. Leider wiederholt sich regelmäßig, dass neue Techniken vor allem funktional optimiert werden und die Sicherheit dabei in den Hintergrund rückt. Sinnvoll ist es daher, Experten für Informationssicherheit bereits vor der Projektausschreibung zu Rate zu ziehen.
Wie lässt sich die Smart City wirkungsvoll schützen?
Awareness und Support auf Entscheidungsebene ebenso wie Einbindung von Informationssicherheitsexperten von Anfang an und auf allen Ebenen. Hierfür geben verschiedene Normen einen hilfreichen Rahmen vor, wie die IEC 62443. Auf technischer Seite gibt es neben dem bereits erwähnten Defense-in-Depth die Technik Secure Boot, eine Implementierung der Chain-of-Trust. Das heißt: Komponenten verweigern den Dienst, wenn sie von Unbekannten gestartet werden, ebenso weigern sie sich, unbekannte Komponenten zu starten. Dies geschieht ähnlich wie bei signierten Mails, über signierte Programmbestandteile. Da auch die Hardware über Secure Elements eine eindeutige Signatur erhält, hat jedes Teil eines Systems auf diese Weise seinen kryptographischen „Ausweis“ dabei. Auch ein weit entfernter Server kann dann die Legitimität eines IoT-Gerätes im Kanal verifizieren.
In welchem Maße wird der Aufwand für den Cyber-Security-Schutz noch weiter ansteigen?
Das Spektrum der Angriffe wird breiter. Möglicherweise werden unerfahrene Angreifer versehentlich oder mutwillig ihre Skripte auf alles an das Netz Angebundene loslassen. Um rechtzeitig darauf reagieren zu können, müssen beständig gefundene Schwachstellen und Exploits im Blick behalten werden. Darüber hinaus zeigen Profi-Angreifer ein immer tieferes Verständnis der angegriffenen Systeme und schaffen es, eigene Schwachstellen bereits in die Komponenten einzubringen. Um hierauf zu reagieren, müssen die Erfahrungen in einem kontinuierlichen Verbesserungsprozess auf Systemebene sowie auf Lieferantenebene eingebracht werden. Die Informationssicherheit der Zukunft betrifft sowohl IT wie OT. Wer jetzt seine digitale Transformation umsetzt, kann Informationssicherheit von Anfang an zuverlässig integrieren.