IT-Sicherheit ist seit jeher ein fester Bestandteil der Jahrestreffen des Chaos Computer Clubs zwischen Weihnachten und Silvester. Dennoch ist es immer wieder faszinierend zu erfahren, wie leichtfertig viele Anwender – ob privat oder geschäftlich – mit dem Thema umgehen, teilweise aus Unwissenheit, aber auch Ignoranz. Allerdings stecken natürlich nicht immer nur Anwenderdefizite hinter Sicherheitsvorfällen, auch die Artenvielfalt und die Qualität der Attacken steigen.
Die sogenannten Security Nightmares sind ein beliebtes Format am Ende eines jeden Chaos Communication Congress, liefern sie doch so manchen Grund zum Schmunzeln. Auf der anderen Seite beinhalten sie aber auch alarmierende Beispiele und Zahlen. So wurden beim letzten Kongress allein für das Jahr 2016 in Deutschland Zahlen wie 83.000 Cybercrime-Fälle genannt. Zudem steigt die Leistungsstärke von DDoS-Angriffen mit 510/800 Gbit (öffentlich/nicht öffentlich) im Jahr 2018 weiterhin ansteigen.
Diese Zahlen werden auch in den Folgejahren sicherlich wachsen und daher ist die Lage sehr ernst – wohlwissend, dass neben Privatpersonen und -unternehmen längst schon öffentliche Einrichtungen und die öffentliche Grundversorgung im Fokus der Angreifer stehen. Speziell für die Betreiber kritischer Infrastrukturen (Kritis) wird die Situation auch deshalb bedrohlicher, da die Anlagen und die darin integrierte Technik zunehmend vernetzt sind.
Angriffe können jederzeit aus allen Richtungen kommen
Die jüngsten Attacken durch die Erpressungssoftware Wannacry, Petya, Not-Petya, Bad Rabbit oder der Cyber-Angriff auf den Stahlwerk-Hochofen hier in Deutschland sind allgegenwärtig und führen uns vor Augen, dass die Angriffe jederzeit und aus allen möglichen Richtungen kommen können.
Nun haben wir in Deutschland nicht nur mahnende Worte aus Politik oder Wirtschaft vernommen, es wurde auch etwas getan. Mit einer Verordnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollen vor allem die Kritis-Betreiber stärker in die Pflicht genommen werden. Zu Gute gehalten werden muss auch, dass Deutschland das einzige Land mit solch einem Vorstoß ist, betrachte ich die von mir in Zentral- und Süd-Europa verantworten 18 Länder. Vor allem diejenigen Betreiber in den Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sollten sich bei der Umsetzung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) so langsam in den finalen Zügen befinden.
Theoretisch. Laut dem schon am 3. Mai 2016 in Kraft getretenen ersten Teil der BSI-Kritis-Verordnung waren sie gefordert, eine 24/7-Kontaktstelle zu benennen und IT-Störungen zu melden. Bis zum 3. Mai 2018 wiederum müssen die Betreiber Kritischer Infrastrukturen IT-Sicherheit nach dem „Stand der Technik“ umsetzen und deren Einhaltung fortan regelmäßig gegenüber dem BSI nachweisen. Was bleibt, sind nur wenige Monate bis zu diesem Audit-Pflichttermin.
Unternehmen scheinen den Weckruf nicht gehört zu haben
In der Praxis wird es selbstverständlich eher Kritis(ch) mit der rechtzeitigen Umsetzung. Viele betroffene Unternehmen sind aus diversen Gründen noch längst nicht so weit, diese Vorgaben im Bereich Automation Security erfüllen zu können. Mit der Bereitschaft dazu hapert es erst recht. Laut vielen Experten sollten die international bekannt gewordenen Attacken eigentlich als zusätzlicher Weckruf dienen.
Auch wir bei Honeywell erfahren regelmäßig nach solchen Angriffen eine starke Zunahme an Anfragen, die jedoch nach etwa einer Woche wieder abflauen. Danach heißt es wieder business as usual. Einerseits mag es vielleicht daran liegen, dass das BSI zwar mit der Verordnung konkrete Vorgaben formuliert hat, jedoch kaum Konsequenzen bei Nichterfüllung bekannt sind. Was passiert denn eigentlich, wenn beispielsweise Kritis-Betreiber den Termin im Mai 2018 komplett ignorieren? In der Praxis ist diese mangelnde Konsequenz-Drohung tatsächlich eine oft gehörte Begründung für mangelnde Umsetzung.
Wer sperrt Mr. Blackout aus?
Ich frage mich jedoch, ob es in der Tat immer solch eines Druckmittels bedarf. Nun sind wir alle nicht naiv und wissen aus unserer Erfahrung heraus, dass dem in vielen Fällen leider so ist. Dennoch bleibt offen, warum das Thema Cyber-Sicherheit bis heute kaum so richtig beim C-Level angekommen ist. Es fehlt zudem an Know-how und den entsprechenden Ressourcen.
Die neueste Studie „Putting Industrial Cyber Security at the Top of the CEO Agenda“ von LNS Research und Honeywell hat belegt, dass mit 53 Prozent gut die Hälfte aller befragten Anlagenbetreiber regelmäßig Cyber-Angriffe feststellen und berichten können. Gleichzeitig haben aber nur etwas mehr als die Hälfte dieser Befragten eine Firewall zwischen Office-Netz und PLS installiert (59 Prozent). Darüber hinaus gibt es nur bei einem Drittel aller befragten Unternehmen einen Leiter mit festgelegter Security-Verantwortung für die Automation (35 Prozent).
Was sagt uns das? Unter all diesen Anlagenbetreibern gibt es einige, bei denen der schwarze Mann – nennen wir ihn einfach Mr. Blackout – vor einer sperrangelweit offenen Haustür stehen könnte. Leider gibt es niemanden, der sich genötigt fühlt, diese Haustür zu schließen und abzusperren.
Angst vor Investitionen ist unberechtigt
Wer jetzt noch nicht angefangen hat, wird auch bis zum Mai die Vorgaben der BSI-Kritis-Verordnung im Bereich Automation Security nicht erfüllen können. Und hat – leider berechtigt – auch kaum so richtig Angst davor. Was aber ein erster wichtiger Schritt sein könnte, ist die Analyse der eigenen Cyber-Security-Situation und die Erstellung eines entsprechenden Gefahren- und Sicherheitsprofils. Schließlich müsste jeder Anlagenbetreiber zumindest daran interessiert sein zu wissen, wer denn eigentlich potenzielle Angreifer in seinem individuellen Fall wären und inwiefern er bereits dagegen gewappnet ist. Die Angst vor ungeplanten Investitionen ist möglicherweise unberechtigt, nur bleibt sie im Falle von Unwissenheit bestehen.
Nun ist es bei solch einer Assessment-Profilierung aber auch wichtig, Farbe zu bekennen und sich der wirklichen Bedrohung und den damit verbundenen, mit zunehmender Stufe steigenden Vorbereitungsmaßnahmen zu stellen. Ein solcher Plan kann den ersten Nachweis für das BSI unterstützen und den aktuellen Stand und die geplanten Arbeiten darstellen. Er leitet ein nachhaltiges Automation Security-Programm ein und ist sogar in den nächsten Monaten realisierbar. Eine Einordnung in ein niedriges Security-Level oder Bedrohungsprofil ist ein trügerisches Sicherheitsgefühl und hält einer detaillierten Risikobewertung meist nicht stand.
So mancher Kritis-Betreiber, für den schon Level 2 (ziellose Angriffe) normalerweise unzureichend ist und der zumindest Level 3 (zielgerichtete Angriffe gegen ein bestimmtes Unternehmen) bräuchte, findet sich letztendlich auf Level 1 wieder.
Die Chemiebranche muss sich vorbereiten
Die Chemiebranche hat es zudem geschafft, gar nicht erst in den derzeitig definierten Körben des BSI zu landen. Sie wird wahrscheinlich erst in einigen Jahren in die „Pflicht“ genommen. Diese graue Zone in den Bereichen chemischer Zulieferer wird sich jedoch in absehbarer Zeit schließen. Eine Vorbereitung ist im heutigen Wettbewerb zwingend erforderlich. Zumal der Umsetzung auch eine gewisse Implementierungszeit vorausgeht.
Klar ist, dass niemand in ein höheres Cyber-Security-Level gezwungen wird. Letztlich entscheidet jeder Betreiber selbst, wie viel Risiko er tragen möchte. Sowohl wirtschaftlich als auch gesellschaftlich.