Gut gewappnet: keine Chance der Cyber-Gefahr

Die etwas paradoxe – wenn auch von der menschlichen Risikopsychologie her verständliche – Diskrepanz in der Wahrnehmung der Gefahr aus dem Cyberspace für das eigene Haus und für den Sektor allgemein zeigt sich in ähnlicher Weise im Monitor 2.0. Er ist 2018 im Förderschwerpunkt „IT-Sicherheit für Kritische Infrastrukturen“ (ITS|KRITIS) des Bundesministeriums für Bildung und Forschung auf der Basis einer Umfrage entstanden. Demnach schätzen auch die Betreiber von Kritischen Infrastrukturen ihre Bedrohungssituation sowie ihre eigenen Fähigkeiten, Cyberangriffe erfolgreich abzuwehren, offensichtlich zu unkritisch und damit optimistischer ein als die der eigenen Branche oder die des Wirtschaftsraums Deutschland. 100% der Befragten sehen eine sehr hohe (35%) oder hohe (65%) Bedrohungslage für den Wirtschaftsraum Deutschland; dagegen sehen nur 10% eine sehr hohe und 72% eine hohe Bedrohung für die eigene Organisation.

Den Umfrageergebnissen von ITS|KRITIS und KMPG ist gemeinsam, dass die am häufigsten genannte Ursache für den Erfolg von Cyberangriffen das Fehlverhalten von Mitarbeitern ist. Menschliche Kriterien wie Unachtsamkeit und ungenügend geschulte Mitarbeiter gelten als entscheidende Faktoren bei der Entstehung von e-Crime. Entsprechend sind die Schulung und die Sensibilisierung der Beschäftigten die meistgenannten präventiven Maßnahmen. Zudem lösen Bedrohungen mit großer Medienaufmerksamkeit – wie WannaCry, das Mirai-Botnetz, Industroyer oder (Not)Petya – in den Organisationen die Reaktion aus, die IT-Sicherheit zu überdenken. Ähnlich wie bei den wichtigsten Ursachen für Cyber-Kriminalität sind die Studienergebnisse bei der Frage nach den Verantwortlichen von Cyber-Attacken – hier tappen die Unternehmen vielfach im Dunkeln. 58% der im Rahmen des ITS|KRITIS-Monitors Befragten konnten die Angreifer nicht feststellen. In der KPMG-Studie können sogar 85% der Betroffenen die Täter nur der Kategorie „unbekannte Externe“ zuordnen. Neben einzelnen Hackergruppen stehen häufig organisierte Wirtschaftskriminelle oder staatliche Stellen im Verdacht, sich hinter den Angriffen zu verbergen. Gesicherte Erkenntnisse fehlen aber meist.

Häufig folgen externe Angreifer auf industrielle Leitsysteme (Industrial Control System, ICS) dem Handlungsschema der Cyber Kill Chain, das Lockheed Martin entwickelt hat, um Cyber-Angriffe zu beschreiben, und das das SANS Institute für industrielle Leittechnik adaptiert hat. Das Schema besteht zwei größeren Etappen, die ein immer tieferes Vordringen des Angreifers beschreiben. In Etappe 1 adressiert der Angreifer der Zielorganisation – an sich analog zu „klassischen“ Angriffen – auf Unternehmensnetze im Allgemeinen. In Etappe 2 nutzt der Angreifer den Zugang zum Unternehmensnetz, um detaillierte Informationen über die Leittechnik und deren Konfiguration zu sammeln. Auf Basis dieser Informationen entwickelt der Angreifer dann spezifisch auf die Zielorganisation und -anlagen zugeschnittene Angriffspläne, wählt dazu passende Werkzeuge aus oder entwickelt bei Bedarf auch neue Werkzeuge und parametrisiert sie entsprechend der Zielumgebung.

Eine Arbeitsgruppe an der ETH Zürich ist dabei, mit der neuen Internet-Architektur SCION (Scalability, Control, and Isolation on Next-Generation Networks) viele Sicherheitsmängel des heutigen Internets zu beseitigen. Prof. Dr. David Basin erläutert: „Das Internet wurde nicht im Hinblick auf die Sicherheit entwickelt. Bei der Entwicklung der Architektur SCION war Sicherheit von Anfang an ein wichtiges Thema. Die Sender können selbst bestimmen, wie die Daten durch das Netzwerk fließen. Sobald der Datenverkehr auf einen bestimmten Pfad gelenkt wurde, können Dritte ihn nicht mehr umleiten. Darüber hinaus werden alle netzwerkbezogenen Informationen kryptografisch geschützt.“

Während der Aufbau von SCION eher noch Zukunftsmusik ist, unterstützt ABB seine Kunden unter den heutigen Gegebenheiten mit einer breiten Auswahl von angepassten Lösungen, um deren Sicherheit effizienter anzugehen. Ragnar Schierholz, Head of Cyber Security bei ABB Industrial Automation, erläutert: „In der IT-Welt sind Verfügbarkeit und Vertraulichkeit von Daten am wichtigsten. In unserer OT-Welt mit hochspezialisierter Leittechnik steht die deterministische Verhaltensweise des Systems im Fokus. Es tut, was es tun soll.“ IT und OT überschneiden sich und sind zudem von ähnlichen oder gleichen Gefahren bedroht. „Wir sehen eine Dichotomie, eine Zweiteiligkeit der Gefahren. Einerseits gibt es ein Grundrauschen von Cyber-Gefahren; gegen dieses helfen vergleichsweise einfache Gegenmaßnahmen wie regelmäßige Patches. Andererseits erleben wir sehr gezielte Angriffe gemäß dem Prinzip der Cyber Kill Chain“, sagt Ragnar Schierholz. Hier versuchen die Angreifer, sich in mehreren Schritten bis in das Leitsystem vorzuarbeiten. Abhilfe gegen Angriffe auf Unternehmen des Industriesektors und einzelne Anlagen schaffen Gegenmaßnahmen, die das Wissen um die Vorgehensweise des Angreifers nutzen und ihn abwehren. „Eine wirksame Abwehrstrategie ist beispielsweise, einen Angreifer in der frühen Phase bereits zu erkennen und zu beobachten, die Sicherheitsmaßnahmen auf die spezifischen Charakteristiken des erkannten Angriffs einzustellen und ihn so nichts Wichtiges erreichen zu lassen“, erklärt Ragnar Schierholz.

„Häufig beginnt unsere Beratung bei Industriekunden damit, dass wir die klassischen vier Mythen zur Cyber Security zerstören müssen“, sagt Ragnar Schierholz. Der erste Mythos lautet, dass kleine Unternehmen und Branchen außerhalb der Medienpräsenz kein relevantes Ziel seien. Das ist falsch, weil alles, was es wert ist, besessen zu werden, auch lohnt, gestohlen zu werden. Starke Sicherheit sei Zeit- und Geldverschwendung lautet der zweite Mythos. Das ist falsch, weil kompromittierte Leittechnik verhindert, Aufträge rechtzeitig oder in erforderlicher Qualität zu erfüllen. Zudem führen nicht adressierte Sicherheitsrisiken zu erhöhten Prämien von Business-Continuity-Versicherungen bis hin zur Ablehnung durch Versicherer. Der dritte Mythos behauptet, unser System sei hermetisch abgeschottet und habe keine Verbindung zur Außenwelt. Das ist falsch, weil das Personal Daten in das System ein- und auslagern muss. Wenn keine Kommunikation eingebaut ist, werden praktische und gefährliche Workarounds improvisiert. Das System habe keine direkte Verbindung zum Internet, sodass Angreifer keinen Zugang hätten, lautet der vierte Mythos. Das ist falsch, weil die meisten Vorfälle mehrstufige Angriffe sind und sich die Angreifer im Unternehmensnetzwerk seitlich bewegen, um interessante Ziele zu erreichen.

An weiteren Lösungen von ABB für Cyber Security in der Zukunft arbeiten die Wissenschaftler im ABB-Konzernforschungszentrum in Dättwil. Ognjen Vukovic, Leiter des Bereichs Cyber Security, erläutert: „Im Projekt Service-Ledger untersuchen wir den Einsatz der Blockchain-Technologie in einem Microgrid-Szenario für Smart Contracts und Smart Billing zwischen den Beteiligten des Microgrids.“ Als ersten Meilenstein der praktischen Anwendung haben die Forscher blockchainfähige Smart Meter in einer Pilotanlage in der Schweiz eingesetzt. „In einem weiteren Projekt untersuchen wir, welche Gefahren zukünftig beim kriminellen Einsatz von Quantencomputern entstehen könnten, weil diese im Prinzip viele kryptografische Algorithmen knacken, die heute verwendet werden“, sagt Ognjen Vukovic. Es ist zwar unwahrscheinlich, dass es in den nächsten zehn bis 20 Jahren praktisch verwendbare Quantencomputer geben wird, aber da ABB digitale Produkte mit einer erwarteten Lebensdauer von über 20 Jahren baut, müssen sie kryptografische Algorithmen verwenden, die von Quantencomputern nicht geknackt werden können. Ein drittes Projekt in Dättwil hat die Analyse von hochvertraulichen Daten zum Inhalt. „Da viele Kunden sehr sensible Daten wie Betriebsgeheimnisse und Angaben zu Mitarbeitern nicht in die Cloud senden wollen, untersuchen wir technische Methoden wie die homomorphe Verschlüsselung, die es uns ermöglicht, verschlüsselte Daten zu analysieren, ohne den Schlüssel zu kennen“, sagt Ognjen Vukovic.