ArtikelSecurity

Mehr Cyber-Resilienz für KRITIS-Umgebungen: Sicherheit für systemrelevante und stark regulierte Branchen

Autor/Redakteur: Philipp Kleinmanns, Geschäftsführer von Materna Radar Cyber Security/gg

Kritische Infrastrukturen (KRITIS) stehen immer stärker im Visier von Angreifern. Haben es die Cyber-Kriminellen auf Lösegeld abgesehen, drohen auf Unternehmensseite die Gefährdung der Geschäftskontinuität, Schädigung der Reputation, finanzielle Einbußen durch Erpressung oder Bußgelder aufgrund von Datenschutzverletzungen. Ist ein Angriff auf KRITIS-Umgebungen gar politisch motiviert, kann er schwere gesellschaftliche Auswirkungen haben – bis hin zur vollständigen Unterbrechung der Transport-, Energie-, Wasser- oder Lebensmittelversorgung oder zur Störung eines Krankenhausbetriebs.

Quelle: Materna Radar Cyber Security

Cyber-Angriffe auf kritische Infrastrukturen haben häufig geopolitische Ursachen, da Angriffe auf Betreiber systemrelevanter Bereiche wie Energie, Transport, Finanz- und Versicherungswesen, Gesundheit und Verwaltung schnell zu Produktionsausfällen und Versorgungsengpässen führen und damit Regierungen und Länder destabilisieren. Staaten beziehungsweise staatlich geförderte Akteure mit diesem Interesse sind zunehmend für solche Attacken verantwortlich. Allein vom Beginn des Ukraine-Krieges bis Mitte des Jahres 2022 hat es laut einer Microsoft-Erhebung russische Netzwerkangriffe auf die Ukraine sowie auf 128 Organisationen weltweit gegeben. Im Fokus standen Regierungen – insbesondere von NATO-Mitgliedern –, sowie Think Tanks, humanitäre Organisationen, IT-Unternehmen und KRITIS-Anbieter.

Mit den folgenden 7 Empfehlungen minimieren Unternehmen und Behörden kritischer Dienste ihre IT-Risiken und wappnen sich so gegen die steigende Zahl an Sicherheitsvorfällen:

1. Absicherung des Zugriffs auf Ressourcen

Der Fernzugriff ist oft der einfachste Weg für Angreifer, in ein Netzwerk einzudringen. Deshalb gilt es, Infrastrukturen durch Endpoint-Security (sichere Remote-Verbindungen), eine gute Passworthygiene und Netzwerk-Firewalls abzusichern. Zudem sollten Zugriffsrechte stets an die Position des jeweiligen Benutzers angepasst sein und alle Mitarbeitenden nur so viele Rechte erhalten, wie sie für ihren Aufgabenbereich auch tatsächlich benötigen. Der Einsatz von Multi-Faktor-Authentifizierungen stellt für Angreifer zudem eine zusätzliche Sicherheitshürde dar. Dies sind wichtige Bestandteile des Zero-Trust-Prinzips, das besagt, dass Unternehmen keinen internen oder externen Netzverkehr automatisch als vertrauenswürdig annehmen sollten. Stattdessen muss jede Zugriffsanfrage streng überprüft und autorisiert werden, unabhängig davon, ob sie von innerhalb oder außerhalb des Netzwerks kommt.

2. Transparente Inventarisierung aller Netzwerk-Ressourcen

Es hat sich bewährt, Netzwerkstrukturen abzubilden, alle daran angeschlossenen Geräte zu ermitteln und zu wissen, wo Netzwerke miteinander sowie mit dem Internet und der Cloud verbunden sind. Sind nicht alle Geräte im Netzwerk sichtbar, ist es unmöglich, das Netzwerk zu schützen oder zu segmentieren. Indem Sicherheitsteams das Inventar aller Netzwerk-Ressourcen konstant pflegen und diese überwachen, erhalten sie einen genauen Einblick in ihre Geräte, Verbindungen, Kommunikation und Protokolle.

3. Integration von IT- und OT-Netzwerken

Die Kombination beider Systeme kann die Ausfallsicherheit erhöhen und die blinden Flecken und Sicherheitsrisiken im Umfeld hochgradig vernetzter industrieller Steuerungssysteme verringern. Den Grundstein dafür legen ein konsolidiertes Sicherheitskonzept, das die IT- und OT-Sicherheitsinfrastruktur erfasst, sowie eine enge Kommunikation zwischen den verantwortlichen Fachleuten.

4. Betrieb eines Security Operations Centers

Ein Security Operations Center (SOC), auch als Cyber Defense Center (CDC) bezeichnet, versetzt KRITIS-Betreiber in die Lage, ein durchgängiges, integriertes Sicherheitskonzept für das Monitoring ihrer IT- und OT-Infrastruktur zu implementieren. Ein SOC kann auch im As-a-Service-Modell von einem Dienstleister bezogen werden. Eine solche Überwachungsleitstelle umfasst Technologien, Prozesse und Experten, die für die Analyse und Aufrechterhaltung der Cyber-, Daten- und Informationssicherheit eines Unternehmens verantwortlich sind. Im SOC betrachten Security-Analysten Echtzeit-Log-Daten aus Netzwerken, Servern, Endpoints und anderen digitalen Ressourcen des Unternehmens und nutzen intelligente, KI-basierte Automatismen zur Auswertung und Ermittlung von Anomalien. Die Experten im SOC ermitteln aus der Datensammlung potenzielle Bedrohungen rund um die Uhr, priorisieren und melden etwaige Vorfälle und Anomalien an die Entscheidungsträger im Unternehmen oder an sogenannte Incident-Response-Teams, sozusagen das „IT-Notfallkommando“.

5. Regelmäßige Sicherheitsschulungen

Menschliche Fehler gehören nach wie vor zu den größten IT-Sicherheitslücken. Phishing per E-Mail oder Telefon gehört zu den Hauptangriffsvektoren von Cybercrime. Daher sollten Sicherheitsbeauftragte – insbesondere im Bereich kritischer Infrastrukturen – durch Schulungen und Tests die Sensibilität der Mitarbeitenden für gängige Angriffe und Social-Engineering-Taktiken von Cyber-Kriminellen stärken.

6. Wasserdichtes Backup

Ist ein Unternehmen von Ransomware befallen, können Verantwortliche mithilfe vorliegender Backups Folgeschäden oftmals umgehen. Eine regelmäßige, sogar tägliche Datensicherung stärkt die Widerstandsfähigkeit und den Betriebserhalt im Falle eines Angriffs. Dabei empfiehlt sich die bekannte 3-2-1-Strategie. Sie gewährleistet eine zuverlässige Wiederherstellung von Daten und stellt sicher, dass Sicherungskopien verfügbar sind, wenn sie benötigt werden. Das Konzept besteht darin, dass drei Kopien der Daten erstellt werden, die auf zwei verschiedenen Speichermedien gespeichert werden, wobei davon eine Kopie an einem externen Standort aufbewahrt wird. Zudem sollten Unternehmen über einen Notfallplan auf Papier verfügen und regelmäßig Übungen durchführen, um Schwachstellen vorab zu verifizieren und Mitarbeitende auf mögliche Sicherheitsvorfälle vorzubereiten.

7. Zuverlässige Sicherheitstechnologien nutzen

Eine robuste Cyber-Resilienz ist für KRITIS-Betreiber und deren Zulieferer heutzutage nicht nur unumgänglich, sondern auch gesetzlich vorgeschrieben. KRITIS-Unternehmen sind aufgefordert, bestimmte Sicherheitskriterien zu erfüllen und entsprechende Technologien einzusetzen. Dazu zählen die Anforderungen der EU-Datenschutzgrundverordnung sowie des BSI-Gesetzes. Demzufolge müssen KRITIS-Betreiber Sicherheitsvorkehrungen nachweisen, um Störungen in der Verfügbarkeit zu vermeiden, aber auch, um die Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen sicherzustellen.

Der Einsatz von Sicherheitstechnologien erleichtert die Prüfung kritischer Komponenten durch das BSI. Hierbei gilt es zu verhindern, dass sensible Informationen in die Hände krimineller Akteure geraten.

Sicher trotz Scheitern: Die Frage ist nicht mehr „ob“, sondern „wann“

Es reicht nicht mehr aus, nur die Sicherheitsschilde hochzustellen. Security-Experten müssen sich der Realität stellen und akzeptieren, dass nicht mehr sämtliche Gefahren abgewehrt werden können. Vielmehr geht es darum, Angriffe frühzeitig zu erkennen und sicher zu managen. Im Mittelpunkt dieser Strategie des „Sicher trotz Scheiterns“ stehen zwei Fragen:

  • Was tun wir im Falle eines erfolgreichen Angriffs?
  • Wie kommen wir schnellstmöglich zu einem normalen Arbeitsalltag zurück?

Es gilt zu gewährleisten, dass das Unternehmen kompetent genug aufgestellt ist, adäquat auf einen Sicherheitsvorfall zu reagieren und Maßnahmen einzuleiten. Dazu bedarf es neben einem umfassenden Cyber-Resilienz-Konzept auch einen klaren Notfallplan, der neben einer umfassenden Dokumentation bezüglich Backups, Netzwerken und der IT-Infrastruktur eines Unternehmens auch ein realistisches Krisen- und Kommunikationsmanagement umfasst.

Generell sollte Cybersicherheit nicht nur Aufgabe von Security- und IT-Abteilungen sein, sondern Priorität auf oberster Führungsebene einnehmen und Teil der Unternehmensstrategie werden. Nur so lassen sich die Risiken eines möglichen Angriffs deutlich verringern und schlussendlich negative Auswirkungen auf unser gesamtes gesellschaftliches Leben abwenden.