Klassische Ansatzpunkte für das Hacking Kritischer Infrastrukturen
In Zeiten geopolitischer Unsicherheit steht die IT von Betreibern Kritischer Infrastrukturen unter besonderem Fokus.
Hacker verbessern ihre Attacken auf deren Betriebstechnik sowie auf Netzwerke und Systeme. Wer sich dagegen schützen will, darf sich aber nicht nur auf die Geräte für Steuerung und Kontrolle konzentrieren. Auch klassische IT-Endpunkte sind Teil der Angriffsfläche, die es zu schützen gilt. Abhilfe kann nur eine gestaffelte Abwehr bieten – auch mit einem erweiterten Blick auf einen erweiterten Katalog von Endpunkten. Ein Beitrag von Jörg von der Heydt, Regional Director DACH bei Bitdefender.
Die Kontrolle technischer Betriebsabläufe ist zentral für den Versorgungsauftrag Kritischer Infrastrukturen. Ein Angriff würde auf die Betriebstechnik (Operational Technology – OT), industrielle Kontrollsysteme (ICS) sowie die Supervisory-Control-and-Data-Acquisition- (SCADA) Hardware zielen. Eine solche Vorgehensweise verlangt von Hackern eine besondere Kenntnis dieser Systeme. Viele Administratoren in diesen Betrieben wiegen sich daher in einer vermeintlichen Sicherheit, weil sie glauben, dies sei weniger verbreitet oder Geräte seien vom Internet isoliert und damit geschützt. Doch dieser Schein trügt.
Gefahrenlage mit Unbekannten und Bekannten
Experten der NSA und des FBI warnen vor Attacken, die SCADA- und ICS-Systeme direkt angreifen. Die Entwickler und Betreiber von Advanced Persistent Threats (APT) erarbeiten sich mit zum Teil staatlicher Hilfe neue Cyberwar-Kompetenzen. Hintertüren in der klassischen IT können hier den Hackern den Weg eröffnen. Denn auch jenseits von OT und dem Internet of Things (IoT) gibt es lohnende und erreichbare Angriffsziele, die Betriebsabläufe unterbrechen können. Seit August 2021 beobachten Sicherheitsexperten komplexe Attacken auf die herkömmliche IT zur Industriespionage der Telekommunikationsindustrie im Mittleren Osten. Hierzulande wäre dies ein Angriff auf einen laut NIS 2.0 wichtigen KRITIS-Sektor. Höchstwahrscheinlicher Urheber der Kampagne ist die Advanced-Persistent-Threat (APT)-Gruppe Backdoor Diplomacy mit chinesischem Hintergrund. Am Beginn der Attacke stand eine unscheinbare Phishing-Mail – in der Folge nutzten die Hacker mit ProxyShell ein Gesamtpaket aus Malware-Funktionen gegen nicht gepatchte Microsoft-Exchange-Server. Sie umgingen Verfahren zur Authentifikation, eskalierten Privilegien digitaler gekaperter Identitäten und führten Remote Code aus. Das finale Ziel war die Datenexfiltration zu Spionagezwecken.
Hacker mit verschiedenen Motivationen agieren unterschiedlich. Von staatlichen Hintermännern gestartete Angriffe wollen so viel Schaden wie möglich erzeugen oder suchen nach Informationen. Interessanterweise steigt die Zahl von Angriffen auf intellektuelles Eigentum weltweit, seit die chinesische Regierung den Made-in-China-2025-Plan für Entwicklung und Fortschritte in Schlüsselindustrien angekündigt hat. Für finanziell motivierte Täter haben KRITIS-Betreiber zudem ein hohes Lösegeldpotenzial: Krankenhäuser stehen unter hohem Druck, Pflege und Betrieb aufrechtzuerhalten und Menschenleben zu schützen. Dennoch lassen die Hacker Vorsicht walten: Seit dem Meilenstein der Attacke auf Colonial Pipeline greifen sie zurzeit prominenten Zielen augenscheinlich nicht an.
Wie sicher die Lage in Deutschland ist, lässt sich kaum sagen. Der Cyber-Kollateralschaden in Deutschland im Zuge des beginnenden Ukraine-Krieges im Februar 2022 sollte die Augen geöffnet haben: Eine Attacke auf den US-Satellitenbetreiber Viasat hatte damals dazu geführt, dass als Folge mindestens 3.000 Windräder in Deutschland für eine Fernwartung nicht mehr erreichbar waren. Der Fall zeigte, welchen Schaden Hacker aus Versehen verursachen können, indem sie IoT-Hardware wie Modems angreifen. Die Stromproduktion konnten sie nicht unterbrechen: Die Windräder waren aber ja auch nicht das Ziel.
KRITIS-IT-Infrastrukturen sind groß, komplex und schwer zu verwalten. Schäden, die nicht „nur“ Kundendaten als Beuteziel haben (aktuell T-Mobile in den USA) sind nur eine Frage der Zeit. Zahlreiche bekannte Übergriffe auf das Gesundheitswesen oder auf Kommunen wie Potsdam zeigen, dass Attacken den Betrieb länger unterbrechen können. Viele Verantwortliche haben ein Bewusstsein für diese Gefahren. Ihre Abwehr leidet aber unter dem Mangel an Zeit, Geld und Personal.
Gestaffelte Abwehr gegen gestaffelte Angriffe
Die Cyber-Abwehr muss sich in jedem Fall neu aufstellen. Das wird nicht ganz einfach. OT, SCADA und ICS erfordern sehr spezielle Schutzvorkehrungen. Solche Angriffe mögen seltener sein und bleiben, weil auch die Angreifer spezielle Kenntnisse mit sich bringen müssen. Im Einzelfall können sie jedoch verheerend sein.
Ebenso wichtig ist der Schutz der IT. Ein einfaches Spear Phishing kann einem SCADA-Administrator und seinen Rechten gelten. Solche Risiken frühzeitig zu erkennen und nachhaltig abzuwehren, ist unverzichtbar. Prävention, Erkennung und Abwehr verkürzen die Verweilzeit der Angreifer. Das ist zentral, denn Angriffe auf die KRITIS-IT sind selten opportunistische, sondern vielmehr geplante Feldzüge, die vor allem Zeit brauchen. Eine gestaffelte IT-Abwehrarchitektur oder ein Patch Management verkleinern die Angriffsfläche. Auch automatisierte Präventionsmechanismen helfen, Sicherheitsvorfälle zu vermeiden. Viele erpresserische Attacken starten über einfach Phishing-Mails, die sich bei hybriden Attacken zu weitreichenden Angriffen auswachsen können. Gerade wegen komplexer und langfristiger Charakteristika können die IT-Administrationen nicht auf Hilfe von außen durch z. B. externe Sicherheitsexperten (Managed Detection and Response Services eines SOC Teams) verzichten.
Die Angriffsszenarien sind unterschiedlich, KRITIS-IT ist komplex, die Hacker kreativ. Dennoch führt kein Weg daran vorbei, das Problem in den Griff zu bekommen. Das anstehende IT-Sicherheitsgesetz 3.0 oder die NIS-2-Vorgaben erhöhen den Druck und erlegen einem erweitertem Kreis von Unternehmen verschärfte Maßnahmen auf. Mehr Pflichten, Kontrollen und Strafen helfen jedoch nicht dabei, Lösungen zu finden – und zusätzliche Werkzeuge oder Finanzmittel werden nicht bereitgestellt. Am Ende geht es nicht nur darum, gesetzliche Vorgaben zu erfüllen, sondern die vorhandene Abwehr zu verbessern und zu stärken, um schwerwiegende und vor allem weitreichende Schäden zu verhindern.