KRITIS-Q&A mit Heiko Viehweger
Über Fehler und Schwierigkeiten bei Sicherheitsinstallationen an Kritischen Infrastrukturen.
Viele Kritische Infrastrukturen sind komplex aufgebaut und es ist schwierig, die eigentlichen Schwachstellen zu erkennen. Das ist allerdings essenziell, um ein funktionales Sicherheitssystem zu installieren. Auch die Kosten und Wartung sind wichtige Punkte. Lisa Holland hat bei Heiko Viehweger, dem Experten für Perimeterschutz bei Sorhea, genauer nachgefragt.
GIT SICHERHEIT: Was sehen Sie als größte Schwierigkeit bei Installationen an Kritischen Infrastrukturen?
Heiko Viehweger: Eine der größten Schwierigkeiten bei der Installation von Sicherheitstechnologien in Kritischen Infrastrukturen ist die Notwendigkeit, Sicherheitsmaßnahmen mit betrieblichen Anforderungen in Einklang zu bringen. Kritische Infrastruktursysteme sind oft so konzipiert, dass sie mit einem hohen Maß an Verfügbarkeit, Zuverlässigkeit und Effizienz arbeiten, und Sicherheitsmaßnahmen können diese Ziele möglicherweise beeinträchtigen. So können beispielsweise Sicherheitskontrollen, die den Zugang einschränken oder zusätzliche Authentifizierungsebenen hinzufügen, Prozesse verlangsamen und zu betrieblichen Ineffizienzen führen.
Außerdem sind kritische Infrastruktursysteme oft komplex und voneinander abhängig, mit vielen verschiedenen Komponenten und Beteiligten. Dies kann es schwierig machen, Schwachstellen zu erkennen und zu beheben sowie Sicherheitsmaßnahmen über mehrere Systeme und Organisationen hinweg zu koordinieren.
Eine weitere Herausforderung sind die Kosten für die Implementierung und Wartung von Sicherheitstechnologien. Kritische Infrastruktursysteme erfordern oft spezialisierte und anspruchsvolle Sicherheitslösungen, und die Kosten für die Implementierung dieser Lösungen für große und komplexe Systeme können geplante Budgets übersteigen. Außerdem muss die Sicherheitstechnologie regelmäßig aktualisiert und gewartet werden, um wirksam zu bleiben, was schwierig und ressourcenintensiv sein kann.
Schließlich sind kritische Infrastruktursysteme oft einer Vielzahl von Bedrohungen und Angriffsvektoren ausgesetzt, die sich nur schwer vorhersagen und abwehren lassen. Angreifer können fortschrittliche Taktiken und Techniken wie Social Engineering oder auch die Objekte längerfristig auskundschaften, um Sicherheitsmaßnahmen zu umgehen und Zugang zu kritischen Systemen zu erhalten. Dies macht es zu einer Herausforderung, sicherzustellen, dass die Sicherheitstechnologie alle möglichen Bedrohungen wirksam abwehrt.
Was sind die größten Fehler, die man in der Absicherung machen kann?
Heiko Viehweger: Bei der Sicherung kritischer Infrastrukturen können mehrere Fehler gemacht werden, wie beispielsweise:
- Fehlende Risikobewertung: Wird keine gründliche Risikobewertung durchgeführt, kann dies zu Sicherheitsmaßnahmen führen, die für die spezifischen Bedrohungen und Schwachstellen des kritischen Infrastruktursystems nicht angemessen oder wirksam sind.
- Übermäßiges Vertrauen in die Technologie: Sicherheitstechnologie ist zwar ein wichtiger Bestandteil der Sicherung Kritischer Infrastrukturen, aber kein Allheilmittel. Ein übermäßiges Vertrauen in die Technologie, ohne angemessene Richtlinien, Verfahren und Personalschulung kann zu einem falschen Sicherheitsgefühl führen und das System anfällig für Angriffe machen.
- Schlechte Zugangskontrolle: Unzureichende Zugangskontrollmaßnahmen, wie z. B. schwache Passwörter, fehlende Multi-Faktor-Authentifizierung und fehlende Überwachungs- und Prüfprotokolle, können Angreifern den Zugang zu wichtigen Systemen erleichtern.
- Unzureichende Personalschulung: Das Sicherheitspersonal und andere Mitarbeiter, die für die Sicherheit Kritischer Infrastrukturen verantwortlich sind, müssen angemessen geschult werden, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Eine unzureichende Schulung kann dazu führen, dass das Personal Sicherheitsbedrohungen nicht erkennt oder nicht weiß, wie es angemessen reagieren soll.
- Versäumnis, der Sicherheit Priorität einzuräumen: In manchen Fällen geben Organisationen den betrieblichen Zielen Vorrang vor der Sicherheit, was zu einem Mangel an Investitionen in Sicherheitstechnologien und -verfahren führt. Dies kann dazu führen, dass Kritische Infrastruktursysteme anfällig für Angriffe sind und die Sicherheit von Menschen und Gemeinden gefährden.
Insgesamt erfordert die Sicherung kritischer Infrastrukturen einen ganzheitlichen Ansatz, der eine Kombination aus Technologie, Richtlinien, Verfahren, Personalschulung und Risikomanagement umfasst. Wird einer dieser Bereiche nicht angemessen behandelt, kann dies zu kritischen Sicherheitslücken führen.
Welche Aspekte der Absicherung sind nicht verhandelbar? Was ist also das Muss in der Perimeter-Absicherung?
Heiko Viehweger: Wenn es um den Schutz kritischer Infrastrukturen geht, gibt es mehrere Aspekte, die nicht verhandelbar sind und Vorrang haben müssen, darunter der Perimeterschutz. Der Perimeterschutz bezieht sich auf die physischen und digitalen Barrieren, die Kritische Infrastrukturen vor unbefugtem Zugriff oder Schäden schützen. Er ist ein wichtiger Sicherheitsaspekt, der implementiert werden muss, um Kritische Infrastruktursysteme vor potenziellen Bedrohungen und Angriffen zu schützen.
Zu den unverzichtbaren Voraussetzungen für den Perimeterschutz, die nicht verhandelbar sind sollten, gehören:
- Physische Barrieren: Physische Barrieren wie Zäune, Tore und Schranken sollten vorhanden sein, um unbefugten Zugang zu kritischen Infrastrukturen zu verhindern.
- Videoüberwachung: An den wichtigsten Stellen des Geländes sollten Videoüberwachungskameras installiert werden, um verdächtige Aktivitäten zu überwachen und aufzuzeichnen.
- Zugangskontrolle: Der Zugang zu Kritischen Infrastrukturen sollte eingeschränkt und kontrolliert werden, wobei geeignete Authentifizierungs- und Autorisierungsmechanismen vorhanden sein sollten.
- Systeme zur Erkennung von Eindringlingen: Es sollten Systeme zur Erkennung von Eindringlingen eingesetzt werden, um unbefugte Eindringversuche zu erkennen und das Sicherheitspersonal zu alarmieren.
- Cybersicherheitsmaßnahmen: Kritische Infrastruktursysteme sind zunehmend mit dem Internet und anderen Netzen verbunden, was sie anfällig für Cyberangriffe macht. Um Kritische Infrastruktursysteme vor Cyber-Bedrohungen zu schützen, sollten strenge Cybersicherheitsmaßnahmen wie Firewalls, Verschlüsselung und regelmäßige Sicherheitsprüfungen eingeführt werden.
Insgesamt ist der Schutz des Perimeters ein kritischer Aspekt des Schutzes kritischer Infrastrukturen, der vorrangig behandelt werden muss.
Welche Themen wurden dabei bislang vernachlässigt?
Heiko Viehweger: Im Bereich der Sicherung Kritischer Infrastrukturen gibt es mehrere Bereiche, die bisher vernachlässigt wurden, darunter:
- Sicherheit der Lieferkette: Viele Kritische Infrastruktursysteme sind auf Komponenten und Software von Drittanbietern angewiesen, was sie anfällig für Angriffe auf die Lieferkette macht. Die Sicherheit der Lieferkette wurde jedoch in vielen Unternehmen vernachlässigt, da nur wenige Sicherheitsmaßnahmen zur Überprüfung von Lieferanten und zur Erkennung potenzieller Bedrohungen vorhanden sind.
- Menschliche Faktoren: Während Technologie und Prozesse für die Sicherung Kritischer Infrastrukturen wichtig sind, werden menschliche Faktoren oft übersehen. Dazu gehören Probleme wie Insider-Bedrohungen, Social-Engineering-Angriffe und die Notwendigkeit einer kontinuierlichen Schulung und Sensibilisierung des Personals.
- Interoperabilität: Kritische Infrastruktursysteme stützen sich oft auf mehrere miteinander verbundene Systeme und Technologien, was die Interoperabilität zu einem wichtigen Thema macht. Viele Einrichtungen haben es jedoch versäumt, sich mit Fragen der Interoperabilität zu befassen, was zu Sicherheitsschwachstellen und potenziellen Systemausfällen führt.
- Widerstandsfähigkeit: Kritische Infrastruktursysteme müssen nicht nur Angriffe abwehren, sondern auch gegen Störungen wie Naturkatastrophen oder Cyberangriffe gewappnet sein. In vielen Einrichtungen fehlen allerdings Ausfallsicherheitsmaßnahmen wie redundante Systeme und Notfallpläne.
- Aufkommende Technologien: Neue und aufkommende Technologien wie 5G-Netzwerke, Cloud Computing und das Internet der Dinge (IoT) werden zunehmend von Kritischen Infrastruktursystemen übernommen. Viele Einrichtungen haben es jedoch versäumt, die Auswirkungen dieser Technologien auf die Sicherheit in vollem Umfang zu berücksichtigen, wodurch sie anfällig für neue und sich entwickelnde Bedrohungen sind.
Diese vernachlässigten Bereiche verdeutlichen die Notwendigkeit eines ganzheitlichen und proaktiven Ansatzes zur Sicherung kritischer Infrastrukturen, der über herkömmliche Sicherheitsmaßnahmen hinausgeht und neue Bedrohungen und Trends berücksichtigt.