TAS: Sichere Übertragungstechnik für Kritische Infrastrukturen (KRITIS)

Stephan Holzem, Geschäftsführer TAS Telefonbau Arthur Schwabe

© TAS

GIT SICHERHEIT: Herr Holzem, Herr Kaumanns, wie wichtig umfassende Sicherheitskonzepte für unsere Kritischen Infrastrukturen sind, steckt schon in dieser Bezeichnung: Sie sind eben „kritisch“ – sprich, sie sind von prioritärer Wichtigkeit für uns alle. Ohne Strom, Wasser und Verkehr läuft nichts – und es gibt Interdependenzen und Dominoeffekte wenn auch nur eine Einrichtung größere Probleme macht. Wie hoch schätzen Sie die Gefahr von Ihrer Warte aus gesehen eigentlich ein? 

Stephan Holzem: Kritische Infrastrukturen sind auf unterschiedliche Art und Weise bedroht, durch Naturkatastrophen, technisches Versagen oder durch Gefahren, die der Mensch verursacht. Zu letzterem, den sogenannten anthropogenen Gefahren, gehören z. B. Unfälle, Cyberangriffe und Sabotage. Die Gefahren sind also vielfältig. Die zunehmende Digitalisierung verstärkt darüber hinaus die Interdependenzen der Kritischen Infrastruktur untereinander wie beispielsweise bei den intelligenten Stromnetzen, den Smart Grids. Hier sind neue Energietechnologien mit der Informationstechnik vernetzt. Ein Ausfall in einem Sektor kann zu Ausfällen in anderen Sektoren führen bis hin zum Kaskadeneffekt. Die Gefahren sind hoch und die Betreiber von Anlagen der Kritischen Infrastruktur müssen im Rahmen des Risiko- und Krisenmanagements alle Gefahrenarten berücksichtigen. Dies bezeichnet man als All-Gefahren-Ansatz. Für den Schutz der Kritischen Infrastruktur bedeutet das: Ganzheitlich denken im Sinne von Cyber-Sicherheit, physischen Schutz z. B. durch Einbruch- und Überfallmeldeanlagen und den Einsatz sicherer Produkte.

Zu Ihren Themen zählt in diesem ­Zusammenhang vor allem die Übertragungstechnik – hier reden wir etwa von der sicheren Übertragung von Alarmmeldungen über Netzwerke, wie sie die DIN EN 50136 regelt. Ist das richtig? 

Stephan Holzem: Es muss gewährleistet sein, dass Einbruch- und Brandmeldeanlagen sowie Zutrittskontrollsysteme ihre Alarmmeldungen zu den Alarmempfangszentralen, z. B. zu einer Leitstelle, sicher übertragen können. Sie müssen zudem resilient sein gegen Cyberangriffe, technische Störungen und Netzwerk-Überlastungen. Die Anforderungen dafür regelt die DIN EN 50136. Das Ziel ist eine sichere und hochverfügbare Übertragungsstrecke aufzubauen, Übertragungszeiten gemäß den geltenden Normen und Richtlinien einzuhalten und die Übertragungswege zu überwachen. Die Normenreihe der EN 50136 regelt dabei sowohl die Übertragung der Alarmmeldungen zu den Leitstellen als auch den sicheren Remote Access, also sämtliche weitere Verbindungen zu sicherheitstechnischen Gewerken, die für „Remote Services“ verwendet werden.
 

Daniel Kaumanns, Leiter Produktmanagement TAS Telefonbau Arthur Schwabe

© TAS

Auf die Sicherheit von Routern und Netzen kommt es hier an. Welche ­Störungen sind es vor allem, gegen die sie resilient sein müssen? 

Daniel Kaumanns: Potenzielle Risiken können ein Ausfall der Spannungsversorgung oder ein Blitzeinschlag sein. Ein erhöhtes Risiko ergibt sich zudem aus der signifikant gestiegenen Anzahl an Cyberangriffen. Eine Sabotage auf die Stromversorgung ist sehr einfach möglich. Fallen Übertragungswege oder sogar komplette Übertragungsnetze aus, können Alarme nicht mehr übertragen werden. Das zwingt Hersteller von Netzwerkkomponenten zum Handeln! Als Hersteller von Übertragungseinrichtungen, welche die Schnittstelle zum öffentlichen Netz darstellen, ist es unser Anspruch, den Schutz der sicherheitstechnischen Gewerke sowie eine sichere Übertragung von Alarmmeldungen und aller weiteren Verbindungen zu den sicherheitstechnischen Gewerken zu gewährleisten. 

Geben Sie uns ein paar Beispiele?  

Daniel Kaumanns: Die Richtlinien und Normen geben uns klare Vorgaben zur unterbrechungsfreien Stromversorgung, um vor Stromausfällen zu schützen. Dazu gehören redundante Übertragungswege, z. B. ein leitungsgebundener IP-Übertragungsweg (DSL) und ein funkbasierter IP-Übertragungsweg (Mobilfunk). Sie gewährleisten nicht nur den Schutz vor einem Ausfall des Übertragungsnetzes, sondern verhindern auch das Blockieren der Meldungsübertragung durch DoS-Angriffe. Angriffe, die auf weitverbreitete Betriebssysteme ausgelegt sind, laufen bei unseren Übertragungseinrichtungen ins Leere, durch das eigens entwickelte und gehärtete Betriebssystem. Durch Security by Design und Security by Default werden die Angriffsmöglichkeiten reduziert. Sicherheit fängt schon bei der Übertragungstechnik an.

Welche Mindeststandards gibt es ­diesbezüglich bei Kritischen ­Infrastrukturen?  

Stephan Holzem: Die Übertragungstechnik muss gegen Spannungseinbrüche und Stromausfälle abgesichert sein. Die unterbrechungsfreie Stromversorgung wird hierbei mittels Akkumulatoren gewährleistet. Darüber hinaus sollte die Energieversorgungseinheit der Übertragungseinrichtung kontinuierlich überwacht werden, sodass Störungen an eine ständig besetzte Stelle gemeldet werden. Eine solche Energieversorgungseinheit sollte den Anforderungen der DIN EN 50131 Grad 4 entsprechen. Neben Spannungseinbrüchen gibt es auch Überspannungen, dagegen ist ein zusätzlicher Schutz sinnvoll. Die redundanten Übertragungswege müssen zumindest objektseitig vollständig notstromversorgt sein und über eine Ende-zu-Ende-Überwachung zur Alarmempfangszentrale verfügen. Zudem muss die Übertragungstechnik adäquat gegen mechanische Beschädigung oder Sabotage geschützt werden, bspw. durch die Installation im Überwachungsbereich einer Einbruchmeldeanlage, durch ein robustes Gehäuse, Deckelkontakt, Durchbohrungsschutz oder Abreißschutz. Höchste Priorität hat die Cybersicherheit. Für die Alarmübertragung sind ausschließlich speziell dafür vorgesehene Protokolle wie zum Beispiel VdS SecurIP zu verwenden, die dem aktuellen Stand der Technik entsprechen. Und das eingesetzte Gerät sollte nach den geltenden Cyber-Sicherheitsanforderungen (z. B. VdS 3836) zertifiziert sein.

Ein besonderes Sicherheitsrisiko entsteht beim Fernzugriff – Stichwort Remote-Access und Remote-Services. Hier gibt es die TS 50136-10. Könnten Sie dazu etwas Näheres sagen? 

Daniel Kaumanns: In der Vergangenheit wurden Remote Access und Remote Services häufig nicht in die Risikoanalyse einbezogen. Standardrouter mit offenen Ports wurden direkt mit dem Internet verbunden, um Fernzugriffe zu ermöglichen. Diese Art des Fernzugriffs stellt jedoch ein erhebliches Sicherheitsrisiko dar. Diese Problemstellung haben die Branchenverbände und Normungsgremien erkannt und 2021 entsprechende Normen und technische Spezifikationen veröffentlicht. Die Norm EN 50710 beschreibt die Anforderungen des Remote Services und die technische Spezifikation TS 50136-10 beschreibt die Anforderungen des Remote Access. Durch diese Maßnahmen wurde erstmalig eine einheitliche Struktur erarbeitet und für die Branche rechtssicher definiert. Welchen Stellenwert diese Normierung hat, sieht man schon allein daran, dass die TS 50136-10 derzeit bereits überarbeitet wird und in eine Norm umgewandelt werden soll. Kernaussagen dieser Normung sind die Anforderungen an das Verbindungsmanagement aller Verbindungen, die Remote-User-Authentifizierung, Datenintegrität, Vertraulichkeit, Authentifikation der Endgeräte, Authentifizierung von automatisierten Systemen sowie das Logging aller Zugriffe. Zudem werden klare Verantwortlichkeiten mit dem jeweiligen Remote Access Infrastructure Service Provider definiert. Dieser verantwortet genau die genannten Anforderungen an die gesamte Remote Access Infrastructure. Ohne Berücksichtigung dieser Vorgaben ist ein Fernzugriff nicht mehr vertretbar und führt zwangsläufig zu einem Cyberrisiko.

Wie erkennt man Produkte, die den ­erforderlichen ­Sicherheitsstandards entsprechen? Kürzlich wurde ja der Cyber Resilience Act, eine EU-Verordnung, ­veröffentlicht? 

Stephan Holzem: Der Cyber Resilience Act (CRA) beschreibt erstmals branchenübergreifend die Anforderungen an die Cybersicherheit vernetzbarer Produkte. Dies umfasst sowohl die Hardware als auch die Software. Hersteller müssen sicherstellen, dass ihre Produkte den neuen Standards entsprechen. Ohne die Anforderungen, die ab Dezember 2027 gelten, dürfen die Produkte im EU-Binnenmarkt nicht mehr verkauft werden, weder die Hersteller selbst noch Händler und Importeure. Kurz gesagt, legt der CRA fest, dass die Informationssicherheit eines Produkts über dessen gesamten Lebenszyklus hinweg gewährleistet sein muss, durch Prinzipien wie „Security by Design“ und „Security by Default“ sowie die Sicherstellung der Vertraulichkeit und Integrität der verarbeiteten Daten. Hersteller sind verpflichtet, entdeckte Schwachstellen zu melden und durch Sicherheitsupdates zu beheben. Zudem muss in einer Software Bill of Materials (SBOM) dokumentiert werden, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. 

Viel ist von Komponenten etwa von chinesischen ­Herstellern die Rede, die hinsichtlich ihrer Sicherheit als problematisch angesehen werden. Gerade bei der Übertragungstechnik sollte man ja wohl keine Luft ­reinlassen...? 

Stephan Holzem: Insbesondere chinesische Firmen geraten zunehmend unter Druck. In den USA sind bereits einige chinesische Produkte für den Einsatz in kritischen Bereichen gesperrt. Das Risiko für den Einsatz fraglicher Produkte muss im Rahmen des Sicherheitskonzeptes zumindest bewertet werden. Denn: Sowohl über die eingesetzte Hardware als auch über die Software können Hintertüren in die Produkte eingeschleust werden. Die gesamte Vernetzung der sicherheitstechnischen Anlagen ist durch eine fragliche Komponente gefährdet, wenn über diese eine Backdoor geschaffen wird, über die Dritte Zugriff erlangen und funktionsrelevante Komponenten unerkannt außer Betrieb nehmen können. Dabei ist es zum Teil schwierig nachzuweisen, ob das Gerät „nach Hause telefoniert“. Dies erfordert ein kontinuierliches Monitoring aller Komponenten. Systeme müssen auf aktuellem Software-Stand gehalten werden. Es müssen Verfahren etabliert und dokumentiert werden, die Sicherheitslücken erkennen. Auf Sicherheitslücken muss teils innerhalb weniger Stunden reagiert werden. Hier gibt es abhängig vom Risiko erhebliche Anforderungen durch NIS2. 

Sicherheit und Herkunft müssen ja ­entlang der gesamten Lieferkette ­transparent sein...? 

Stephan Holzem: Ja, denn ist nur eine Komponente unsicher und schafft ein Einfallstor für Angriffe, ist die Gesamtsicherheit nicht mehr gewährleistet. Einheitliche Standards in der EU sollen die Zuverlässigkeit der verwendeten Komponenten gewährleisten. Labels wie „Made in Germany bzw. Europe“ erhalten damit zunehmend eine höhere Bedeutung.