Kritische Infrastrukturen, welche die Lebensmittel-, Wasser- oder Stromversorgung oder etwa auch die medizinische Versorgung sicherstellen, sind infolge der steigenden Vernetzung und dem inzwischen massiven Einsatz von Informationstechnik besonders anfällig für Cyberattacken. Zugleich können Angriffe besonders erhebliche Störungen wie Versorgungsengpässe hervorrufen.[1] Im Jahr 2020 verzeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehrere Vorfälle in den Sektoren Energie und Wasser, die auf Störungen in den Steuerungskomponenten zurückzuführen waren. Insbesondere Schadprogramme und Manipulationen durch Unbefugte stellen eine nicht zu unterschätzende Gefahr für derartig existenzielle Versorgungsdienstleister dar.
Florida: Hacker manipulieren Natriumhydroxidgehalt in Wasseraufbereitungsanlage
In einer Wasseraufbereitungsanlage in Oldsmar im US-amerikanischen Bundesstaat Florida kam es Anfang Februar zum Ernstfall: Unbekannte hatten sich Zugriff auf das Prozessleitystem der Anlage verschafft und den Anteil von Natriumhydroxid im Wasser mehr als verhundertfacht. Der Stoff wird genutzt, um Metalle aus dem Trinkwasser zu entfernen und den Säuregehalt zu kontrollieren.[2] In zu hohen Konzentrationen kann die Einnahme zu schweren Verätzungen führen und lebensbedrohlich sein.[3]
Offenbar wurde mittels TeamViewer auf das Zielsystem zugegriffen.[4] Die Mitarbeiter der Anlage konnten schnell reagieren, auch weil unmittelbar erkannt wurde, dass sich der Mauszeiger bewegte. Genauere Informationen dazu, wie der oder die Hacker sich in das operative System (Operational Technology Network, OT) der Anlage, das anders als das IT-System nicht an das Internet angeschlossen sei, eingeschleust haben könnten, sind bisher nicht verfügbar. Der Bezirkssheriff Bon Gualtieri betonte, dass verschiedene Komponenten bei Kritischen Infrastrukturen nicht vernetzt sein sollten sowie dass auch andere Organisationen ihre Sicherheitsprotokolle auf den Prüfstand stellen sollten und gegebenenfalls Anpassungen und Updates vornehmen sollten: „If you’re connected, you’re vulnerable“. Wer hinter dem Angriff steckt, ist bislang unklar.
Cyberattacke auf US-Regierung – Aufarbeitung wird „Monate“ dauern
Bereits im Dezember 2020 waren Angriffe auf US-amerikanische Ministerien und Behörden bekannt geworden, auch NASA und die US-Luftfahrtbehörde FAA waren betroffen.[5] Unter anderem wurden Daten und Software der IT-Sicherheitsfirma FireEye gestohlen, an der der US-Auslandsgeheimdienst CIA direkt beteiligt ist.[6] Schon früh wurden Vermutungen geäußert, dass russische Geheimdienste hinter den Angriffen stecken könnten. Kevin Mandia, der CEO von FireEye, ist der Ansicht, dass der Vorfall „die Attacke eines Staates mit höchsten Angriffsfähigkeiten“ und sich von Zehntausenden Vorfällen unterscheide, auf die das Unternehmen über die Jahre reagiert habe. In einem Blogbeitrag auf der Website des Unternehmens erklärt Mandia, dass die Angreifer ihre erstklassigen Fähigkeiten gezielt auf FireEye zugeschnitten und eine neuartige Kombination aus Techniken einsetzt haben, die weder FireEye noch seine Partner in der Vergangenheit beobachtet hätten.[7] Als wichtigen Aspekt der Aufarbeitung des Vorfalls wird unter anderem das Teilen der Erkenntnisse und Gegenmaßnahmen mit „Kollegen in der Security Community“, um einerseits das Bewusstsein für derartige Attacken zu schärfen und andererseits die Anpassung von Sicherheitsmaßnahmen anzuregen und zu ermöglichen. Auf GitHub veröffentlichte das Unternehmen über 300 Ratschläge für konkrete Maßnahmen, um Sicherheitslücken zu schließen.[8]
Einfallstor soll in den jüngsten Fällen die verbreitet genutzte Wartungssoftware der Softwarefirma SolarWinds Orion gewesen sein.[9] Anne Neuberger vom Nationalen Sicherheitsrat erklärte, man sei noch immer „im Anfangsstadium, das ganze Ausmaß zu verstehen“ und rechnet damit, dass die Aufarbeitung noch „einige Monate“ in Anspruch nehmen wird.[10] Zudem wurden Gegenmaßnahmen angekündigt, bei denen diverse bisherige Cyberangriffe auf die USA ganzheitlich betrachtet werden sollen. Der Verdacht, dass die Angreifer bei zahlreichen Fällen mindestens Verbindungen nach Russland aufweisen, besteht weiterhin. Im Rahmen einer Anhörung im US-Senat wird derweil über mögliche Erweiterungen der Überwachungsbefugnisse diskutiert. Die Angreifer sollen gesetzliche Beschränkungen genutzt haben, um nicht entdeckt zu werden.[11]
BBK veröffentlicht Handlungsempfehlungen für KRITIS-Betreiber vor dem Hintergrund der Pandemie
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) hat Anfang Februar einen Leitfaden mit konkreten Handlungsempfehlungen veröffentlicht, die vor allem Betreiber Kritischer Infrastrukturen bei der Bewältigung der pandemiebedingt besonderen Herausforderungen unterstützen sollen.[12] Unter anderem wird auf die veränderte Cybersicherheitslage hingewiesen: Nicht nur stelle das aktuell gesteigerte Informationsbedürfnis ein mögliches Einfallstor für Schadprogramme dar, auch die schnelle und umfassende Verlagerung zahlreicher Tätigkeiten ins Homeoffice führe zu Sicherheitslücken, schon durch die vergrößerte Angriffsfläche infolge der zunehmenden Nutzung privater Endgeräte und offener Leitungen, die teilweise weniger gut gesichert seien als die betriebliche Infrastruktur.[13] Zu diesem Schluss kam auch schon das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht zur IT-Sicherheit in Deutschland 2020.[14] Zusätzlich verschärft die Pandemie den „Faktor Mensch“ als Schwachstelle für die IT-Sicherheit, da Ängste (aber auch Hilfsbereitschaft) in dieser außergewöhnlichen Situation noch leichter ausgenutzt werden. Hier ist ein merklicher Anstieg der bekannten und ohnehin bestehenden Risiken zu beobachten.[15]
Fazit
Die Angriffe auf Kritische Infrastrukturen nehmen zu und stellen eine Herausforderung für die zunehmend vernetzte und digitalisierte Gesellschaft dar. Unabhängig von internationaler (Industrie-)Spionage können Cybersicherheitsvorfälle bei Kritischen Infrastrukturen auch ganz reale, spürbare Auswirkungen haben: Eine Unterbrechung oder schlimmstenfalls ein länger andauernder Zusammenbruch der Trinkwasserversorgung, Stromausfälle, aber auch die Erpressung von Lösegeldern durch Ransomware, massive Datenleaks oder eine Vielzahl weiterer Szenarien.
Eine nachhaltige Strategie zur Vermeidung, Erkennung und zum Umgang mit Angriffen auf kritische Systeme ist eine zentrale Aufgabe – nicht nur, aber in besonderem Maße für KRITIS-Betreiber.
[1] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI) (Hrsg.), Die Lage der IT-Sicherheit in Deutschland 2020, Stand: September 2020, S. 52 ff., dort auch zum Folgenden.
[2] Vgl. Tremmel, Hacker manipulieren Wasser in Aufbereitungsanlage, Golem.de, 09.02.2021.
[3] Vgl. BASF, Medizinische Leitlinien bei akuten Einwirkungen von chemischen Substanzen: Natriumhydroxid (NaOH).
[4] Vgl. Greenberg, A Hacker Tried to Poison a Florida City’s Water Supply, Officials Say, Wired.com, 08.02.2021, dort auch zum Folgenden.
[5] Vgl. Grüner, Nasa und Luftfahrtbehörde wohl von Solarwinds-Hack betroffen, Golem.de, 24.02.2021.
[6] Vgl. Sokolov, Hacker plündern FireEye-Arsenal, Heise Online, 09.12.2020, dort auch zum Folgenden.
[7] Vgl. Mandia, FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community, FireEye.com, 08.12.2020, dort auch zum Folgenden.
[8] Siehe https://github.com/fireeye/red_team_tool_countermeasures.
[9] Vgl. Cyberangriffe gegen US-Ministerien – Moskau unter Verdacht, Heise Online, 14.12.2020; Aufarbeitung von Cyberangriffen auf US-Regierungseinrichtungen noch am Anfang, Heise Online, 18.02.2021.
[10] Vgl. USA planen Antwort auf SolarWinds-Hackerangriff, Spiegel Online, 17.02.2021, dort auch zum Folgenden.
[11] Vgl. Holland, SolarWinds-Attacke: Ausmaß noch unklar, US-Abgeordnete diskutieren Konsequenzen, Heise Online, 24.02.2021.
[12] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Ausbreitung des neuen Coronavirus (Covid-19) SARS-CoV-2 – Handlungsempfehlungen für Unternehmen, insbesondere für Betreiber Kritischer Infrastrukturen, Stand: 01.02.2021.
[13] BBK, Handlungsempfehlungen vom 01.02.2021 (Vgl. Fn. 12), S. 4.
[14] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2020, Stand: September 2020, S. 24f.
[15] Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2020 (Vgl. Fn. 14), S. 33ff.
Sämtliche Links wurden zuletzt am 24.02.2021 aufgerufen.