Was passiert, wenn kein Strom mehr fließt? Lebensmittel und überlebenswichtige Medikamente können nicht mehr gekühlt werden, lebenserhaltende Geräte in Krankenhäusern fallen aus, das Licht erlischt und die Straßen versinken im Chaos. Ein Szenario, das unvorstellbar scheint. Doch die Gefahr existiert. Denn Cyberkriminelle nehmen vermehrt verwundbare Einrichtungen ins Visier, die die Grundlage für das Allgemeinwohl darstellen – Kritische Infrastrukturen.
Auch BSI-Präsident Arne Schönbohm sieht Betreiber von nationalen Wasser- und Stromwerken oder beispielsweise die Pharmaindustrie verstärkt im Fokus professionalisierter Cyberangriffe. Warum? Manipulationen der Betriebsabläufe in diesen Wirtschaftssektoren könnten die Bevölkerung in Gefahr bringen. Die Schutzmaßnahmen für die interne IT sollten durchaus einen hohen Stellenwert besitzen.
Nachfolgend werfen wir einen Blick auf die Kritischen Infrastrukturen und geben einen Ausblick auf die enorme Tragweite eines Cyberangriffes auf diese empfindlichen Organisationen.

Eine kritische Angelegenheit

Zu den Kritischen Infrastrukturen, oder auch kurz KRITIS genannt, gehören Organisationen oder Einrichtungen, die eine wichtige Rolle für das staatliche Gemeinwesen spielen. Sie stellen Dienste oder Produkte bereit, von denen Verbraucher und Unternehmen gleichermaßen abhängig sind. Zu nennen sind hier Einrichtungen innerhalb der Sektoren Energie, IT und Telekommunikation, Gesundheit, Wasserversorgung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.
Im Hinblick auf ihre IT-Infrastruktur gelten Kritische Infrastrukturen als besonders sensibel, weshalb die Regierung mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz diese besonders schützen will. Betreiber müssen daher Störungen ihrer IT-Systeme melden sowie regelmäßige Prüfungen dieser zulassen. Die genannte Sensibilität der Systeme rührt daher, dass die meisten bereits in weit zurückliegender Vergangenheit entwickelt wurden. Klar wird dabei, dass IT-Sicherheitsaspekte nicht von Anfang an berücksichtigt wurden, sondern zunächst physische Sicherheitsaspekte, wie der Aufbau von hochkomplexen Zaunanlagen und das Bereitstellen von Sicherheitspersonal, verfolgt wurden.
Grund hierfür war zudem auch die Trennung der IT-Systeme vom Internetzugang. Doch die Digitalisierung ist nicht einfach vorbeigezogen, sondern hat zu erheblichen Veränderungen in den letzten Jahren geführt. So sind in modernen Industriebetrieben mittlerweile viele Maschinen, Geräte und Mitarbeiter mit dem Internet verbunden. Neben vielen Vorteilen, die diese Vernetzung mit sich bringt, gibt es jedoch auch Nachteile, die nicht unerheblich sind: Kritische Infrastrukturen sind so für Cyberangriffe noch verwundbarer.

… und es ward dunkel!

Welches Ausmaß ein Cyberangriff auf Kritische Infrastrukturen haben kann, zeigt eine beispiellose Attacke auf das Stromnetz der Ukraine im Jahr 2015. Die Hacker legten die gesamte Stromversorgung lahm. Haushalte blieben stundenlang im Dunkeln, Krankenhäuser mussten auf Notstromaggregate zugreifen. Verantwortlich für den Hackerangriff sollen staatliche Akteure gewesen sein, die mithilfe der Malware Industroyer die Stromversorgung des Landes sabotierten. 2017 wurde ein Saudi-arabisches Kraftwerk Opfer von Hackern. Ziel des Angriffs war es vermutlich, die Anlage zu zerstören.
Der Angriff wurde rein zufällig entdeckt. So konnte Schlimmeres verhindert werden. Medienberichten zufolge lief die Attacke über ein Sicherheitssystem, welches weltweit in Öl- und Gaskraftwerken sowie Atomanlagen eingesetzt wird – auch in Deutschland. Der bei dem Angriff eingesetzte Triton-Code wurde wenig später im Internet veröffentlicht. Das schuf die Grundlage für weitere Angriffe durch versierte Hacker. Eigenen Angaben zufolge konnten Sicherheitsforscher im April 2019 einen weiteren Angriff mit dem Triton-Code ausfindig machen. Unklar bleibt allerdings, wann der Angriff stattfand und welche Anlage im Fokus stand. Die Forscher seien bei ihren Untersuchungen zu der Erkenntnis gekommen, dass die Angreifer eine Grundlage für physische Schäden legen wollten. Damit läge es auch nahe, dass weitere Betreiber Kritischer Infrastrukturen anvisiert wurden. Aus diesem Grunde haben die Forscher Details zur entdeckten Malware öffentlich gemacht, um IT-Verantwortliche bei der Entdeckung und Prävention zu unterstützen.
Die vergangenen Ereignisse sind besorgniserregend. Ein gutes Zeichen ist jedoch das dadurch steigende Bewusstsein für IT-Sicherheit innerhalb Kritischer Infrastrukturen. Der Katastrophenschutz etwa lobte bereits die wachsende IT-Sicherheit.

The Worst Case: Cyberangriff auf KRITIS-Betreiber

Damit soll das Thema aber längst nicht vom Tisch sein, sondern für die weitere Einrichtung von Sicherheitsmaßnahmen sensibilisieren. Was wäre wenn? Wir gehen vom Worst Case aus: Ein Cyberangriff dreht Deutschland den Strom ab. Laut Arne Schönbohm vom BSI ist die Netz- und Energieversorgung ein attraktives Ziel, um ein ganzes Land lahmzulegen. Demnach entstünden weitreichende Versorgungsengpässe bei einem längeren und größeren Stromausfall. Dies gibt etwa auch der Katastrophenschutz zu Bedenken. Werfen wir einen genaueren Blick auf ein mögliches Angriffsszenario:

Die Cyberkillchain

Ein Angriff erstreckt sich auf insgesamt sieben Schritte, die in einer sogenannten Cyberkillchain zusammengefasst werden. Das Konzept der Angriffskette stammt ursprünglich aus dem Militär und wurde auf den IT-Bereich übertragen.
Ein Angriff einer Ransomware läuft in den folgenden Schritten ab:
  1. Reconnaissance
  2. Weaponization
  3. Delivery
  4. Exploitation
  5. Installation
  6. Command & Control
  7. Actions on objective
Reconnaissance: Identifizierung des Ziels
Es gibt grundsätzlich zweierlei Angriffsarten zu unterscheiden: gezielte und massenweise Attackierung. Bei der Killchain geht es hauptsächlich um gezielte Angriffe. Zunächst wird das Ziel ausgesucht. Hier werden dann so viele Informationen wie möglich gesammelt, um herauszufinden, wie das Unternehmen aufgestellt ist und wo eventuelle Lücken klaffen, die man für ein Eindringen nutzen könnte. Im Fokus steht meist ein bestimmter Mitarbeiter, der viele Informationen zu seiner Person teilt: Kontaktdaten, Jobtitel, Urlaubspläne und mehr. Ist die passende Schwachstelle gefunden, wird der nächste Schritt in Angriff genommen.
Weaponization: Vorbereitung des Angriffs
Je nach angestrebtem Ziel und geplanter Vorgehensweise wählt der Angreifer ein passendes Tool aus – nach Möglichkeit sollte es natürlich perfide sein. Oft bietet sich hier ein Verschlüsselungstrojaner an, der sich zunächst bedeckt hält und weitere Informationen sammelt. Viele dieser Codes stehen im Darknet frei zur Verfügung.
Delivery: erste Schritte zur Durchführung des Angriffs
In dieser Phase muss der Kriminelle einen Verbreitungsweg wählen. Er kann hierbei auf eine CD-ROM, einen USB-Stick oder auch ganz klassisch auf die E-Mail setzen. Besonders beliebt sind hier Phishing-Mails, die entweder per Link auf eine schadhafte Webseite leitet oder ein infiziertes Dokument enthält, welches der Empfänger öffnen soll. Der Vorteil der Phishing-Methode bringt uns direkt zum nächsten Schritt.
Exploitation: Aufspüren von Sicherheitslücken
Die mangelnde Sensibilisierung der Mitarbeiter stellt einen gern genutzten Einfallsvektor dar. Stichwort „Social Engineering“: Über Phishing, CEO-Fraud oder Whaling wird gezielt die Unsicherheit und Unwissenheit der Mitarbeiter ausgenutzt, um ins System zu gelangen. Doch können offene Angriffsflächen auch in der Technik liegen, wie etwa ungepatchte Sicherheitslücken in unternehmensweit genutzten Programmen.
Installation: Implementierung einer Backdoor
Logischerweise erscheint kein Pop-Up sobald die Malware installiert wurde. Die Installation läuft im Verborgenen und ohne das Wissen des Nutzers. Die Malware nistet sich ein und wartet auf ihren großen Moment.
Command & Control: Fernsteuerung des Zielsystems
Um die Kontrolle der Malware zu behalten, kann beispielsweise das Remote Desktop Protokoll für den Fernzugriff ausgenutzt werden. Die Fernsteuerung ist essentiell, um das eigentliche Ziel zu erreichen. Mittlerweile ist es sogar möglich, sich Künstlicher Intelligenz zu bedienen, sodass die Malware selbstlernend Aktionen durchführen kann, wie etwa das Nachladen weiterer Schadsoftware oder das Ausspähen von persönlichen Daten.
Actions on objective: Zielerreichung
Der große Moment ist gekommen und der Angreifer kann nach der kompletten Unterwanderung des Systems seine Handlung konkretisieren. In unserem Fall wird die Stromversorgung abgeschaltet. Es kann mehrere Jahre dauern, bis die Malware ausgeführt oder entdeckt wird.
Aus der Killchain wird deutlich, dass die Prävention und Verteidigung vor ausgefeilten Cyberangriffen nur mit speziellen Werkzeugen sowie einer starken und regelmäßigen Sensibilisierung der Mitarbeiter möglich sind. Zu nennen sind hier beispielsweise Services, die perfide und komplizierte Schädlinge wie Advanced Persistent Threats mit speziellen Analyse-Engines, Freezing und Sandbox erkennen können. Fakt ist, dass Cyberangriffe weiter zunehmen werden und frühzeitig Maßnahmen zum Schutz ergriffen werden müssen.
Zusammengefasst lässt sich also sagen, dass Cyberattacken auf Kritische Infrastrukturen eine Bedrohung der nationalen Sicherheit darstellen können. Denn ein Angriff auf das Energienetz oder die Wasserversorgung kann Folgen haben, die nicht mehr nur für finanzielle Einbußen sorgen, sondern das Leben, so wie wir es kennen, völlig verändern könnten.