Hoffnung im Kampf gegen Cyberangriffe auf kritische Infrastrukturen

Wenn es eine Notaufnahme für Infrastrukturen gäbe, wäre diese in erster Linie voll mit Opfern von Cyberangriffen. So wurden im Jahr 2021 in den USA unter anderem das Ölleitungsnetz von Colonial Pipeline, das fleischverarbeitende Unternehmen JBS und die New Yorker Metropolitan Transportation Authority (MTA) Opfer von Ransomware-Angriffen. Dabei installierten Cyberkriminelle betrügerische Software, um Computersysteme als Geiseln zu nehmen und ein hohes Lösegeld zu fordern.

Neben Ransomware gibt es allerdings zahlreiche weitere Waffen in einem wachsenden Repertoire für Cyberangriffe auf kritische Infrastrukturen, bei denen böswillige Hacker die vernetzten Systeme physischer Anlagen angreifen. Noch besorgniserregender als Angriffe aus Profitgier sind dabei solche, die mit der bloßen Absicht erfolgen, Schaden anzurichten.

So geschehen im Jahr 2021 in der US-amerikanischen Kleinstadt Oldsmar im Bundesstaat Florida: Hacker drangen in die Systeme des örtlichen Wasserwerks ein und wollten so das Trinkwasser vergiften. Zu diesem Zweck manipulierten sie die Software zur Steuerung der Natronlaugendosierung. Am Ende war die Konzentration der Lauge im Trinkwasser auf das Hundertfache des normalen Wertes erhöht und stellte damit eine unmittelbare Gefahr für die Gesundheit dar. Obwohl der durch den Angriff verursachte Störfall rechtzeitig entdeckt und korrigiert wurde, bevor verseuchtes Trinkwasser abgegeben wurde, hätten die Folgen fatal sein können.

So formulieren es auch einige Politiker: „Ich glaube, dass das nächste Ereignis wie Pearl Harbor oder 9/11 im Cyberspace stattfinden wird“, sagte Senator Angus King im Juli 2021 bei einer Anhörung des US-Senats, bei der es um Schwachstellen der Cybersicherheit in der Infrastruktur ging.

Dazu kommt, dass IT-Sicherheitslücken oft unentdeckt bleiben und nicht gemeldet werden, was es schwierig macht, die Dimensionen der Cyberkriminalität zu beurteilen. Hinweise auf das riesige Ausmaß des Problems liefern Aussagen von Experten: Das Unternehmen Deep Instinct ist auf Cybersicherheit spezialisiert. Hier spricht man von „mehreren hundert Millionen“ Cyberangriffen, die täglich verübt werden. In der entsprechenden Studie, die sich auf das Jahr 2020 bezieht, berichtet das Unternehmen über einen Anstieg von 358 % bei Malware allgemein und einen Anstieg von 435 % bei Ransomware.

„Das Problem beschränkt sich nicht nur auf die schiere Zahl der Angriffe“, weiß Guy Caspi, CEO von Deep Instinct. „Nach unseren Erkenntnissen werden die Angriffe auch immer raffinierter, wobei die Angreifer bessere Ausweichtaktiken einsetzen und immer schwieriger zu entdecken sind.“

Was tun, um kritische Infrastrukturen vor immer raffinierteren Angriffen zu schützen? „Am besten setzt man auf Innovation“, meint Si Katara, Mitbegründer und Präsident von HeadLight, einem Anbieter von fotobasierter Infrastruktur-Inspektionstechnologie.

„Auf der ganzen Welt nehmen die Bedrohungen exponentiell zu“ so Katara. „Eine wirksame IT-Sicherheitslösung muss den Bedrohungen immer einen Schritt voraus sein. In diesem Bereich sind daher ständig neue und besonders agile Innovationen gefragt, wenn wir bestehen wollen“.

Da die Cybersicherheit ein digitales Problem darstellt, erfordert sie auch digitale Lösungen. Cyberkriminelle, die es auf die Infrastruktur abgesehen haben, werden sich durch Technologien allein jedoch nicht aufhalten lassen. Experten zufolge ist ein innovativer und ganzheitlicher Lösungsansatz erforderlich, der neben neuen Werkzeugen auch Menschen, Prozesse und Sichtweisen verbindet.

Damit Eigentümer und Betreiber kritischer Infrastrukturen ihre Anlagen schützen können, müssen sie verstehen, was sie überhaupt so verletzlich macht.

Dafür muss man sich zunächst klarmachen, warum gerade diese Ziele so attraktiv für Angriffe sind. Die zentrale Bedeutung von Angriffen auf Infrastrukturen wie Straßen und Brücken bis hin zu Kraftwerken und Wasserversorgungsanlagen besteht darin, dass deren Ausfall eigentlich immer schwerwiegende Folgen hat. Weil das Lahmlegen dieser Strukturen schnell mit wirtschaftlichen Verlusten und Gefahren für das menschliche Leben verbunden ist, können Kriminelle darauf spekulieren, dass die Verantwortlichen den Schutz lebenswichtiger Infrastrukturen aus einer gewissen Verzweiflung heraus über alles andere stellen. Oft genug zahlen sie dann sogar eine Art Lösegeld.

Die bestehenden Anlagen sind häufig so alt, dass der Aspekt der Cybersicherheit bei Ihrer Planung noch keine Rolle gespielt hat. „Diese monolithischen Altsysteme sind nur schwer zu modernisieren“, erklärt Katara. „Wenn man einen Teil der Anlage modernisieren möchte, muss man den Rest anpassen. Dabei muss viel improvisiert werden. So reiht sich mit der Zeit ein Provisorium an das Nächste, bis von dem ursprünglichen Gesamtsystem nicht mehr viel übrig ist. Dadurch schleichen sich viele Unzulänglichkeiten ein. Heutzutage ist es dann für Hacker nicht schwer, die Schwachstellen zu treffen und den gesamten monolithischen Komplex mit einem einzigen Angriff lahmzulegen.“

Deshalb sieht Katara die Lösung in modularen Ansätzen. Die von seinem Unternehmen entwickelte Inspektionstechnologie HeadLight ist cloudbasiert und offen gestaltet, sodass sie mit Altsystemen kommunizieren kann, ohne von ihnen abhängig zu sein. „Dadurch lassen sich Komponenten viel leichter isolieren und modernisieren, damit alles reibungslos funktioniert“, erläutert er die Vorteile des modularen Systems. „Neue Innovationen stellen dann nicht gleich immer das Gesamtsystem infrage. Man kann einfach ein bestimmtes Teil herausnehmen und durch die neue Komponente ersetzen.“

Dies ist vor allem unter Sicherheitsaspekten wichtig. So waren die alten Systeme bei einem der Kunden von HeadLight, der Opfer eines Cyberangriffs wurde, vier bis sechs Wochen lang ausgefallen. Die Projekte, bei denen HeadLight zum Einsatz kam, konnten unterdessen unbeeinträchtigt fortgeführt werden.

„Dank seiner unabhängigen Funktionsweise war HeadLight von der Cyberattacke nicht betroffen“, berichtet Katara. „Nachdem das IT-Team die Altsysteme wiederhergestellt hatte, konnten alle Daten und Informationen, die HeadLight gesammelt und gespeichert hatte, sicher mit diesen Systemen synchronisiert werden.“

Damit Eigentümer und Betreiber kritischer Infrastrukturen ihre Anlagen schützen können, müssen sie verstehen, was sie überhaupt so verletzlich macht.

Dafür muss man sich zunächst klarmachen, warum gerade diese Ziele so attraktiv für Angriffe sind. Die zentrale Bedeutung von Angriffen auf Infrastrukturen wie Straßen und Brücken bis hin zu Kraftwerken und Wasserversorgungsanlagen besteht darin, dass deren Ausfall eigentlich immer schwerwiegende Folgen hat. Weil das Lahmlegen dieser Strukturen schnell mit wirtschaftlichen Verlusten und Gefahren für das menschliche Leben verbunden ist, können Kriminelle darauf spekulieren, dass die Verantwortlichen den Schutz lebenswichtiger Infrastrukturen aus einer gewissen Verzweiflung heraus über alles andere stellen. Oft genug zahlen sie dann sogar eine Art Lösegeld.

Die bestehenden Anlagen sind häufig so alt, dass der Aspekt der Cybersicherheit bei Ihrer Planung noch keine Rolle gespielt hat. „Diese monolithischen Altsysteme sind nur schwer zu modernisieren“, erklärt Katara. „Wenn man einen Teil der Anlage modernisieren möchte, muss man den Rest anpassen. Dabei muss viel improvisiert werden. So reiht sich mit der Zeit ein Provisorium an das Nächste, bis von dem ursprünglichen Gesamtsystem nicht mehr viel übrig ist. Dadurch schleichen sich viele Unzulänglichkeiten ein. Heutzutage ist es dann für Hacker nicht schwer, die Schwachstellen zu treffen und den gesamten monolithischen Komplex mit einem einzigen Angriff lahmzulegen.“

Deshalb sieht Katara die Lösung in modularen Ansätzen. Die von seinem Unternehmen entwickelte Inspektionstechnologie HeadLight ist cloudbasiert und offen gestaltet, sodass sie mit Altsystemen kommunizieren kann, ohne von ihnen abhängig zu sein. „Dadurch lassen sich Komponenten viel leichter isolieren und modernisieren, damit alles reibungslos funktioniert“, erläutert er die Vorteile des modularen Systems. „Neue Innovationen stellen dann nicht gleich immer das Gesamtsystem infrage. Man kann einfach ein bestimmtes Teil herausnehmen und durch die neue Komponente ersetzen.“

Dies ist vor allem unter Sicherheitsaspekten wichtig. So waren die alten Systeme bei einem der Kunden von HeadLight, der Opfer eines Cyberangriffs wurde, vier bis sechs Wochen lang ausgefallen. Die Projekte, bei denen HeadLight zum Einsatz kam, konnten unterdessen unbeeinträchtigt fortgeführt werden.

„Dank seiner unabhängigen Funktionsweise war HeadLight von der Cyberattacke nicht betroffen“, berichtet Katara. „Nachdem das IT-Team die Altsysteme wiederhergestellt hatte, konnten alle Daten und Informationen, die HeadLight gesammelt und gespeichert hatte, sicher mit diesen Systemen synchronisiert werden.“

Die modulare Architektur steht beispielhaft für Innovationen im Bereich der Infrastruktursicherheit. Ein weiteres Beispiel sind Angriffserkennungssysteme, erklärt Kevin Heaslip, Spezialist für Cybersicherheit und Professor für Bau- und Umwelttechnik an der Virginia Tech.

Dabei stelle die Fokussierung auf die Angriffserkennung mittels sogenannter Intrusion-Detection-Systeme einen Paradigmenwechsel dar, bei dem man sich dem Problem mit einer neuen Denkweise aus einer neuen Perspektive nähert. In diesem Fall bedeutet dies, dass man weniger auf die Verhinderung von Cyberangriffen abzielt als vielmehr auf Strategien zu deren schadlosen Bewältigung.

„Wir müssen uns von dem Glauben verabschieden, dass IT-Systeme jemals vollständig geschützt werden können“, meint Heaslip. „Wir nennen diese Denkweise ‚Zero Trust‘“. Das bedeutet, dass wir davon ausgehen, dass es früher oder später jemandem gelingen wird, in unsere Systeme einzudringen. Daher sollten wir vielleicht weniger darüber nachdenken, wie wir Hacker aufhalten können, sondern eher darüber, wie wir erkennen können, wann sie angreifen und welche Änderungen sie während des Angriffs an den Systemen vornehmen."

Zu diesem Zweck konzentriert sich Heaslips aktuelle Forschung auf die Verwendung von 3D-Modellen zur Erstellung digitaler Zwillinge von cyber-physischen Systemen und auf Technologien des maschinellen Lernens zur Abbildung dieser Systeme. So sollen Veränderungen jederzeit erkannt werden.

„Wenn ein Angreifer Ihr System besser kennt als Sie selbst, können Sie sich schlecht verteidigen“, macht er deutlich. „Wir setzen maschinelles Lernen ein, um das normale Systemverhalten zu studieren. Wenn wir wissen, wie das System funktioniert, wenn es keinen Angriffen ausgesetzt ist, können wir Veränderungen erkennen, wenn sie eintreten.“

Gemeinsam mit dem US-Energieministerium arbeitet Heaslip an sicheren Ladesystemen für Elektrofahrzeuge. „Wir modellieren das Fahrzeug, die Ladestation, das Netz und die Wechselwirkungen zwischen diesen drei Komponenten, um zu verstehen, wo die Angriffspunkte liegen könnten“, erläutert er. „Am meisten Sorgen bereitet uns ein Angriff, der in einem Fahrzeug oder einer Ladestation beginnt und sich dann über das Netz ausbreitet und so die Stromversorgung in einer ganzen Region beeinträchtigen könnte.“

Am Ende sollen selbstheilende Systeme entstehen, die Angriffe erkennen und dann automatische Abhilfemaßnahmen und Reparaturen durchführen können. „Wenn man sich vor Augen hält, dass unsere Netze jeden Tag milliardenfach getestet und angegriffen werden, wird klar, dass wir niemals genügend Personal haben werden, um auf jeden einzelnen Angriff reagieren zu können“, macht Heaslip deutlich. „Also müssen wir auf lange Sicht automatisierte Funktionen nutzen, um diese Angriffe zu bekämpfen.“