Cyber Security Experience Center für Kritische Infrastrukturen

Obwohl Fachleute in der nächsten Zeit eine erhöhte Gefährdung von Kritischen Infrastrukturen (Kritis) durch Cyberattacken erwarten, fehlt vielen Verantwortlichen ein ausgeprägtes Bewusstsein für die Risiken; die Pricewaterhousecoopers GmbH (PwC Deutschland) sorgt mit ihrem Cyber Security Experience Center in Frankfurt für Aufklärung – und bietet IT-Sicherheit zum Anfassen.

Fast 300 betroffene Städte, 27 ausgefallene Umspannwerke und etwa 230.000 Menschen, die teils stundenlang ohne Strom ausharren mussten – das war Medienberichten zufolge im Jahr 2015 die Bilanz der alarmierenden Cyberattacke auf die Stromversorgung der westukrainischen Region Ivano-Frankiwsk. Obwohl der viel beachtete Präzedenzfall die Frage nach der IT-Sicherheit von Kritis in die Mitte der Gesellschaft trug, war er nach wenigen Wochen nur noch in Fachkreisen ein Thema.

IT-Risiken für Kraftwerke, Krankenhäuser und andere Kritis-Einrichtungen sind seither weitestgehend abseits des öffentlichen Bewusstseins gewachsen – zumindest bis sich die Ereignisse in der jüngeren Vergangenheit häuften. Bekannte Vorfälle wie die Cyberattacken auf das Uniklinikum Düsseldorf im Jahr 2020 oder die Server des Landkreises Anhalt-Bitterfeld im darauffolgenden Jahr zeigten einmal mehr, wie verwundbar Einrichtungen mit einer besonders hohen Relevanz für die Gesellschaft auch in Deutschland sind. Eine Gefahr, die vor dem Hintergrund des Ukraine-Krieges weiter an Brisanz gewinnen könnte. So meldete etwa der Spiegel Anfang März mit Berufung auf einen Sonderlagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dass die hiesigen Behörden im Zuge des anhaltenden Konfliktes mit Cyberattacken auf deutsche Hochwertziele rechnen.

Um sich der Frage zu nähern, warum Teile der Kritis in Deutschland so verwundbar sind, genügt ein Blick auf weniger regulierte Teile der Wirtschaft. Denn im Allgemeinen haben staatliche und kommunale Einrichtungen bei der Aufstellung ihrer IT-Sicherheit mit ähnlichen Problemen zu kämpfen wie andere Unternehmen auch. Niedrige Budgets und fehlende Fachkräfte sind dabei ein Teil des Problems. Eine grundlegendere Herausforderung ist aber die abstrakte Natur der Materie: Weil sich der Schutz von digitalen Infrastrukturen vorwiegend im virtuellen Raum abspielt, fehlt vielerorts das Bewusstsein für Lücken und Schwächen in der Abwehr. Demnach ist auch vielen Kritis-Betreibern gar nicht bewusst, wie die Angriffsfläche ihrer Systeme im Detail überhaupt aussieht. Ein Problem, das oft dem erhöhten Digitalisierungstempo der vergangenen zwei Jahre geschuldet ist. Gerade im Zuge der Coronakrise haben Zuständige viele Initiativen im Eiltempo umgesetzt, ohne die Implikationen für die IT-Sicherheit von Anfang an mitzudenken. Das betrifft nicht nur neu geschaffene Homeoffice-Strukturen in Behörden, sondern auch operative Technologien (OT) wie die Steuerungssysteme in Kraftwerken oder Wasseraufbereitungsanlagen. Hier entstehen durch die zunehmende Vernetzung mit IoT-Lösungen, Cloud-Umgebungen und Fernwartungssystemen ebenfalls neue Einfallstore für Cyberkriminelle.

Um Verantwortliche in Unternehmen und Kritis-Einrichtungen für die Risiken an den Schnittstellen von IT und OT zu sensibilisieren, betreibt PWC Deutschland seit März das Cyber Security Experience Center in Frankfurt. Hier demonstrieren IT-Sicherheitsfachleute anhand realitätsgetreuer Modelle, wie sich Cyberattacken auf spezielle Infrastrukturen auswirken – und was die Betreiber im Ernstfall dagegen unternehmen können. So lernen die Besucher beispielsweise, wie Angreifer das Steuerungssystem eines Hybrid-Kraftwerks übernehmen, eine Gasdruckregel- und Messanlage manipulieren oder einen digitalen Patientenmonitor hacken – und wie sich Betroffene davor schützen können. Ähnliche Szenarien demonstrieren die Fachleute an einem Industrieroboter, einem Gebäudemanagementsystem, einer Wasseraufbereitungsanlage und an der Simulation eines Logistikzentrums – allesamt ausgestattet mit echten Industriesteueranlagen.

Um eine möglichst ganzheitliche Betrachtungsweise der realen Zusammenhänge zu ermöglichen, sind alle Modelle im Cyber Security Experience Center mit physischen Industrienetzwerken untereinander verbunden. So entsteht ein integriertes Ökosystem, in dem jedes Modell seinen festen Platz hat – und simulierte Sicherheitsvorfälle zu realitätsnahen Kettenreaktionen führen können. Demonstriert das Personal etwa einen erfolgreichen Angriff auf das Hybridkraftwerk, geht den anderen Modellen schnell der Strom aus. Die Folge: Auch potenziell lebensrettende Technologien wie der digitale Patientenmonitor funktionieren nicht mehr.

Neben den physischen Exponaten setzen die Fachleute im Cyber Security Experience Center einen digitalen Zwilling ein, um die Folgen von Cyberattacken zu veranschaulichen. Dieser ist mit einer individuell konfigurierbaren, digitalen Umgebung verknüpft, in der verschiedene Angriffs- und Verteidigungsszenarien veranschaulicht werden können. Diese Simulationen basieren wiederum auf echten Maschinendaten, sodass sich unter realistischen Bedingungen die Folgen von Cyberattacken auf operative Technologien demonstrieren lassen. Besucher können über die dreidimensionale Modelldarstellung der Szenarien genau verfolgen, wie sich die Angriffe auf spezielle Abläufe und Bereiche im System auswirken.

Die realitätsnahe Darstellung von Cyberattacken im Cyber Security Experience Center hilft Führungskräften und IT-Verantwortlichen aus Kritis-Organisationen dabei, ein besseres Bewusstsein für die Schwachstellen in ihren IT- und OT-Infrastrukturen zu entwickeln. Dabei lernen die Besucher nicht nur, die Angriffsfläche ihrer Systeme richtig einzuschätzen, sondern mit effektiven Schutz- und Notfallmaßnahmen auch mehr Resilienz aufzubauen. Best Practices rund um Themen wie Threat Detection, Netzwerksegmentierung oder Patchmanagement schaffen darüber hinaus ganz konkrete Anhaltspunkte für die technologische Stärkung der IT-Sicherheit. Mindestens genauso wichtig: Führungskräfte lernen im Cyber Security Experience Center, wie eng IT-Sicherheit mit der Unternehmenskultur verflochten ist. Denn nur dort, wo der Wissenstransfer hoch und die Silobildung (starkes Abteilungsdenken) niedrig ist, können sich IT- und Fachabteilungen optimal austauschen und gegenseitig unterstützen. Eine unverzichtbare Fähigkeit, um künftige Risiken so niedrig wie möglich zu halten.

Dr. Oliver Hanka, Director EMEA Industrial & IoT Security Center of Excellence bei PWC Deutschland