Wie sich das Angriffsrisiko auf Kritis einschätzen lässt

Das Szenario eines Hackerangriffs auf die Kritische Infrastruktur Transportwesen, wie es sich wohl keiner wünscht und das ein unvorstellbares Ausmaß annehmen könnte: Man sitzt in der U-Bahn fest, ohne Handyempfang bei schlechter Luft im Tunnel, ohne jegliche Information, wie lange dieser Zustand anhalten wird. Wie schnell eine solche Situation Realität werden könnte, ist spätestens seit Wannacry klar.

Ein kurzer Rückblick: Am 12. Mai 2017 infizierte eine Hackergruppe über 230.000 Computer in 150 Ländern mit der Ransomware Wannacry. Etwa einhundert verschiedene Dateitypen auf internen Festplatten, Netzlaufwerken oder anderen Speichermedien wurden verschlüsselt – und die Angreifer forderten Lösegeld in der Kryptowährung Bitcoin, damit die betroffenen Dateien wieder freigegeben werden. Bei Nichterfüllung der Frist drohte das Programm mit Datenlöschung. Der Cyberangriff betraf viele verschiedene Unternehmen und Organisationen, darunter Betreiber kritischer Infrastrukturen wie Krankenhäuser, Telekommunikationsunternehmen, Transport- und Logistikunternehmen, Ölkonzerne, Außen-, Innen- und Katastrophenschutzministerien. In Deutschland kam es beispielsweise zu Ausfällen von Anzeigetafeln und Videoüberwachungssystemen in Bahnhöfen.

In unserer digitalisierten Welt gibt es viele Angriffspunkte für Hacker – und trotzdem: Viele Unternehmen und Organisationen nehmen IT- bzw. Ausfallsicherheit offenbar nicht ernst genug.

In Zeiten der Digitalisierung gibt es kaum noch Branchen, die nicht von IT abhängen. Doch die Tragweite eines Ausfalls ist unterschiedlich. Für folgende fünf Branchen wäre ein Ausfall besonders folgenschwer:

Wenig überraschend auf Platz eins, denn vom Versorgungswesen hängt alles ab. Die Stromerzeugung und Energieverteilung sind für die meisten anderen Branchen und das tägliche Leben aller unerlässlich. Atomkraftwerke sind als Teil der Branche gesondert zu betrachten: Fallen hier Kontroll- oder Kühlsysteme aus, wissen wir von Tschernobyl und Fukushima nur allzu gut, mit welchen verheerenden Folgen zu rechnen ist. Und natürlich ist die Wasserversorgung mindestens genauso wichtig: Angefangen von Trinkwasser bis hin zu ganzen Branchen, die ohne Wasser nicht produzieren können wie beispielsweise die Landwirtschaft.

In unserer mobilen Welt ist es das A und O, zuverlässig von einem Ort zum anderen zu gelangen. Ausfälle bei egal welchem Transportmittel führen unabdingbar zu Chaos. Doch auch ein Ausfall von Ampeln und Verkehrsleitsystemen muss hier mit bedacht werden. Neben Unfällen und Verkehrschaos kann es dann auch schnell zu Lieferengpässen kommen. Vor allem bei Gütern wie Lebensmitteln oder Kraftstoffen ist das als äußerst kritisch zu bewerten.

Neben den finanziellen Folgen, der Bedeutung für die gesellschaftliche Ordnung sowie der Unmittelbarkeit der Auswirkung von Ausfällen spielt noch ein weiterer Aspekt eine wichtige Rolle: Die Kommunikationsfähigkeit ist entscheidend, gerade bei Notfällen wie Naturkatastrophen, Unfällen etc. Entsprechend ist ein Ausfall als besonders kritisch einzustufen.

Ausfälle in der Öl- und Gasförderung sind potenziell immer als katastrophal einzustufen. Backup-Systeme allein reichen hier eindeutig nicht. Ausgeklügelte Notfallpläne und eine disziplinierte Herangehensweise inkl. Schulungen und Tests müssen unbedingt Bestandteil der Sicherheitsmaßnahmen sein.

Sie entwickeln sich immer mehr zum Dreh- und Angelpunkt der Wirtschaft. Ausfälle können daher weitreichende gesellschaftliche Auswirkungen nach sich ziehen, da viele andere Branchen von ihnen abhängig sind.

Neben dem oben genannten Fragenkatalog können weitere Hilfen zu Rate gezogen werden, damit die Risikoeinschätzung fundiert erfolgen und damit ein stabiler Maßnahmenkatalog entwickelt werden kann. Es können aktuelle Standards in die Risikobewertung miteinbezogen werden, insbesondere die EN 50600, den BSI IT-Grundschutzkatalog oder den European Code of Conduct for Data Centres. Gegebenenfalls ist es ratsam, sich qualifizierte Unterstützung von externen Experten zu holen. Denn auch wenn der genannte Prozess zweifelsohne finanzielle und zeitliche Anstrengungen erfordert: Im Ernstfall wäre der Schaden ohne entsprechende Vorkehrungen deutlich größer als die vorher zu tätigenden Investitionen.

Um die richtigen Maßnahmen zu ergreifen, muss jedoch zuerst das bestehende Risiko richtig eingeschätzt werden. Die gängigen Sicherheitstechnologien sind längst bekannt: Aktuelle Antivirenprogramme und Firewalls, Analytics- und Intelligence-basierte Sicherheitssoftware-Suites, regelmäßige Datensicherungen auf Backup-Medien, bis hin zu KVA-Switches oder Gateways, die Netzwerke hinsichtlich Sicherheit und Ausfälle optimieren. Doch nur das Wissen darüber, dass es diese Technologien gibt, hilft nicht, wenn das Problembewusstsein fehlt.

Besonders im Bereich der kritischen Infrastrukturen ist es unabdingbar, dass Schutzprävention und nicht Schadensbegrenzung betrieben wird.

Anhand eines Fragenkatalogs können Unternehmen recht zügig das bestehende Risiko bewerten und daraus einen Maßnahmenkatalog ableiten. Diesen muss jedes Unternehmen individuell für sich prüfen. Doch je nach Branche kann bereits eine Risikoeinschätzung vorgenommen werden:

1. Welche Auswirkungen hätte ein Ausfall auf die menschliche Gesundheit?
2. Ist Leben in Gefahr?
3. Besteht Gefahr einer Entgleisung der gesellschaftlichen Ordnung (Massenpanik, Kriminalität etc.)?
4. Könnten Umweltschäden, beispielsweise Brände eine Folge sein?
5. Würde ein Ausfall die Versorgung mit Wasser, Strom, Heizung und Lebensmitteln, sowie das Entsorgungssystem beeinträchtigen?
6. Wie mittel- bzw. unmittelbar wären die Auswirkungen?
7. Welche Reichweite hätte ein Ausfall: Regional oder lokal?
8. Wie hoch wären die Kosten für die Wiederherstellung der Systeme inklusive der dahinterstehenden IT?
9. Wie hoch wären finanzielle Einbußen für das Unternehmen durch Vertriebs- und Verkaufseinbußen?
10. Welche Auswirkungen auf die Produktivität des Unternehmens könnte es geben?
11. Welche Imageschäden drohen dem Unternehmen?

Reinhard Purzer, Vice President & Managing Director DACH, Vertiv Group Corp.