Sicherung des Backbone: Cybersicherheit für kritische Infrastrukturen
Das Team von Claroty
/17. Juli 2023/
11 Minuten lesen
Überarbeitetes Datum: 8/2/2024
Die Welt entwickelt sich rasant weiter, und digitale und physische Systeme konvergieren ständig. Eigenständige Systeme, die früher nur den Betrieb kritischer Infrastrukturen verwalteten, sind jetzt mit dem Internet verbunden und tauschen sensible Informationen aus. Dieses neu konvergierte erweiterte Internet der Dinge (XIoT) hat eine Vielzahl von Vorteilen mit sich gebracht, vom Schutz der Nation über die Aufrechterhaltung einer starken Wirtschaft bis hin zur Verbesserung der Lebensqualität der Bürger.
Obwohl die Funktionen kritischer Infrastrukturen für den nationalen Wohlstand unerlässlich sind, übersteigen die Auswirkungen auf die Cybersicherheit langsam den Nutzen. Wie zu keiner anderen Zeit erkennen die politischen Entscheidungsträger weltweit die Bedrohungen für kritische Infrastrukturen und deren Auswirkungen auf unsere Lebensweise. Neue Mandate und Empfehlungen von Regierungen zeigen nicht nur Bedrohungen und potenzielle Folgen auf, sondern drängen auch zum Handeln. Noch nie dagewesene Richtlinien haben Eigentümern und Betreibern klargemacht, dass die Cybersicherheit in kritischen Branchen Priorität hat.
In diesem Blog werden wir erörtern, warum kritische Infrastrukturen so wichtig sind, welche Vorschriften und Standards zu ihrem Schutz entwickelt wurden und welche Schritte kritische Infrastrukturen unternehmen können, um ihre Cyber- und Betriebssicherheit zu verbessern.
Laut der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) sind kritische Infrastrukturen die Anlagen, Systeme und Netzwerke, die für unsere Lebensweise notwendige Funktionen bereitstellen. Die CISA hat folgende Bereiche identifiziert 16 kritische Infrastrukturbereiche die als so lebenswichtig angesehen werden, dass ihr Ausfall oder ihre Zerstörung schwerwiegende Folgen für die Sicherheit, die Wirtschaft und die nationale öffentliche Gesundheit oder Sicherheit hätte. Kritische Infrastrukturen sind das Rückgrat der modernen Gesellschaft und bilden nicht nur die Grundlage für den effektiven Betrieb von Unternehmen und Dienstleistungen, sondern auch für das langfristige Vertrauen und die Planung in einer Region. Die Gewährleistung von Widerstandsfähigkeit und Sicherheit ist für die Förderung von Wirtschaftswachstum und Investitionen sowie für den Schutz der öffentlichen Sicherheit notwendig.
Aufgrund der Interkonnektivität der cyber-physischen Systeme (CPS) in kritischen Umgebungen, die Erkennung, Berechnung, Steuerung, Vernetzung und Analyse koordinieren - und zu den zuverlässigen Systemen und Abläufen führen, auf die wir angewiesen sind - könnte ein Angriff auf ein System kaskadenartige Auswirkungen auf die gesamte Umgebung haben. So könnte ein Cyberangriff auf ein Stromnetz möglicherweise auch Transportsysteme stören, Kommunikationsausfälle verursachen oder zur Beeinträchtigung medizinischer Einrichtungen führen - was alles zur Gefährdung der öffentlichen Sicherheit führen und im schlimmsten Fall Menschenleben kosten könnte.
Die Bedeutung kritischer Infrastrukturen hat sie auch zu einem wichtigen Ziel für staatlich geförderte Cyber-Kriegsführung und Spionage gemacht. Durch den unbefugten Zugang zu kritischen Systemen können Nationalstaaten versuchen, Informationen zu sammeln, den Betrieb zu stören oder Infrastrukturkapazitäten zu deaktivieren, was zu einer großen Bedrohung für die nationale und öffentliche Sicherheit führen würde. Dies sind nur einige der Gründe, warum der Schutz kritischer Infrastrukturen so wichtig ist.
Anschließend werden wir Beispiele aus der Praxis von Cyberangriffen auf kritische Infrastrukturen und die dadurch verursachten Störungen erörtern und die robusten Cybersicherheitsmaßnahmen darlegen, die zum Schutz dieser Systeme und Geräte erforderlich sind.
Cybersecurity-Angriffe auf kritische Infrastrukturen
Da sich die Cyber-Landschaft ständig weiterentwickelt und die Methoden der Cyber-Kriminellen immer ausgefeilter werden, entstehen immer neue und äußerst verheerende Angriffe. In den letzten Jahren haben wir dies an den folgenden bemerkenswerten Beispielen von Angriffen auf kritische Infrastrukturen gesehen:
1. WannaCry Cyberangriff
Dieser verheerende Ransomware-Angriff infizierte in nur wenigen Stunden schätzungsweise 230.000 Computer in 150 Ländern, indem er eine gefährliche Sicherheitslücke in ungepatchten Versionen des damals weit verbreiteten Betriebssystems Windows 7 ausnutzte. Der Angriff betraf zunächst Dutzende von Nationale Gesundheitsdienste (NHS) Einrichtungen und breitete sich schließlich auf über 60 NHS-Krankenhäuser aus.
Während des Angriffs waren die betroffenen Krankenhäuser von ihren digitalen Systemen und medizinischen Geräten abgeschnitten, was zu erheblichen Störungen für Patienten und medizinisches Personal führte. Zu den Auswirkungen dieser Unterbrechung der kritischen Infrastruktur vieler Gesundheitsnetze gehörten die Rückkehr des Personals zu manuellen Prozessen, eine Störung der radiologischen Dienste, die Stornierung von ambulanten Terminen, elektiven Aufnahmen und ambulanten Eingriffen sowie die Umleitung von Notarztwagen in andere Krankenhäuser.
2. NotPetya
Die Ransomware-Attacke NotPetya gilt als der kostspieligste und zerstörerischste Angriff der Geschichte. NotPetya-Cyberangriff legte den Betrieb multinationaler Unternehmen in verschiedenen kritischen Infrastrukturbereichen wie Gesundheitswesen, Energie und Verkehr lahm. Der Schaden belief sich auf schätzungsweise 10 Milliarden US-Dollar und hatte tiefgreifenden Einfluss auf das Verhalten von Cyberkriminellen und Cybersecurity-Experten gleichermaßen.
Dieser Cybervorfall führte zu der Erkenntnis, dass OT-Netzwerke für den Betrieb von entscheidender Bedeutung sind, was sie für die Gewährleistung der Sicherheit industrieller Abläufe äußerst wertvoll macht. Diese Verlagerung von opportunistischen, sprühenden Cyberangriffen hin zu gezielten Kampagnen gegen kritische Infrastrukturorganisationen mit geringer Toleranz für Ausfallzeiten hat die Bedrohungslandschaft dramatisch verändert. Dieser weitreichende Angriff verursachte weitreichende Verwüstungen für kritische Infrastrukturen und diente als Weckruf für die Sicherheitsbedrohungen, die von IT- und OT-Konnektivität.
3. Angriffe auf das ukrainische Stromnetz
Auch kritische Infrastrukturnetze stehen im Fadenkreuz geopolitischer Konflikte. In den Jahren 2015 und 2016 kam es in der Ukraine zu zwei separaten Cyberangriffen auf das ukrainische Stromnetz. Diese sorgfältig geplanten Vorfälle, die russischen Hackern zugeschrieben wurden, führten zu weitreichenden Stromausfällen für Hunderttausende ukrainische Einwohner. Aufgrund der mangelnden Transparenz des gesamten Netzes und der fehlenden kontinuierlichen Netzüberwachung waren die angegriffenen Stromversorgungsunternehmen nicht in der Lage, Anomalien in der Netzaktivität zu erkennen und den Angriff zu verhindern.
Diese Vorfälle waren ein Präzedenzfall für die Sicherheit von Stromnetzen auf der ganzen Welt und verdeutlichten, wie sich Angriffe auf kritische Infrastrukturen auf die öffentliche Sicherheit auswirken können. Da Cyber-Bedrohungen nicht mehr nur eine Angelegenheit von IT-Systemadministratoren und Netzwerkingenieuren sind, muss die Cybersicherheit zu einer unternehmensweiten Initiative werden, um diese orchestrierten Bemühungen zu bekämpfen.
Während des Angriff auf die Colonial Pipelinegriff eine Ransomware-as-a-Service-Gruppe namens DarkSide die IT-Systeme von Pipelines an, was zu einem vorübergehenden Stillstand führte. Die Katastrophe führte zu Treibstoffengpässen und höheren Gaspreisen für die Verbraucher sowie zu einem Verlust des Vertrauens der Verbraucher in den Schutz kritischer Infrastrukturen. Dieser Angriff wurde durch ein einziges kompromittiertes Passwort und ein veraltetes VPN ausgelöst, ein Angriff, der für Cyberkriminelle in der Regel nur wenig Aufwand erfordert. Glücklicherweise kann diese Art von Angriff mit grundlegenden CPS-Sicherheitsmaßnahmen leicht verhindert werden.
Cyber-Kriminelle werden immer raffinierter und wissen, dass kritische Öl- und Gasinfrastrukturene Organisationen wie Colonial Pipeline sich keine Ausfallzeiten leisten können, wird es für sie immer wichtiger, eine starke Cybersicherheitsstrategie für kritische Infrastrukturen einzuführen. Als Reaktion auf diesen Vorfall kündigte die Transportation Security Administration (TSA) des Department of Homeland Security dringend benötigte Cybersicherheitsanforderungen für den Transportsektor an. Im Folgenden werden die von der TSA aufgestellten Anforderungen zur Stärkung der Cyber-Resilienz kritischer Infrastrukturen erläutert.
Normen und Vorschriften für kritische Infrastrukturen
Infolge der oben genannten Angriffe und der sensiblen Natur von industriellen Kontrollsysteme (ICS)haben Regierungen und Aufsichtsbehörden auf der ganzen Welt die Notwendigkeit erkannt, Normen und Vorschriften für die Cybersicherheit zum Schutz kritischer Infrastrukturen einzuführen. In diesem Blog werden wir uns auf drei relevante Vorschriften und Rahmenwerke konzentrieren, die von der Regierung und den Regulierungsbehörden der Vereinigten Staaten festgelegt wurden:
1. TSA-Cybersicherheitsrichtlinie für Pipeline-Eigentümer und -Betreiber
Die TSA hat Richtlinien zur Cybersicherheit herausgegeben für Eisenbahn, Luftverkehrund Pipeline Transportwesen. Diese Richtlinien konzentrieren sich auf leistungsbasierte Maßnahmen zur Verbesserung der Cyber-Resilienz von US-Eisenbahnunternehmen, Flughafen- und Flugzeugbetreibern sowie kritischen Pipelines. Aufgrund der anhaltenden Cyber-Bedrohungen gegen kritische Infrastrukturen in den USA ergreift die TSA Sofortmaßnahmen, indem sie die Ausarbeitung eines Umsetzungsplans fordert, der die Maßnahmen beschreibt, die die Transportunternehmen ergreifen oder ergreifen werden, um die Cybersicherheit zu stärken und Betriebsunterbrechungen und eine Beeinträchtigung der Infrastruktur zu verhindern.
2. Normen für den Schutz kritischer Infrastrukturen (SKI)
Die CIP-Standards wurden von der North American Electric Reliability Corporation (NERC) entwickelt und gelten für die Stromversorgungsbranche. Diese verbindlichen Standards betreffen die physische Sicherheit, die Ausbildung des Personals, die Reaktion auf Zwischenfälle und die Systemsicherheit. Die Standards gelten für alle Unternehmen, die an der Erzeugung, Übertragung und Verteilung von elektrischer Energie beteiligt sind, einschließlich Versorgungsunternehmen, Kraftwerksbetreiber und Netzbetreiber. Der Rahmen wurde geschaffen, um die Sicherheit der Massenstromsysteme (Bulk Electric Systems, BES) in Nordamerika zu regulieren, durchzusetzen, zu überwachen und zu verwalten.
3. Leitfaden der Agentur für Cybersicherheit und Infrastruktursicherheit
Die CISA hat eine Organisation für Informationsaustausch und Analyse (ISAO) gegründet, um Informationen über Cyber-Bedrohungen zu sammeln, zu analysieren und zu verbreiten. Die ISAO ist eine Nichtregierungsorganisation, die gegründet wurde, um "mit bestehenden Organisationen für den Informationsaustausch, Eigentümern und Betreibern kritischer Infrastrukturen, relevanten Behörden und anderen Akteuren des öffentlichen und privaten Sektors zusammenzuarbeiten, um eine Reihe von freiwilligen Standards und Richtlinien für die Einrichtung und Funktionsweise von ISAOs zu entwickeln".
Über ISAO können Organisationen für kritische Infrastrukturen Informationen über Bedrohungen und bewährte Verfahren austauschen, um das Bewusstsein zu schärfen und gemeinsam proaktive Cybersicherheitsmaßnahmen zur Risikominderung zu ergreifen. Neben ISAO bietet CISA kritischen Infrastrukturorganisationen auch Anleitungen zur Entwicklung von Strategien für Risikomanagement, Cyberhygiene, Reaktion auf Vorfälle, Schwachstellenmanagement, kontinuierliche Überwachung und mehr.
4. Nationaler Plan zum Schutz der Infrastruktur (NIPP)
Entwickelt vom U.S. Department of Homeland Security (DHS), NIPP soll als Leitfaden für den Schutz und die Widerstandsfähigkeit der kritischen Infrastrukturen des Landes dienen. Der Plan skizziert, wie staatliche und privatwirtschaftliche Akteure im Bereich kritischer Infrastrukturen zusammenarbeiten können, um Risiken zu bewältigen und Ergebnisse in Bezug auf Sicherheit und Widerstandsfähigkeit zu erzielen. Der NIPP bietet einen strategischen Rahmen für einen kooperativen Ansatz zum Schutz kritischer Infrastrukturen. Zu den wichtigsten Aspekten gehören die Ermutigung von Organisationen zur Einführung von Risikomanagementpraktiken, die Bereitstellung von Leitlinien für die Reaktion auf Zwischenfälle und Wiederherstellungsmaßnahmen, die Betonung der Notwendigkeit einer sektorübergreifenden Koordinierung und die Förderung kontinuierlicher Verbesserungen durch die Nutzung neuer Technologien und bewährter Verfahren.
Dieses lebende Dokument wird regelmäßig aktualisiert, um Veränderungen in der Bedrohungslandschaft, technologischen Fortschritten und den Lehren aus Vorfällen oder neuen Erkenntnissen Rechnung zu tragen. Als kollektiver Ansatz zum Schutz kritischer Infrastrukturen trägt der NIPP dazu bei, die Sicherheit und Widerstandsfähigkeit der Nation zu gewährleisten.
Operative Widerstandsfähigkeit erreichen
Die Einhaltung von Vorschriften und Standards für kritische Infrastrukturen kann Unternehmen dabei helfen, ihre Cyber- und Betriebssicherheit zu erhöhen. Viele haben jedoch Schwierigkeiten, die Einhaltung der Richtlinien und Standards zu gewährleisten, da diese sehr komplex sein können. Durch den Einsatz eines CPS-Sicherheitsanbieters wie Claroty können Unternehmen spezifische Anforderungen erfüllen, die in Branchenvorschriften und -rahmenwerken festgelegt sind. Claroty Lösungen wurden speziell für die Einhaltung branchenspezifischer Rahmenwerke und Standards entwickelt und sind speziell auf folgende Anforderungen zugeschnitten Komplexität kritischer Infrastrukturen. Mit Claroty können Unternehmen mit kritischen Infrastrukturen sicherstellen, dass sie mit der sich entwickelnden Bedrohungslandschaft Schritt halten und sich vor Angriffen schützen, die denen ähneln, die wir hier besprochen haben:
1. Führung eines umfassenden Anlageninventars:
Claroty bietet einen umfassenden Einblick in das gesamte XIoT eines Unternehmens und ermöglicht die Identifizierung und Katalogisierung der Assets. Diese Anlageninventar ist nicht nur für die Erkennung und Minderung von Risiken wichtig, sondern kann auch für Compliance-Berichte genutzt werden.
2. Expositionsmanagement:
Claroty Lösungen für Unternehmen mit kritischen Infrastrukturen automatisieren den Prozess der Identifizierung von Schwachstellen, ordnen sie nach ihrem Risiko ein und bieten dann die beste Vorgehensweise zur Behebung an. Eine klare Strategie für das Exposure Management hilft Unternehmen, ihre Risikolage zu bewerten und gleichzeitig die Anforderungen vieler Cybersicherheitsvorschriften für das Schwachstellenmanagement zu erfüllen.
3. Sicherer Zugang:
Wie wir in unseren Beispielen für Cyberangriffe auf kritische Infrastrukturen festgestellt haben, ist der Fernzugriff in vielen Umgebungen ein leicht auszunutzender Angriffsvektor. Claroty xDome Secure Access wurde speziell entwickelt, um die Komplexität und die administrativen Hürden für einen effektiven und effizienten Fernzugriff sowohl für interne als auch für externe Benutzer zu beseitigen. Mit xDome Secure Access können Unternehmen schnell und einfach eine Verbindung zu Anlagen herstellen, Fehler beheben und diese reparieren und gleichzeitig die Anforderungen an eine sichere Netzwerkarchitektur erfüllen, die in verschiedenen Branchenvorschriften festgelegt sind.
4. Erkennung von Bedrohungen:
Mit fortschrittlichen Analysen und Anomalie-Erkennung identifizieren die Lösungen von Claroty potenzielle Cyber-Bedrohungen und liefern Echtzeit-Warnungen. Mehrere Erkennungs-Engines erstellen automatisch ein Profil aller Anlagen, Kommunikationsvorgänge und Prozesse in industriellen Netzwerken und generieren eine Verhaltensbasis, die den legitimen Datenverkehr charakterisiert, um falsch-positive Daten auszusortieren. Diese fortschrittliche Bedrohungserkennung Funktionen ermöglichen es Sicherheitsexperten, neue Bedrohungen zu erkennen und umgehend darauf zu reagieren, was für die Einhaltung von Vorschriften und Standards von entscheidender Bedeutung ist.
Wie wir wissen, sind kritische Infrastrukturen für die öffentliche Sicherheit und das allgemeine Wohlergehen der Gesellschaft unerlässlich. Mit einer genauen Bestandsaufnahme der Anlagen, einer soliden Strategie für das Expositionsmanagement, xDome Secure Access und den richtigen Methoden zur Erkennung von Bedrohungen können Organisationen für kritische Infrastrukturen ihre Widerstandsfähigkeit erhöhen, indem sie ihre branchenspezifischen Herausforderungen direkt angehen.
Kritische Infrastrukturen sind das Rückgrat unserer Gesellschaft, sichern Sie Ihre jetzt, indem Sie einfach eine Demo anfordern.
