brainsecurity
brainsecurity
brainsecurity
Slide 01
Slide 11
Slide 02
Slide 03
Slide 04
Slide 05
Slide 06
11 1 2 3 4 5 6

Home > Awareness-Themen & Blog > Interviews

Interview mit genua

Worst-Cases und Schutz in Kritischen Infrastrukturen


Das Interview wurde mit Herrn Bernhard Schneck (Geschäftsführer genua mbh) am 07.08.2014 geführt.


Über die genua

Logo genua  
Die genua mbh ist ein deutscher Spezialist für hochwertige IT-Sicherheit. Das Leistungsspektrum umfasst Firewalls, Fernwartungs- und VPN-Systeme, Mobile Security-Lösungen, fortlaufendes System Management sowie ein umfangreiches Dienstleistungsangebot.


Los geht's

Fragezeichen Quiz  

Frage 1:

Welche drei IT-Bedrohungen sehen Sie heute und in Zukunft für Betreiber Kritischer Infrastrukturen?

Die größte Gefahr ist aus meiner Sicht, dass Systeme, die für eine abgesicherte Umgebung (z.B. dem operativen Leitsystem eines Anlagenbetreibers) entwickelt wurden, plötzlich ganz neuen Risiken ausgesetzt werden.

Dabei ist es (erst mal) nur bedingt relevant, ob die "feindliche Umgebung" durch Cyberangriffen aus dem Internet entsteht oder durch die Kopplung mehrerer komplexer Systeme im Rahmen von Industrie-4.0. Viele Steuerungssysteme sind unter der Prämisse gebaut, dass "sinnvoller" Input zu "sinnvollen" Reaktionen führen muss, alles andere wird nur am Rande betrachtet. Sollten aber (durch einen böswilligen Angriff oder auch nur durch Fehler bei einem anderen System) sinnlose Daten an die Steuerung gelangen, kann passieren, dass auch die Reaktionen nicht mehr "sinnvoll" sind und somit die Stabilität des Gesamtsystems nicht mehr gesichert ist.

Das ist natürlich keine fundamental neue Situation, z.B. die Nuklearkatastrophe von Tschernobyl ist primär darauf zurückzuführen, dass bei einer Übung der Reaktor von den Operateuren außerhalb der zulässigen Parameter betrieben wurde, was dann zur Überhitzung und Explosion geführt hat. Durch den verstärkten Einsatz von IT und die Kopplung von Netzen steigen diese Risiken jedoch deutlich an.

Dies führt gleich zu einer weiteren Bedrohung: Der Mensch. Viele Angriffe kommen nicht "über das Internet", sondern verbreiten sich über die Zwischenstufe Mensch. Aus welchen Gründen auch immer entwickeln viele Menschen eine wesentlich höhere Kreativität um Sicherheitsfunktionen zu umgehen, als um sie sinnvoll zur Reduzierung von Risiken einzusetzen. Stuxnet hätte sich ohne "menschliche Hilfe" wahrscheinlich nicht bis zu den iranischen Urananreicherungsanlagen ausbreiten können.

Als drittes Risiko sehe ich den drohenden Verlust der digitalen Souveränität: wem gehören die Systeme und Daten und wer hat darauf Zugriff.

Wenn alles nur noch in der Cloud liegt und Fremde (seien es Regierungen oder z.B. Kriminelle) diese einsehen oder manipulieren können, wird das (auch) im Bereich Kritischer Infrastrukturen erhebliche Auswirkungen bedeuten. Wenn in der Firmware einer Netzwerkkarte ein Trojaner steckt, stehen einem Angreifer alle Tore offen. Wenn ein Virus die Firmware eines USB-Memory-Sticks zu einem Keylogger umprogrammieren kann, dann kommen spannende Zeiten auf uns zu.

Es gibt Ansätze, um trotz dieser Risiken noch eine vertrauenswürdige IT-Struktur zu erhalten, das stellt aber (besonders im Bereich der Kritischen Infrastrukturen) eine zusätzliche Herausforderung dar.


Fragezeichen Quiz  

Frage 2:

Welche Auswirkungen haben Ihre oben genannten Prophezeiungen im Worst-Case?

Kritische Infrastrukturen sind in Deutschland noch relativ stark gesichert. Allerdings ist zu beobachten, dass die Anforderungen zu einer stärkeren Vernetzung auch in diesem Feld zunehmen, man denke nur an das Thema "Smart Grid".

Was bei einem Angriff in diesem Bereich passieren kann, beschreibt der Roman "Blackout" von Marc Elsberg. Dass die Szenarien nicht nur der Fantasie eines "übergeschnappten Autors" entspringen, zeigt eine Studie des Büros für Technikfolgen-Abschätzung des Deutschen Bundestags zu dem gleichen Thema.


Fragezeichen Quiz  

Frage 3:

Mit welchen Maßnahmen härten Betreiber Kritischer Infrastrukturen ihre Netzwerke und Systeme?

Die Maßnahmen reichen nach meinen Beobachtungen von "komplett getrennt" bis zu "komplett vernetzt".

Aus unseren Gesprächen mit Betreibern Kritischer Infrastrukturen zeichnet sich deutlich ab, dass die Risiken sehr differenziert betrachtet und geeignete Maßnahmen zu ihrer Reduzierung gesucht werden.

Je nach Branche gibt es zum Teil auch relativ strikte regulatorische Vorgaben (als Beispiel sei hier der Bereich Kernenergie genannt). Allerdings wird bei Weitem nicht in allen Feldern ein gleichwertiges Sicherheitsniveau erreicht. Einzelmaßnahmen wie ein Virenscanner da, ein Firewall dort, noch eine Priese Devicekontrolle dazu, führen meist nicht zum gewünschten Ergebnis.


Fragezeichen Quiz  

Frage 4:

Was könnte darüber hinaus getan werden um die Sicherheit zu verbessern?

Obwohl man Sicherheit nicht "verordnen" kann, gehen viele der Maßnahmen im vorgeschlagenen Sicherheitsgesetz in die richtige Richtung, trotz aller Kritik am aktuellen Entwurf.

Technische Mindestanforderungen für die IT-Sicherheit sind Basiswerte, an denen sich Betreiber orientieren können, um ein sinnvolles Sicherheitsmanagement aufzubauen. Je nach Risikoklasse mag es sein, dass diese bei weitem nicht ausreichen, aber zumindest die "ganz großen offenen Scheunentore" lassen sich damit schließen.

Ebenso ist es notwendig, Informationen über Sicherheitsvorfälle zentral zu sammeln. Nur so kann ein umfassendes Lagebild über die Auswirkung von Cyberangriffen entstehen und nur so kann den Risiken wirkungsvoll begegnet werden. Natürlich hilft eine Meldung über einen Sicherheitsvorfall dem (ersten) Betroffenen bei der akuten Bewältigung nicht. Für alle anderen potentiellen Angriffsziele ergibt sich aber die Möglichkeit, durch Prävention den Angriff abzuwehren oder zumindest die Auswirkungen zu reduzieren.

Um noch ein Beispiel aus einem ganz anderen Themenbereich zu nennen:

Im Rahmen des Projektes NeuENV des Sicherheitsforschungsprogramms des BMBF wird derzeit untersucht, wie die Kritische Infrastruktur "Lebensmittelversorgung" im Krisenfall abgesichert werden kann. Unsere Groß- und Urgroßeltern konnten noch wochenlang ohne Einkaufen gut überleben, heute schaut es wesentlich anders aus! Eine private Bevorratung gibt es kaum noch, die Logistik in der Lebensmittelversorgung ist inzwischen hochgradig optimiert und von IT-Funktionen abhängig, dass Störungen im oder Angriffe auf das Kommunikationssystem möglicherweise erhebliche Auswirkungen auf die Versorgung haben können. In NeuENV werden diese Risiken untersucht und mögliche Lösungen erforscht, um die Sicherheit zu verbessern.


Fragezeichen Quiz  

Frage 5:

Haben die Betreiber Kritischer Infrastrukturen aus den Attacken durch Stuxnet, Duqu, Flame und Gauss gelernt?

Ich denke schon, dass das Risikobewusstsein gewachsen ist.

Natürlich besteht ein starker Druck, auch Kritische Infrastrukturen zu vernetzen und somit Synergieeffekte nutzen zu können und Prozesse zu beschleunigen. Aber die Gefahren für Steuersysteme sind durch Stuxnet et al deutlich präsenter geworden.

Zusätzlich haben die Veröffentlichungen von Edward Snowden zu einer gesteigerten Aufmerksamkeit für IT-Sicherheitsprobleme geführt. Auch wenn sich die meisten Maßnahmen primär auf die massenhafte Überwachung der Kommunikation beziehen, bergen z.B. einige der TAO Methoden auch erhebliche Risiken für Betreiber kritischer Systeme. Sollte es zu einem Konflikt mit einem potentiellen Gegner kommen, dem solche Möglichkeiten offen stehen, ist ein Cyberwar-Angriff auf Kritische Infrastrukturen ein nicht mehr unrealistisches Szenario.


Fragezeichen Quiz  

Frage 6:

Welche Ihrer Produkte sind zur Absicherung Kritischer Infrastrukturen besonders geeignet?

Die klassischen Produkte von genua wie Firewall- und Kryptosysteme können natürlich eingesetzt werden, um Sicherheitsschleusen zwischen verschiedenen Netzbereichen zu errichten und nur autorisierte Zugriffe zuzulassen.

Unsere neuen Produktlinien cyberdiode und cybergateway werden speziell für die Kommunikation in Netzen mit unterschiedlichen Sicherheitsanforderungen entwickelt. Z.B. können mit der cyberdiode Betriebsdaten aus einem gesicherten Produktionsnetz zu einem Wartungsunternehmen übertragen werden, ohne dass es eine Rückwirkung auf das gesicherte Netz geben kann - damit ist es auch für Angreifer nicht möglich, über diesen Weg in das Produktionsnetz einzudringen und dort Störungen zu verursachen. Das Wartungsunternehmen erhält jedoch die aktuellen Betriebsdaten des Systems und kann auf sich abzeichnende Störungen reagieren, um Ausfällen vorzubeugen.


Fragezeichen Quiz  

Frage 7:

Sehen Sie folgende Aussage ähnlich?
"Sicherheitsadministratoren erkennen häufig nicht, dass das System Opfer eines Angriffs wurde. Sie gehen häufig von einem normalen Defekt aus und ersetzen das entsprechende System ohne weitere Analyse."

Das ist sicherlich ein Problem, und wenn ein Angriff gut getarnt ist, wird oftmals nicht einmal der "normale Defekt" festgestellt (Stuxnet war > 1 Jahr unerkannt unterwegs, bevor die ersten namhaften Virenscanner es erkannt haben).

Bestandteil eines guten Sicherheitsmanagements ist auch ein Konzept, wie Systeme im Betrieb überwacht werden können, um unerwünschte Effekte (sei's durch Viren oder Menschen) zu entdecken. Welche Methoden eingesetzt werden, hängt vom jeweiligen Einzelfall ab, es bilden sich aber Modelle heraus, wie sowas auch in Steuersystemen Kritischer Infrastrukturen genutzt werden kann.

Mit derartigen Verfahren sollte es durchaus möglich sein, einen Angriff von einem "normalen Defekt" zu unterscheiden.


Fragezeichen Quiz  

Frage 8:

Welche Ratschläge geben Sie folgenden Rollen zum Thema Sicherheit Kritischer Infrastrukturen?
a.) Systemadministratoren
b.) Betreiber / Geschäftsführung
c.) (Normale) Mitarbeiter
d.) Geschäftspartner

a.) Systemadministratoren

Stellt keine ungesicherten Verbindungen zwischen kritischen und weniger gesicherten Bereichen her, auch wenn eure Bosse das wollen.


b.) Betreiber / Geschäftsführung

Verlangt von euren Technikern nicht, dass sie kritische und weniger gesicherte Netze verbinden, auch wenn das "schön" wäre.


c.) (Normale) Mitarbeiter

Denkt mehr darüber nach, wie man Sicherheitsziele erreichen kann als darüber, wie man Sicherheitsmaßnahmen umgehen kann.


d.) Geschäftspartner

Traue deinen Geschäftspartnern nur so weit, wie du sie werfen kannst :-)




An dieser Stelle möchte ich mich nocheinmal recht herzlich bei der genua für das Interview bedanken.


Andreas Rieb




Sie wollen mehr?

Thumb zum Thema und vieles mehr

Weitere Interviews

zum Thema Mitarbeitersensibilisierung


Pfeil Thumb zum Thema Interview mit Christoph Willer
27.10.2013
Macht Awareness IT-Forensiker arbeitslos?
mehr ...

Pfeil Thumb zum Thema Interview mit GermanPersonnel
17.09.2013
Wie Live-Hacking die Systemsoftware Brain v.1.0 bei einem IT-Dienstleister patcht?
mehr ...


brainsecurity brainsecurity
brainsecurity
Andreas Rieb
Kirchbergstraße 3
83607 Holzkirchen

brainsecurity