Prüfen, bevor es zu spät ist

Sicherheit

Infrastruktur - Die Digitalisierung macht Stromnetze verwundbarer. Für Unternehmen der Energiewirtschaft heißt das vor allen Dingen, dass der Schutz der IT- und Kommunikationsinfrastrukturen an Brisanz gewinnt. Ein probates Mittel zur Prüfung des Sicherheitsniveaus ist Ethical Hacking.

02. August 2016

"Blackout – Morgen ist es zu spät": Der vor knapp vier Jahren veröffentlichte Thriller von Marc Elsberg über die Auswirkungen eines großflächigen Stromausfalls in Europa als Folge eines Hackerangriffs hat kaum an Brisanz verloren. Im Gegenteil. Der Stromausfall im Westen der Ukraine kurz vor Weihnachten vergangenen Jahres unterstreicht die Realitätsnähe.

Dieser ist vermutlich auf eine Cyber-Attacke zurückzuführen – ausgelöst durch Schadsoftware in den Anhängen von E-Mails, die Mitarbeiter des Energieversorgers geöffnet hatten.

Test in Ettlingen

Dass die Stromnetze hierzulande gleichfalls nicht vor böswilligen Attacken gefeit sind, offenbarte bereits vor zwei Jahren ein Selbsttest der Ettlinger Stadtwerke. Binnen zwei Tagen hatte ein beauftragter IT-Experte sich in das Netz der Stadtwerke ›gehackt‹ und die Kontrolle über die Steuerungsleitwarte übernommen.

Grundsätzlich gilt: 100%ige Sicherheit kann es nicht geben. Das Schutzniveau der IT-, Kommunikations- und Steuerungstechnik-Infrastrukturen ist keine Frage der Technik, sondern zuvorderst eine Frage von definierten Prozessen und der Organisation von Sicherheitsmaßnahmen. In der Konsequenz heißt das: Erstens muss für den Aufbau eines ganzheitlichen Sicherheitskonzepts der Wert der zu schützenden Dokumente, Systeme und Prozesse für eine Organisation definiert werden, um hieraus Risiken sowie notwendige organisatorische und technische Sicherheitsmaßnahmen abzuleiten. Und zweitens müssen Ziele und Maßnahmen der Informationssicherheit auf allen Ebenen und in allen Köpfen einer Organisation verankert werden.

Vor- und nacharbeiten

Um ein Lagebild zur Wirksamkeit der Sicherheitsmaßnahmen zu erhalten, empfiehlt sich die Durchführung von Penetrationstests. Dies ermöglicht die Überprüfung umgesetzter Maßnahmen in den besonders sensiblen Bereichen, in denen Systemausfälle zu massiven Auswirkungen führen.

Bei BTC unterstützen zertifizierte Ethical Hacker diese Arbeiten. Das Besondere: Die Fachexperten machen sich das Vorgehen und die Techniken von kriminellen Hackern zu eigen, um Sicherheitsrisiken aufzuspüren, ohne diese jedoch böswillig auszunutzen. Denn Sinn und Zweck von Penetrationstests ist es, Sicherheitslücken zu erkennen und zu bewerten, bevor diese unbemerkt für Angriffe verwendet werden.

Bei der Auswertung der Ergebnisse kommt Interessantes zutage: Es bestätigt sich wiederholt, dass bereits das Beachten kleiner organisatorischer Kniffe sowie eine verlässliche Sensibilisierung in Bezug auf die potenzielle Gefährdung eine große Schutzwirkung entfalten können.

Wer ist zuständig?

Beispielsweise fällt in Penetrationstests häufig auf, dass Rollen und Zuständigkeiten für Prozesse und Systeme unter Sicherheitsaspekten nicht sauber definiert sind und keine zentrale Verantwortung institutionalisiert ist.

Wenn eine Windows-basierte Leitstelle von der Netzleittechnik betreut wird und die Wartung von Windows-Servern in der Unternehmens-IT angesiedelt ist, droht schnell die Gefahr, dass Informationen über neue Patches zum Schließen von Sicherheitslücken nicht von der IT- zur Fachabteilung durchgereicht werden. Zu den immer wieder anzutreffenden organisatorischen Verbesserungspotenzialen gehört auch, dass keine Netztrennung nach Risiko-Klassen vorgenommen beziehungsweise durchgehalten wird. Wer aber ohne Not, unternehmenskritische Steuerungssysteme und weniger kritische Büro-Computer in einem gemeinsamen Netzwerkabschnitt betreibt, holt sich schnell ein unnötiges Risiko ins Haus.

Passwortqualität

Eine offene Flanke sowohl aus technischer als auch organisatorischer Warte stellt die Passwort-Thematik dar. Penetrationstest zeigen, dass nach wie vor zu einfache Passworte als Zugangsberechtigung für alle Systeme gewählt werden. Äußerst zählebig erweisen sich auch die vom Hersteller voreingestellten Standardkennworte in Leitechnik und SCADA-Systemen.

Eine wiederkehrende Problematik sind einmal vergebene Berechtigungen und Gruppenkennungen, die bei Stellen- oder Aufgabenwechsel nicht gelöscht beziehungsweise geändert werden.

Das kann zu der gar nicht so amüsanten Konsequenz führen, dass Auszubildende oder Trainees, die unterschiedliche Abteilungen durchlaufen, die meisten Zugriffsberechtigungen besitzen. Ohne ein belastbares Berechtigungsmanagement wird es in diesen Fällen aber keine Sicherheit geben. Dazu gehört als ergänzende technische Maßnahme, dass mit Hilfe einer Überwachungssoftware ein Brute-Force-Angriff zum Knacken des Passwortes erkannt und gemeldet wird.

Sorglosigkeit

Wesentliche Sicherheitslücken und Einfallstore können indes auch durch mangelnde Sensibilisierung entstehen. Immer wieder klicken Mitarbeiter vorschnell auf den Anhang einer täuschend echt wirkenden E-Mail und installieren auf diesem Weg eine Spähsoftware.

Selbst ein harmlos aussehender, im Büro gefundener USB-Stick, den ein Angestellter aus Neugier in seinen Computer steckt, bedeutet ein formidables Angriffsrisiko.

Selbst wenn die genannten Beispiele zum Teil banal wirken, zeugt das Beispiel der Ettlinger Stadtwerke von ihrer Realitätsnähe. Denn auch hier war es ein offener Netz-Port im Gästehaus der Stadtwerke. Zusätzlich betrieb der Ethical Hacker Social Engineering und analysierte Kommunikationsmuster, die letztendlich das Tor zur Leitwarte öffneten.

Christian Bruns (BTC)

Gegenwehr

• Vermeidung generischer Kontaktkanäle, sichere Handhabung gedruckter Informationen, Einschränkung

automatisierter System-Antworten 

• Verwendung starker Passwörter, Vermeidung der Systeminbetriebnahme mit voreingestellten Kennworten

• Systemhärtung, Patchmanagement 

• IPS zur regelgestützten Kommunikationskontrolle, IDS zum Aufspüren von Sicherheitsverletzungen, VPN-Tunnel zur verschlüsselten Kommunikation

• Kontrolle: Log-Shipping und Auswertungen von Protokolldateien 

• Schwachstellenanaylse interner und externer Systeme

Erschienen in Ausgabe: 06/2016