Ein modernes und effektives Systems zur Cyberangriffserkennung muss insbesondere auch die Unterstationen umfassen (Quelle: Pixabay)
Sobald das aktualisierte IT-Sicherheitsgesetz dieses Jahr verabschiedet ist, bleibt den zu den kritischen Infrastrukturen zählenden Energieversorgungsunternehmen (EVU) nicht viel Zeit. Binnen zwei Jahren sollen sie dann ein System zur Angriffserkennung in ihrer IT und Netzleittechnik umgesetzt haben. Wenn der Zeitplan nicht schon Druck erzeugt, ist es spätestens die Komplexität vieler Infrastrukturen.
Die Leitwarte abzusichern, ist das eine. Darüber hinaus dutzende bis hunderte von Unterstationen – von der Erneuerbare-Energie-Anlage bis zum Umspannwerk – zu schützen, ist das andere. Aktuell fehlt den meisten EVUs ein Mindestmaß an Sichtbarkeit und Transparenz in diesen Anlagen. Für den Fall der Fälle bedeutet das: Die Leitwarte merkt erst etwas, wenn die Störung vorliegt oder das Problem auf andere Unterstationen übergreift.
Die Ruhe trügt
Firewalls halten zwar die gröbsten Angriffsformen zurück, z. B. Attacken von Ransomware, Denial-Of-Service oder Schadsoftware auf Basis bekannter Angriffsmuster. Jedoch dürften die wirklich disruptiven Angriffe, die auf einen Blackout oder die Beschädigung der Anlagen zielen, über andere Wege ins System gelangen.
Einer der eindrücklichsten Angriffe im Bereich der Energieversorgung ist nach wie vor der Fall Industroyer (oder Crashoverride). Dezember 2016 legte die Hackergruppe Electrum ein 330-kV-Umspannwerk bei Kiew lahm. 20 % der Stadt waren für eine Stunde ohne Strom. Die Angreifer hatten bereits Januar 2016 über eine Phishingkampagne Zugang zum Netzwerk des Energieversorgers Ukrenergo erhalten. Über 11 Monate kundschafteten sie das Netzwerk aus und bewegten sich Schritt für Schritt zum Zielsystem, bevor sie zuschlugen. Die gesamte Zeit nutzten sie fast ausschließlich autorisierte Kanäle mit Administratorrechten sowie native Kommunikationsstrukturen. Weder der IT-Sicherheit noch der Leitwarte fiel in diesem Zeitraum etwas auf. Und als das Umspannwerk vom Netz ging, verlor die Leitwarte jegliche Kontrolle über die Steuerung.
Auch wenn es seitdem keinen weiteren (bekannten) Angriff dieser Größenordnung auf ein EVU gegeben hat, zeigen zwei Vorfälle der letzten 12 Monate, weshalb die Ruhe trügerisch ist. März 2020 wurden mit Ripple20 insgesamt 19 Sicherheitslücken in einer der grundlegenden Softwarebibliotheken von IoT-Geräten bekannt. Über die Schwachstellen können Angreifer die IoT-Geräte übernehmen, manipulieren oder als Eintrittspforte für das restliche Netzwerk nutzen.
Die Softwarebibliothek bildet das Fundament für die Netzwerkkommunikation der IoT-Geräte und wird seit über 20 Jahren weltweit veräußert – auch als Whitelabel. In der Endkonsequenz können vielerorts weder die Bibliothek nicht mehr eindeutig identifiziert noch die Schwachstellen geschlossen werden. Mit der Digitalisierung nutzen auch EVUs zunehmend IoT-fähige Geräte für die Überwachung und Steuerung der Prozesse.
Dezember 2020 wurde bekannt, dass eine Vielzahl von Regierungsbehörden und Unternehmen in den USA durch einen Spionageangriff kompromittiert wurden. Dabei wurden die Organisationen nicht direkt attackiert. Vielmehr begannen die Angreifer weiter unten in der Lieferkette. Sie kompromittierten zuerst den Softwaredienstleister SolarWinds, dessen Plattform Orion von rund 18.000 Unternehmen, Ministerien und Behörden genutzt wird. Über diese verschafften sich die Angreifer Zugriff auf die Unternehmensnetzwerke ihrer eigentlichen Ziele. Unter anderem waren die Technologieunternehmen Microsoft, FireEye und CrowdStrike betroffen.
In 13 Schritten zum Blackout
Dieses Vorgehen ist in der Fachwelt als Supply Chain Compromise bekannt. Es ist laut MITRE ATT&CK nur eine von vielen Techniken, die bei Hackerangriffen auf industrielle Netzwerke zur Anwendung kommen. MITRE ATT&CK ist ein Framework, das die Phasen und möglichen Techniken eines Angriffs auf Steuerungssysteme und Netzleittechnik detailliert beschreibt. Insgesamt sind nach aktuellem Stand 11 Phasen und 96 Techniken bekannt. 16 weitere Techniken werden den vorgelagerten Phasen der Auskundschaftung und Methodenauswahl zugeordnet.
Das Framework verdeutlicht ganz generell, wie komplex Angriffe mitunter sind. Dabei sollte bedacht werden, dass kritische Infrastrukturen die Versorgungssicherheit eines Staates aufrechterhalten. Die Gegner von EVUs sind somit weniger kleine Cyberkriminelle, die auf ein paar Bitcoin aus sind. Vielmehr sind es staatlich geförderte oder kontrollierte Hackergruppen mit einem hohen Maß an Ressourcen und Knowhow. Somit kann davon ausgegangen werden, dass die wirklich ernst gemeinten Angriffe auf EVUs keinem Schema F folgen, das Firewalls en passant erkennen und abwehren.
Techniken wie die Supply Chain Compromise bekräftigen zudem eine Wahrheit, die schon lange bekannt, aber selten konkret adressiert wird: Es gibt keine hundertprozentige Sicherheit und Abwehr. Ein EVU kann sich nicht auch um die Cybersicherheit seiner Zulieferer und Dienstleister kümmern. Und selbst in den eigenen Reihen ist das schwierig, wie erfolgreiche Phishing-Kampagnen gezeigt haben. Im MITRE ATT&CKFramework finden sich eine Vielzahl von Techniken, die auf autorisierte Kanäle sowie native Tools und Protokollstrukturen zurückgreifen. Dieser auch als „Living Off The Land“ bekannte Ansatz ist für die gängigen signaturbasierten Detektionsmechanismen unsichtbar. Organisationen sollten also stets davon ausgehen, dass das eigene Netzwerk grundsätzlich kompromittiert werden kann und womöglich schon ist.