Werden Daten nicht sicher verschlüsselt, können Hacker diese mitlesen, sie verändern oder die Datenübertragung stören (Quelle: Rohde & Schwarz Cybersecurity)
Ein Vorfall aus dem vergangenen Frühjahr zeigt, dass Angriffe auf Kritische Infrastrukturen (KRITIS) längst keine Szenarien aus Katastrophenfilmen mehr sind: Die satellitengestützte Kommunikation von Windrädern in ganz Deutschland war im Februar 2022 durch einen Hackerangriff für mehrere Wochen unterbrochen worden. Die Fernwartung war infolgedessen gestört. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eingeschaltet. Die Störung hatte zwar keinen Einfluss auf die Stromproduktion. Aber im Falle eines Problems hätte dieses nicht aus der Ferne behoben werden können.
Insbesondere in der Energiewirtschaft ist das Steuern und Überwachen von Anlagen essenziell für eine moderne Stromversorgung. Gleichzeitig sind die Infrastrukturen Strom, Gas, Wasser und Wärme über weit verzweigte Versorgungsgebiete und abgesetzte Stationen verteilt. In der Phase ihrer Übertragung zwischen Standorten geraten Kommunikationsdaten – die „Data in Motion“ – vermehrt in den Fokus von Cyberkriminellen. Und haben es dabei immer leichter. Während die Fernwirktechnik vor 50 Jahren noch analog per Mensch und Telefon weitergegeben wurde, erfolgen Schaltbefehle heute durch die Übertragung von Daten. Die Daten werden über verschiedene Übertragungsmedien (GSM, Funk oder drahtgebunden) beispielsweise an die Zentralstation oder Leittechnik übergeben. Ein potenzielles Angriffsziel für Sabotage und Manipulation.
Vielfältige Angriffsszenarien
Gemäß IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen aus dem Jahr 2015 werden Betreiber von Grundversorgungsnetzen (Strom, Gas, Wasser) vor die Aufgabe gestellt, die vorhandene Leit- und Fernwirkinfrastruktur gegenüber Cyberangriffen zu schützen. Jedoch ist dieser Schutz nicht immer wirksam.
Werden Daten nicht sicher verschlüsselt, können Hacker diese mitlesen, sie verändern oder die Datenübertragung stören. Die größte Gefahr geht bei Schaltbefehlen von einer Manipulation der Daten aus. Die Angriffsszenarien sind vielfältig: Wenn ein Signal eines Energieversorgers an ein Umspannwerk von Unbefugten verändert wird, ist die Stromversorgung in Gefahr. Ein Blackout kann die Folge sein.
Ein anderes Beispiel: Wasserversorgung. Wasserwerke senden Befehle an verschiedene Pumpenstandorte, um dort Grundwasser zu fördern. Durch eine Manipulation der Daten könnten alle Pumpen herunterfahren, wodurch die Wasserversorgung zusammenbrechen würde. Verhindern lässt sich eine solche Manipulation von Daten, indem man diese kryptografisch absichert. Nur Sender und Empfänger haben dann schreibenden und lesenden Zugriff auf den Inhalt der Nachricht.
Netzwerkverschlüsseler dringend benötigt
Wer die Integrität und Vertraulichkeit seiner Kommunikationsdaten schützen will, wenn diese das Firmengelände verlassen, benötigt daher einen Netzwerkverschlüsseler. Die Geräte schützen vor Spionage und Manipulation von Daten, die per Internet oder Ethernet über Festnetz, Richtfunk oder Satellit übertragen werden. Sobald die Daten den Unternehmenssitz oder das Rechenzentrum verlassen, werden sie für den Transport zur Zieladresse verschlüsselt. Am Zielort angekommen wird der Befehl mithilfe eines weiteren Gerätes wieder entschlüsselt.
Die Herausforderung: Die kryptografische Absicherung sollte zwar hochsicher sein und Daten vor Angreifern schützen. Doch gleichzeitig sollte sie eine Übertragung nicht verlangsamen. Der entscheidende Faktor ist hier die Latenz – also die Zeit, die Daten benötigen, um von einem Punkt in einem Netzwerk zu einem anderen zu gelangen.
Entscheidend für die Latenz ist u.a., auf welcher Ebene des Übertragungsnetzes die Verschlüsselung stattfindet. Für Unternehmen, die über ein Ethernet-Netzwerk verfügen, bietet sich eine Layer-2-Verschlüsselung an. Eine Verschlüsselung auf dieser Schicht ermöglicht eine Grundsicherung mit minimalem Performanceverlust. Nutzer profitieren von voller Leitungsgeschwindigkeit bei extrem geringer Latenz. Die Verschlüsselung ist in Echtzeit möglich. Layer-2-Verschlüsseler eignen sich für den Einsatz an zentralen Standorten von kritischen Infrastrukturen und in Rechenzentren und sichern auch große und komplexe Netze auf einfache Weise ab.