Im Gegensatz zu beispielsweise Banken waren Strom- und Gasunternehmen bisher kein bevorzugtes Ziel von Cyber-Angriffen. Doch das ändert sich - eine zunehmende Anzahl von Cyber-Terroristen, sogenannten "Hacktivisten" oder sogar Angreifern in regierungsamtlichem Auftrag haben zuletzt öffentliche Versorgungsnetze ins Visier genommen. Die sich zum Teil verschärfende geopolitische Situation und die aktuellen Smart-Grid-Projekte der Energieversorger verschlimmern die Bedrohungslage zusätzlich.
Foto: Perrush - Fotolia.com
Zwei Tage genügten: Im Auftrag der Stadtwerke Ettlingen machte sich ein Hacker daran, die Kontrolle über die Stromnetze der südwestdeutschen Stadt zu übernehmen. Und tatsächlich gelang es ihm, innerhalb von 48 Stunden in die Kernsysteme der städtischen Stromversorgung vorzudringen. Diese Geschichte, die im April durch die deutschen Medien ging, zeigt, dass offenbar hierzulande vermeintlich sichere Versorgungssysteme verwundbar sind. Auch in den USA schafften es im vergangenen Jahr Cyber-Spione, in das Netzwerk von 23 Gas-Pipeline-Betreibern einzudringen und Informationen zu stehlen. Mit ihrer Hilfe hätten die virtuellen Agenten den Gastransport zumindest zeitweise lahmlegen können. Die digitalen Signaturen dieser Angriffe konnten im Nachhinein einer Spionagegruppe zugeordnet werden, die mit dem chinesischen Militär verbunden ist.
Häufigere, komplexere Angriffe
Dass solche Attacken keine Einzelfälle mehr sind und reale Bedrohungen darstellen, betont auch die Europäische Agentur für Netz- und Informationssicherheit ENISA (European Union Agency for Network and Information Security). Im vergangenen Jahr beobachteten ihre Analysten einen starken Anstieg zum Beispiel an Trojaner-, Botnet- und Distributed Denial of Service- (DDoS-)Attacken auf Betreiber kritischer Infrastrukturen.
Auch der Jahresbericht 2013 des IT-Sicherheitsanbieters Radware setzt das Risikopotenzial für Versorgungsunternehmen um einen Level nach oben, obwohl er zugleich darauf hinweist, dass Gas- und Stromnetzwerke grundsätzlich besser geschützt seien als andere Branchen. Der Grund: Die Versorger halten ihre Energie- und die IT-Netze grundsätzlich voneinander getrennt. Doch betont der Radware-Report auch, dass die Angriffe nicht nur häufiger, sondern auch komplexer und massiver werden sowie länger anhalten. So wiesen 2013 die Hälfte aller untersuchten DDoS-Attacken als mit Abstand häufigste Angriffsform fünf oder mehr unterschiedliche Einbrucharten gleichzeitig auf: neben den klassischen volumetrischen, auch zunehmend Attacken auf Netzwerke und Applikationen.
Für Energieversorger kommt hinzu, dass sich ihre Systemlandschaft derzeit rasant ausdifferenziert und die klare Trennung zwischen Versorgungs- und IT-Netz zum Teil aufweicht. Denn der Trend zu mobilen und drahtlosen Lösungen - Stichwort "Smart Grids" - gewinnt in der Energiebranche gerade besonders an Fahrt. Ihren Nutzen schöpfen Smart Grids daraus, dass sie Energie- und Informationssysteme miteinander integrieren. Die Systemlandschaft besteht dabei aus einer Vielzahl unterschiedlichster Bestandteile und Systeme - von IT-basierten Komponenten als Teil von Elektrizitäts- und Transportnetzen bis hin zu klassischen Abrechnungsapplikationen. Darüber hinaus ist zu erwarten, dass die Komplexität des Smart Grid-Ökosystems weiter wächst, weil es weitere Elemente zum Beispiel von Smart City- oder Smart Mobility-Umgebungen mitaufnehmen wird.
DDoS-Angriffe auf Stromleitungen
Die mit diesem Ökosystem verbundenen Sicherheitsgefahren gehen in grundsätzlich zwei unterschiedliche Richtungen: Angriffe können einerseits zum Ziel haben, sensible Kundeninformationen über Energieverbräuche oder Kreditkarten zu erlangen und sich dadurch zum Beispiel finanzielle Vorteile zu verschaffen. Die bei Smart Grids verwendeten mobilen und drahtlosen Übertragungswege zum Beispiel stellen dabei potenzielle Schwachstellen dar. Andererseits zielt die zweite Art der Angriffe auf die Versorgernetze selbst - etwa in Form von DDoS-Attacken. Diese haben es in der Regel darauf abgesehen, Systeme, Funktionen und Services auf potenziell vielen verschiedenen Ebenen außer Gefecht zu setzen: sei es im Energienetzwerk selbst oder auf der Datenebene. Zudem können DDoS-Attacken indirekt auch auf Stromleitungen Überlast erzeugen und sie somit zum Kollaps bringen.
Zum Video: IT-Attacke aufs Stromnetz
Auf solche Gefahren ausgelegte Sicherheitskonzepte stecken bei den meisten Versorgungsunternehmen derzeit noch in den Kinderschuhen. Da die Risiken, mögliche Angreifergruppen und gefährdete Systeme jedoch mittlerweile gut definiert und analysiert sind, lassen sich die notwendigen Maßnahmen recht genau beschreiben. Dies hat zum Beispiel die ENISA Ende vergangenen Jahres in einem "Smart Grid Good Practice Guide" getan, folgend auszugsweise wiedergegeben:
IT-Sicherheitstipps für Smart Grids
Entwickeln von Angriffsszenarios für Smart Grid-Komponenten
Kritikalität aller Smart-Grid-Komponenten evaluieren
Mögliche Schadensauswirkungen evaluieren
Smart Grid-Begriffe und -Definitionen standardisieren
Verstärkte Kooperation und Standardisierung über Unternehmens- und Ländergrenzen hinaus
Überschneidungen zwischen Betriebsschutz und IT-Sicherheit identifizieren und harmonisieren
Kommunikationsplattform für IT-Sicherheit etablieren
Prüfen, welchen Nutzen Ansätze der Compliance, Reifegrade oder Zertifizierungen bringen
Regelmäßiges Update bzgl. neuer Entwicklungen und Erkenntnisse des Smart Grid-Markts
Werkzeuge nutzen
Bei der konkreten Abwehr von Angriffen stehen DDoS-abwehrende Maßnahmen und Werkzeuge im Mittelpunkt. Denn allgemein hat nicht nur die Zahl, sondern auch die Schwere der DDoS-Angriffe nach Einschätzung aller Sicherheitsanalysten innerhalb der vergangenen drei Jahre erheblich zugenommen. Das liegt nicht etwa nur daran, dass die Attacken länger dauern. Vielmehr nahmen vor allem die Zahl und die Komplexität der unterschiedlichen Angriffsarten zu. Außerdem setzen viele Angreifer mittlerweile Verschleierungstechniken ein, um unterhalb des Abwehrradars der heute üblichen Schutzwerkzeuge zu bleiben, die erst bei ungewöhnlich hohem Datendurchsatz Alarm schlagen.
Solche schleichenden Angriffe verursachen zwar nicht den Ausfall ganzer Server oder Netzwerke, führt aber zu einem allmählichen Verlust der Leistungsfähigkeit, was mittel- und langfristig gesehen oft größeren Schaden anrichten kann als kurzfristige Total-Blackouts. Zudem dienen solche niederschwelligen Angriffe oft der Ablenkung. Sie sollen vor allem andere Einbruchsversuche verschleiern, welche die eigentliche Gefahr für Netzwerke und Systeme darstellen.
Zum Video: IT-Attacke aufs Stromnetz
Schutz meist noch nur eindimensional
Sobald Unternehmen angesichts solcher Szenarien DDoS-Abwehrwerkzeuge installiert haben, wähnen sie sich zumeist auf der sicheren Seite. Doch diese vermeintliche Sicherheit trügt, weil dieser Schutz im Ernstfall zumeist keiner ist. Heutzutage installierte Schutz-Tools sind Lösungen, die den Umfang des Datenverkehrs überwachen und bei ungewöhnlichen Lasten die Datenströme umleiten und so von den zu schützenden Systemen fernhalten. Solche Ansätze alleine kommen jedoch mit den aktuellen vielschichtigen Angriffen nicht mehr klar. Zumeist bedient sich eine heutige DDoS-Operation fünf bis zu mehr als zehn verschiedener Angriffsstrategien wie zum Beispiel SYN-, UDP- und HTTP-Flooding, Angriffen auf Suchfelder, Login-Seiten oder versteckt im SSL- Datenstrom.
Foto: Radware ERT-Report 2013
Dementsprechend muss auch die Abwehr multidimensional aufgestellt sein, die sowohl mit volumetrischen Angriffen auf Netzwerke als auch mit SSL-Attacken sowie mit Vorstößen auf Anwendungsebene klar kommt - und zwar schnell. Denn die Schnelligkeit bei der Abwehr entscheidet in großem Maß über deren Erfolg. Herkömmliche Lösungen, die Datenverkehr vor allem umleiten, reagieren in der Regel nicht mehr prompt genug. Und wenn sich die DoS-/DDoS-Abwehr aus verschiedenen Einzellösungen zusammensetzt, führt ihre Kommunikation untereinander zudem zu weiteren Verzögerungen. Gefragt sind daher zentralisierte Lösungen, die auf unterschiedlichste Angriffsarten ausgelegt sind und deren Komponenten zudem auch über verschiedenste Systemumgebungen hinweg miteinander kommunizieren können. Dies beinhaltet auch verteilte, zum Teil outgesourcte Umgebungen, wie sie insbesondere bei Smart Grids an der Tagesordnung sind.
Foto: Radware
Heutige Abwehrlösungen sind in der Lage, diese weit verstreuten Systemkomponenten vom eigenen Netzwerk bis in die Cloud hinein mit ihrer Vielzahl potenzieller Einfallstore für Angreifer miteinander zu koordinieren und zu integrieren. Auf diese Weise können die Teile des Abwehrsystems nicht mehr nur innerhalb des Datenstroms des eigenen Netzwerks, sondern auch "out of path" agieren - also in der engeren und weiteren Umgebung des Netzwerks. Die Echtzeit-Erkennung von Angriffen und ihre Abwehr muss dabei automatisiert und ohne Zeitverluste von statten gehen. Dies setzt voraus, dass auch die Art der jeweils effektivsten Abwehrmaßnahmen und deren Ort im Netzwerk oder seiner Umgebung automatisch erfolgen. (sh)