Guideline: Leittechnik gegen Angriffe absichern

Stadtwerke geraten zunehmend ins Visier von Hackern. Mit gezielten Angriffen versuchen Kriminelle oder staatlich organisierte Hackergruppen den Betrieb nachhaltig zu stören oder komplett lahmzulegen. Entweder versuchen sie per Ransomware den Zugang zu den IT-Systemen zu sperren und die Betreiber zu erpressen oder sie stören per DDoS-Angriff die Versorgungsanlagen der Stadtwerke in ihrer Funktion. Ein kurze Guideline, wie sich Stadtwerke besser schützen können.

Cyber-Attacken gegen Stadtwerke richten sich zwar momentan oftmals gegen das Backoffice mit seinen sensiblen Kundendaten, aber die Gefahr droht auch an anderer Stelle: in der Leittechnik. Gelangen Hacker in den laufenden Betrieb der Versorgungssysteme, steht ihnen die Türen weit offen. Sie sind dann in der Lage, die Versorgung im schlimmsten Fall auszuschalten. Klar ist: Selbst eine kurzfristige Störung der Energieversorgung wirkt sich massiv auf viele Bereiche des Lebens aus – von den finanziellen Schäden einmal ganz abgesehen. Deswegen gilt es sich gezielt davor zu schützen.

Wie sieht so ein Angriff konkret aus?

Ein Fallbeispiel: In der Zentrale eines Energieversorgers fing der Cursor auf dem Überwachungsmonitor plötzlich an, ein reges Eigenleben zu führen. Der zuständige Mitarbeiter an diesem Abend reagierte zwar, konnte aber die Situation nicht entschärfen. Der Cursor bewegte sich wie von Geisterhand auf die Leistungstrennschalter zu und klickte sie an. Das Werk wurde abgekoppelt. Der Mitarbeiter konnte nur noch erstaunt zusehen – Zugriff auf das Überwachungssystem hatte er nicht mehr, er wurde sogar komplett ausgeloggt. Der Versuch, wieder ins System zu gelangen, scheiterte; die Passwörter waren geändert worden. Die Folge: Es dauerte Stunden, bis das Netz wieder aktiv war.

Bei der nachfolgenden Analyse des Angriffs stellte man fest, dass das Netzwerk über Monate ausspioniert worden war. Die Leistungstrennschalter hatten die Angreifer durch Fernwartungswerkzeuge und durch Software, die via VPN-Verbindung und Scada auf industrielle Fernsteuersysteme zugreift, direkt angesteuert und sich auf diese Weise Zutritt verschafft.

Wie gut ist meine Leittechnik gesichert?

Das Beispiel zeigt, wie wichtig der richtige Schutz ist. Deswegen gilt es, die eigenen Security-Systeme ohne Scheuklappen zu hinterfragen. Hacker spüren Schwachstellen sofort auf. Sie kennen alle Tricks und sind nur mit modernster Technologie davon abzuhalten, in die Systeme einzudringen. „never touch a running system“ ist also der falsche Ansatz im Abwehrkampf gegen Angreifer.

Die Leittechnik sollte sich in diesem Zusammenhang folgende Fragen stellen:

Bin ich in der Lage, Anomalien im Netz zu erkennen?
Wurde meine Firewall-Konfiguration von einer unabhängigen Stelle überprüft?
Verfügt mein Fernwirknetzwerk über Detection und Intrusion Protection an allen kritischen Punkten?
Sind alle Anlagen mit VPN-Verschlüsselung, die den BSI-Empfehlungen entsprechen, gesichert?
Sind unbefugte Steuerungsbefehle für Anlagen und Zugriffe auf Anlagen durch Firewalls an den Anlagen gesichert?
Haben meine Anlagen zusätzlich eine Intrusion Protection, um Angriffe aktiv abzuwehren?
Gibt es ein SIEM-System (Security Information and Event Management), um die generierten Sicherheitsdaten aller Firewalls (Anlagen und Leitstelle) auszuwerten und daraus Meldungen zu generieren?

Können nicht alle Fragen der Guideline eindeutig mit Ja beantwortet werden, besteht in der Regel Handlungsbedarf.

Die konkreten Folgen einer nicht konsequent umgesetzten Sicherheitsstrategie

Falls keine Firewall an der Anlage selber angebracht ist, die Steuerungsbefehle oder Zugriffe reguliert, können sich Angreifer in das Netz einklinken und beliebige Steuerbefehle in das Netz schicken, die in Folge die Anlagen beschädigen oder gar abschalten.

Falls die Anlagen über keine Intrusion Protection verfügen, können diese nicht selbst auf Angriffe und Anomalien reagieren. Das Personal muss diese feststellen und dann Maßnahmen ergreifen. Dies kann zum Teil einen erheblichen Zeitnachteil bedeuten. Konkreter Fall: Ein Angriff passierte mitten in der Nacht und die zuständigen Mitarbeiter des Stadtwerks mussten geweckt und in die Zentrale beordert werden, um die Lage zu analysieren – Zeit ist aber bei einem Angriff ein bedeutender Faktor. Wichtig in diesem Zusammenhang: Auch eine reine Intrusion Detection hilft nicht, da man nur mit Zeitverzug Angriffe feststellen und melden kann. Damit habe ich zwar nach dem IT-Sicherheitsgesetz einen Angriff festgestellt (detected), aber nicht abgewehrt (protection), was viel wichtiger wäre – ein entscheidender Punkt. Eine Reaktion in Echtzeit ist wichtig.

Summary

Die Angriffe nehmen zu, es gilt sich richtig abzusichern. Deswegen ist eine Analyse des Ist-Zustandes von zentraler Bedeutung. Werden dabei Schwachstellen entdeckt, sollte die IT sofort handeln. Ein Aufschub oder gar ein “weiter so wie bisher” könnte fatale Folgen haben, vor allem in unsicheren Zeiten wie diesen. Es reicht nicht mehr, den “Stand der Technik” abzubilden und die Vorschriften zu erfüllen. Die Angreifer schlafen nicht.

Sollten Sie Fragen haben oder gar eine tiefergehende Analyse durchführen wollen, sprechen Sie mit uns. Wir helfen Ihnen gerne weiter. Unser Expertenteam ist für Sie da – schnell und unkompliziert. Sicherheit ist in unser aller Interesse.

Foto: istock/gorodenkoff

Kontakt

VT AIR Demo Download

VT AIR 100 Business Firewall

Guideline: Leittechnik gegen Angriffe absichern

Information

Legal

Mein Konto

VT AIR 100 Business Firewall

Guideline: Leittechnik gegen Angriffe absichern

Ähnliche Beiträge

IT-Security in Schulen und Hochschulen

Security-Baustein Firewall: der unerlässliche Schutz für OT-Netzwerke

„Wir bieten ein modernes OT-Security-Konzept“

OT-Netze richtig schützen: das innovative VT AIR OT-Security-Konzept

Information

Legal

Mein Konto