Smart Grids

IT-Attacke aufs Stromnetz

Als EMEA-Botschafter für IT-Sicherheit bei Radware ist Werner Thalmeier unter anderem verantwortlich für die Positionierung von Radwares Security-Produktportfolios in der EMEA-Region. Thalmeier blickt auf über 20 Jahre Berufserfahrung im Bereich Internet-Sicherheit zurück, unter anderem bei M86 Security und Finjan.
Smart Grids erleichtern Cyber-Angriffe auf Energieversorger. Neue Sicherheitsstrategien sind gefragt.

Im Gegensatz zu beispielsweise Banken waren Strom- und Gasunternehmen bisher kein bevorzugtes Ziel von Cyber-Angriffen. Doch das ändert sich - eine zunehmende Anzahl von Cyber-Terroristen, sogenannten "Hacktivisten" oder sogar Angreifern in regierungsamtlichem Auftrag haben zuletzt öffentliche Versorgungsnetze ins Visier genommen. Die sich zum Teil verschärfende geopolitische Situation und die aktuellen Smart-Grid-Projekte der Energieversorger verschlimmern die Bedrohungslage zusätzlich.

Vorsicht vor Cyber-Angriffen auf die Stromversorgung!
Vorsicht vor Cyber-Angriffen auf die Stromversorgung!
Foto: Perrush - Fotolia.com

Zwei Tage genügten: Im Auftrag der Stadtwerke Ettlingen machte sich ein Hacker daran, die Kontrolle über die Stromnetze der südwestdeutschen Stadt zu übernehmen. Und tatsächlich gelang es ihm, innerhalb von 48 Stunden in die Kernsysteme der städtischen Stromversorgung vorzudringen. Diese Geschichte, die im April durch die deutschen Medien ging, zeigt, dass offenbar hierzulande vermeintlich sichere Versorgungssysteme verwundbar sind. Auch in den USA schafften es im vergangenen Jahr Cyber-Spione, in das Netzwerk von 23 Gas-Pipeline-Betreibern einzudringen und Informationen zu stehlen. Mit ihrer Hilfe hätten die virtuellen Agenten den Gastransport zumindest zeitweise lahmlegen können. Die digitalen Signaturen dieser Angriffe konnten im Nachhinein einer Spionagegruppe zugeordnet werden, die mit dem chinesischen Militär verbunden ist.

Häufigere, komplexere Angriffe

Dass solche Attacken keine Einzelfälle mehr sind und reale Bedrohungen darstellen, betont auch die Europäische Agentur für Netz- und Informationssicherheit ENISA (European Union Agency for Network and Information Security). Im vergangenen Jahr beobachteten ihre Analysten einen starken Anstieg zum Beispiel an Trojaner-, Botnet- und Distributed Denial of Service- (DDoS-)Attacken auf Betreiber kritischer Infrastrukturen.

Auch der Jahresbericht 2013 des IT-Sicherheitsanbieters Radware setzt das Risikopotenzial für Versorgungsunternehmen um einen Level nach oben, obwohl er zugleich darauf hinweist, dass Gas- und Stromnetzwerke grundsätzlich besser geschützt seien als andere Branchen. Der Grund: Die Versorger halten ihre Energie- und die IT-Netze grundsätzlich voneinander getrennt. Doch betont der Radware-Report auch, dass die Angriffe nicht nur häufiger, sondern auch komplexer und massiver werden sowie länger anhalten. So wiesen 2013 die Hälfte aller untersuchten DDoS-Attacken als mit Abstand häufigste Angriffsform fünf oder mehr unterschiedliche Einbrucharten gleichzeitig auf: neben den klassischen volumetrischen, auch zunehmend Attacken auf Netzwerke und Applikationen.

Für Energieversorger kommt hinzu, dass sich ihre Systemlandschaft derzeit rasant ausdifferenziert und die klare Trennung zwischen Versorgungs- und IT-Netz zum Teil aufweicht. Denn der Trend zu mobilen und drahtlosen Lösungen - Stichwort "Smart Grids" - gewinnt in der Energiebranche gerade besonders an Fahrt. Ihren Nutzen schöpfen Smart Grids daraus, dass sie Energie- und Informationssysteme miteinander integrieren. Die Systemlandschaft besteht dabei aus einer Vielzahl unterschiedlichster Bestandteile und Systeme - von IT-basierten Komponenten als Teil von Elektrizitäts- und Transportnetzen bis hin zu klassischen Abrechnungsapplikationen. Darüber hinaus ist zu erwarten, dass die Komplexität des Smart Grid-Ökosystems weiter wächst, weil es weitere Elemente zum Beispiel von Smart City- oder Smart Mobility-Umgebungen mitaufnehmen wird.

DDoS-Angriffe auf Stromleitungen

Die mit diesem Ökosystem verbundenen Sicherheitsgefahren gehen in grundsätzlich zwei unterschiedliche Richtungen: Angriffe können einerseits zum Ziel haben, sensible Kundeninformationen über Energieverbräuche oder Kreditkarten zu erlangen und sich dadurch zum Beispiel finanzielle Vorteile zu verschaffen. Die bei Smart Grids verwendeten mobilen und drahtlosen Übertragungswege zum Beispiel stellen dabei potenzielle Schwachstellen dar. Andererseits zielt die zweite Art der Angriffe auf die Versorgernetze selbst - etwa in Form von DDoS-Attacken. Diese haben es in der Regel darauf abgesehen, Systeme, Funktionen und Services auf potenziell vielen verschiedenen Ebenen außer Gefecht zu setzen: sei es im Energienetzwerk selbst oder auf der Datenebene. Zudem können DDoS-Attacken indirekt auch auf Stromleitungen Überlast erzeugen und sie somit zum Kollaps bringen.

Auf solche Gefahren ausgelegte Sicherheitskonzepte stecken bei den meisten Versorgungsunternehmen derzeit noch in den Kinderschuhen. Da die Risiken, mögliche Angreifergruppen und gefährdete Systeme jedoch mittlerweile gut definiert und analysiert sind, lassen sich die notwendigen Maßnahmen recht genau beschreiben. Dies hat zum Beispiel die ENISA Ende vergangenen Jahres in einem "Smart Grid Good Practice Guide" getan, folgend auszugsweise wiedergegeben:

IT-Sicherheitstipps für Smart Grids

  • Entwickeln von Angriffsszenarios für Smart Grid-Komponenten

  • Kritikalität aller Smart-Grid-Komponenten evaluieren

  • Mögliche Schadensauswirkungen evaluieren

  • Smart Grid-Begriffe und -Definitionen standardisieren

  • Verstärkte Kooperation und Standardisierung über Unternehmens- und Ländergrenzen hinaus

  • Überschneidungen zwischen Betriebsschutz und IT-Sicherheit identifizieren und harmonisieren

  • Kommunikationsplattform für IT-Sicherheit etablieren

  • Prüfen, welchen Nutzen Ansätze der Compliance, Reifegrade oder Zertifizierungen bringen

  • Regelmäßiges Update bzgl. neuer Entwicklungen und Erkenntnisse des Smart Grid-Markts

Werkzeuge nutzen

Bei der konkreten Abwehr von Angriffen stehen DDoS-abwehrende Maßnahmen und Werkzeuge im Mittelpunkt. Denn allgemein hat nicht nur die Zahl, sondern auch die Schwere der DDoS-Angriffe nach Einschätzung aller Sicherheitsanalysten innerhalb der vergangenen drei Jahre erheblich zugenommen. Das liegt nicht etwa nur daran, dass die Attacken länger dauern. Vielmehr nahmen vor allem die Zahl und die Komplexität der unterschiedlichen Angriffsarten zu. Außerdem setzen viele Angreifer mittlerweile Verschleierungstechniken ein, um unterhalb des Abwehrradars der heute üblichen Schutzwerkzeuge zu bleiben, die erst bei ungewöhnlich hohem Datendurchsatz Alarm schlagen.

Solche schleichenden Angriffe verursachen zwar nicht den Ausfall ganzer Server oder Netzwerke, führt aber zu einem allmählichen Verlust der Leistungsfähigkeit, was mittel- und langfristig gesehen oft größeren Schaden anrichten kann als kurzfristige Total-Blackouts. Zudem dienen solche niederschwelligen Angriffe oft der Ablenkung. Sie sollen vor allem andere Einbruchsversuche verschleiern, welche die eigentliche Gefahr für Netzwerke und Systeme darstellen.

Schutz meist noch nur eindimensional

Sobald Unternehmen angesichts solcher Szenarien DDoS-Abwehrwerkzeuge installiert haben, wähnen sie sich zumeist auf der sicheren Seite. Doch diese vermeintliche Sicherheit trügt, weil dieser Schutz im Ernstfall zumeist keiner ist. Heutzutage installierte Schutz-Tools sind Lösungen, die den Umfang des Datenverkehrs überwachen und bei ungewöhnlichen Lasten die Datenströme umleiten und so von den zu schützenden Systemen fernhalten. Solche Ansätze alleine kommen jedoch mit den aktuellen vielschichtigen Angriffen nicht mehr klar. Zumeist bedient sich eine heutige DDoS-Operation fünf bis zu mehr als zehn verschiedener Angriffsstrategien wie zum Beispiel SYN-, UDP- und HTTP-Flooding, Angriffen auf Suchfelder, Login-Seiten oder versteckt im SSL- Datenstrom.

Die meisten DDoS-Attacken im Jahr 2013 fußten auf fünf oder mehr verschiedenen Angriffsstrategien, wie diese Grafik aus dem Radware ERT-Report 2013 zeigt.
Die meisten DDoS-Attacken im Jahr 2013 fußten auf fünf oder mehr verschiedenen Angriffsstrategien, wie diese Grafik aus dem Radware ERT-Report 2013 zeigt.
Foto: Radware ERT-Report 2013

Dementsprechend muss auch die Abwehr multidimensional aufgestellt sein, die sowohl mit volumetrischen Angriffen auf Netzwerke als auch mit SSL-Attacken sowie mit Vorstößen auf Anwendungsebene klar kommt - und zwar schnell. Denn die Schnelligkeit bei der Abwehr entscheidet in großem Maß über deren Erfolg. Herkömmliche Lösungen, die Datenverkehr vor allem umleiten, reagieren in der Regel nicht mehr prompt genug. Und wenn sich die DoS-/DDoS-Abwehr aus verschiedenen Einzellösungen zusammensetzt, führt ihre Kommunikation untereinander zudem zu weiteren Verzögerungen. Gefragt sind daher zentralisierte Lösungen, die auf unterschiedlichste Angriffsarten ausgelegt sind und deren Komponenten zudem auch über verschiedenste Systemumgebungen hinweg miteinander kommunizieren können. Dies beinhaltet auch verteilte, zum Teil outgesourcte Umgebungen, wie sie insbesondere bei Smart Grids an der Tagesordnung sind.

Die "Layered Line of Defense": Heutige Lösungen der Cyber-Abwehr bauen mehrfach gestaffelte Verteidigungslinien auf.
Die "Layered Line of Defense": Heutige Lösungen der Cyber-Abwehr bauen mehrfach gestaffelte Verteidigungslinien auf.
Foto: Radware

Heutige Abwehrlösungen sind in der Lage, diese weit verstreuten Systemkomponenten vom eigenen Netzwerk bis in die Cloud hinein mit ihrer Vielzahl potenzieller Einfallstore für Angreifer miteinander zu koordinieren und zu integrieren. Auf diese Weise können die Teile des Abwehrsystems nicht mehr nur innerhalb des Datenstroms des eigenen Netzwerks, sondern auch "out of path" agieren - also in der engeren und weiteren Umgebung des Netzwerks. Die Echtzeit-Erkennung von Angriffen und ihre Abwehr muss dabei automatisiert und ohne Zeitverluste von statten gehen. Dies setzt voraus, dass auch die Art der jeweils effektivsten Abwehrmaßnahmen und deren Ort im Netzwerk oder seiner Umgebung automatisch erfolgen. (sh)

»

IT-Sicherheit in Produktion, Automotive und Health

In der produzierenden Industrie, im Automotive- und im Healthcare-Bereich ist der Bedarf an IT-Security heute so hoch wie noch nie. "Produktionsanlagen und angeschlossene Netze sind zwar nicht unmittelbar das erste Angriffsziel - durch die Kopplung mit der Office-IT ergeben sich aber neue, IP-basierte Gefahren. Produktionsanlagen werden mittlerweile kaum noch isoliert betrieben - zudem nehmen immer mehr Dienstleister gleichzeitig Remote-Zugriff auf die Systeme", warnt Matthias Rosche, Director Business Development beim Security-Anbieter NTT Com Security im Gespräch mit der COMPUTERWOCHE.

Immerhin sind diese Gefahren im Gegensatz zum Dienstleistungssektor aber wesentlich schneller in den Köpfen der Anwender angekommen. "Schließlich sind die Auswirkungen von unsicheren Produktionsstraßen, Steuerungssystemen oder außer Kontrolle geratener Krankenhaus-IT ungleich höher - als Gefahr für Leib und Leben -, und zudem direkt für jeden nachvollziehbar", erklärt Hans-Peter Bauer vom Security-Experten McAfee, das ein Teil der Intel Security-Einheit ist. In einigen Unternehmen gebe es laut Rosche bereits dezidierte "Security-Verantwortliche für Produktionsanlagen" - besonders im Automotive-Bereich stünde die gesamte Zulieferkette unter besonderer Beobachtung der großen Hersteller.

Festzuhalten bleibt: Der Embedded-Security-Markt konzentriert sich derzeit noch auf recht wenige große Kunden. Diese wiederum legten aber besonders viel Wert auf gründliches Testing, sagt Bauer. Auch die eingesetzten Abwehrmechanismen unterschieden sich ein wenig von bekannten Varianten: Ein beliebtes Sicherheitsmodell für Steuerungssysteme in der Industrie sei - so Bauer - beispielsweise nicht die klassische Blacklist-Firewall, die vor dem Eintritt ins Netz erst alle Daten einzeln prüfe und unerwünschte Quellen ausschließe - sondern das gegenteilige Whitelisting, mit dem die Anwender einige wenige Datenquellen festlegten, von denen aus überhaupt Pakete angenommen werden könnten. Mit diesem restriktiven Mittel schaffe man es, Risiken für Produktionsanlagen zu reduzieren. (sh)