Proaktiver Schutz ergänzend zu “Detektion und Reaktion” – das ist eine sinnvolle und bewährte Maßnahme zum Schutz von IT- und damit auch Energie-Infrastrukturen. So kann das Vorhaben nachhaltig umgesetzt werden.
Traurige Normalität: Cyber-Angriffe auf Kritische Infrastrukturen
Der “Cyberwar” ist da und er wird wohl auch bleiben!
Ja, manchmal muss man drastische Worte verwenden, um die aktuelle Situation zu verdeutlichen. Denn vor allem Unternehmen, Organisationen und Behörden stehen täglich “unter Beschuss”. Die sogenannten Cyber-Kriminellen machen vor nichts und niemandem Halt – schon gar nicht vor wichtigen Sektoren und Kritischen Infrastrukturen (KRITIS). Diese sind sogar besonders gefährdet.
Seit ein paar Jahren berichtet die Presse fast wöchentlich darüber, dass Energieversorger, deutsche Stromlieferanten und andere KRITIS-Betreiber Ziel von Angriffen waren und kompromittiert wurden. Hier ein paar Beispiele:
Verständlich, dass ständig neue IT-Verordnungen, -Gesetze und -Normen vorschreiben, dass Kritische Infrastrukturen besser abgesichert werden müssen. Die Herausforderungen sind hochkomplex, denn es gibt nicht die eine Lösung, die alle Bedrohungen abwehrt. Stattdessen muss man eine Vielzahl von Maßnahmen ergreifen, um die Energie-Infrastruktur widerstandsfähiger zu machen.
Energie-Infrastruktur absichern: Wie lässt sich die Sicherheit der Kritischen Infrastrukturen erhöhen?
Von Anti-Malware-Suiten über Systeme zur Anomalieerkennung bis hin zu SIEM-Lösungen: Jede Methode und Technologie hat ihre Daseinsberechtigung im Kampf gegen Hacker und “Cyber-Gangster”.
Allerdings sollten sich Energieversorger und andere KRITIS-relevante Organisationen nicht nur auf die Erkennung von Cyber-Attacken und deren Abwehr konzentrieren. Viel essentieller ist es, die Infrastruktur grundlegend abzusichern, sodass es weniger Angriffsfläche gibt – und damit ein deutlich kleineres Risiko für erfolgreiche Cyber-Angriffe.
Die Bundesnetzagentur hat beispielsweise für die Absicherung der Kritischen Infrastrukturen mehrere Ratgeber veröffentlicht, dazu gehört der “IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen” und der “IT-Sicherheitskatalog für Betreiber von Energieanlagen”. Die Basis der Empfehlungen sind, wie es die Website “IT-Sicherheit im Energiesektor” der deutschen Behörde erklärt, die ISO 27001 / ISO 27002 und die ISO 27019.
Darum ist Systemhärtung für den Schutz von KRITIS-Infrastrukturen so wichtig
In der ISO 27001 und vielen weiteren, neuen IT-Security-Regularien nimmt eine Maßnahme eine bedeutende Rolle ein: Die sichere Konfiguration der Systeme, auch als Systemhärtung (engl. System Hardening) bekannt. Denn nach einer “Härtung” weisen IT-Infrastrukturen deutlich weniger Schwachstellen auf.
Wie Energieversorger diese technische Security-Maßnahme implementieren und dauerhaft aufrechterhalten können, erfahren Sie in unserer Webinar-Aufzeichnung:
Die kostenlose Online-Veranstaltung fand am 11. Oktober 2023 statt. Die Referenten waren Florian Bröder (Geschäftsführer, FB Pro) und Fabian Böhm (Geschäftsführer, TEAL). Beide sind langjährige IT-Security-Spezialisten, die namhafte Firmen und Konzerne beraten und unterstützen.
Zu den Kunden der FB Pro gehört zum unter anderem STADTWERK AM SEE. Das Unternehmen aus der Bodensee-Region schützt seine IT-Systeme unter anderem über eine automatisierte Systemhärtung. Wie das Projekt realisiert wurde, können Sie in unserer Success Story nachlesen.
Womit können Energieversorger eine “Härtung” Ihrer IT-Systeme durchführen?
Die Härtung von IT-Infrastrukturen ist – leider – keine einfache Aufgabe. Die Empfehlungen von Microsoft, dem BSI (Bundesamt für Sicherheit in der Informationstechnik) oder dem CIS (Center for Internet Security) umfassen Hunderte Empfehlungen.
Gerade Personen, die aus den Fachbereichen kommen, wissen:
Manuelle Systemhärtung, egal ob per GPO oder Script, kostet viel Zeit. Die Einstellungsmöglichkeiten sind vielfältig, die Ausnahmenverwaltung verlangt Strukturen und ein Monitoring zur Laufzeit muss auch noch aufgesetzt werden.
Aber diese und weitere Anforderungen rund um die Systemhärtung sind notwendig, um IT-Systeme stets auf dem aktuellen Stand der Technik zu halten – und das nachweisbar!
Besteht eine IT-Systemlandschaft aus Dutzenden oder gar Tausenden IT-Systemen, Servern und IoT- oder OT-Systemen, ist die Härtung somit eine gewaltige Herausforderung. Manuell kann man eine einmalige Systemhärtung sowie die dauerhafte Überwachung und Optimierung kaum bewältigen. Eine solche Aufgabe bringt die meisten IT-Abteilungen und jedes IT-Budget an die Grenzen.
Deshalb ist es sinnvoll, Systemhärtung prozessintegriert und toolgestützt einzuführen. Diese lässt sich zum Beispiel mit dem Enforce Administrator ermöglichen. Das professionelle Hardening-Tool für Unternehmen sorgt – vereinfacht ausgedrückt – für ein “selbstheilendes” System und lässt sich über dokumentierte Schnittstellen in verschiedene Unternehmensprozesse einklinken.
Enforce Administrator: Weitere Informationen
Was ist, wenn Kritische Infrastrukturen nicht richtig gesichert werden?
Cyber-Angriffe auf Kritische Infrastrukturen nehmen zu. Diese Tatsache lässt sich nicht leugnen. Die Frage ist also nicht, _ob_ ein Unternehmen angegriffen wird, sondern _wann_. Eine erfolgreiche Attacke kann schwerwiegende Folgen mit sich bringen.
Denn: “Cyber-Gangster” haben zunehmend das Ziel, brisante Informationen zu stehlen (zum Beispiel Kundendaten) oder Daten zu verschlüsseln, um Geld für die Freigabe zu erpressen. Ebenso können die Angreifer auch Maschinen und Systeme deaktivieren oder gar nachhaltig beschädigen. Ein paar konkrete Szenarien zeigt unter anderem die ZDF-Dokumentation “Blackout – Angriff auf unser Stromnetz”.
Immer mehr Cyber-Angriffe verursachen mittlerweile Schäden in (mehrfacher) Millionenhöhe. Auf diesen Kosten bleiben Unternehmen und Energieversorger im schlimmsten Fall alleine sitzen. Warum? Zahlreiche Versicherer, die Cyber-Versicherungen offerieren, setzen vermehrt auf striktere Richtlinien und anspruchsvollere Bedingungen. Die Systemhärtung ist dabei eine Maßnahme, die in vielen dieser Cyber-Versicherungen vermehrt vorkommt!
Ohne den Nachweis einer sicheren Konfiguration erhält man entweder gar keine oder eine sehr teure Police. Oder die Versicherung zahlt im Schadensfall nicht, weil es Hackern zu leicht gemacht wurde, in die IT-Systeme einzudringen.
Möchten Sie mehr über das Thema wissen?
Dann können Sie einerseits die Webinar-Aufzeichnung anschauen und die begleitende Präsentation hier durchklicken oder direkt herunterladen:
Sie fragen sich nun, wie sicher Ihre Systeme gemessen an bewährten Standards sind? Haben Sie Fragen zum Webinar-Inhalt oder generell zum Thema “Systemhärtung”? Benötigen Sie Unterstützung beim “Härten” Ihrer IT-Systeme? Kontaktieren Sie uns einfach!
Bilder: Pixabay