Kurz vor Weihnachten meldeten die Nachrichtenagenturen einen großflächigen Stromausfall in der Ukraine. Mehr als 700.000 Haushalte waren für mehrere Stunden ohne Elektrizität. Wovor Sicherheitsexperten schon lange gewarnt hatten, wurde am 23. Dezember 2015 also Realität: Zum ersten Mal gelang es IT-Hackern offenbar, die Stromversorgung durch die Kombination von Malware und direktem Fernzugriff lahmzulegen.
Experten hatten es kommen sehen, dass die Sicherheitsvorkehrungen und Kontrollsysteme im Energiesektor nicht ausreichen würden. So hatte das britische Think-Tank-Instituts Chatham House just Ende 2015 in einer Expertise die „Cyber-Sicherheit in zivilen Nuklearanlagen“ bemängelt. Der Report warnte, dass die Nuklearindustrie deutlichen Nachholbedarf in Sachen IT-Sicherheit gegenüber anderen Branchen habe.
Dieser Punkt macht nachdenklich - der Nuklearsektor scheint wenig Erfahrung mit IT-Sicherheit zu haben – was bedeutet das für die Energieversorger?
Die in der Studie genannten Schwachpunkte sind fehlendes Sicherheitsverständnis für Cyber-Angriffe, das Vorziehen von Verfügbarkeits- gegenüber Sicherheitszielen und eine Vernachlässigung von Sicherheitsvorkehrungen bei der Entwicklung von Kontrollsystemen. Angesichts dieser Faktenlage lautete der Ratschlag, IT-Systeme aus Sicherheitsgründen zu isolieren. Wenn sie von außen nicht gesehen werden können, dann sind sie auch nicht existent und angreifbar. Allerdings steht eine strikte Abtrennung der Systeme im direkten Gegensatz zur eigentlich erwünschten Verfügbarkeit. Beide Ziele könnten jedoch kombiniert werden, wenn ein Proxy-System zur Sicherheit zwischen den Netzwerken geschaltet wird. Das ist zweifellos ein Schritt in die richtige Richtung.
Trotzdem kann die Implementierung einer solchen Lösung den Blick von anderen wichtigen Fragen abwenden:
- Wie lange darf eine Person überhaupt Zugriff auf ein Kontrollnetzwerk haben?
- Sollte jemand diesen Zugriff explizit freigeben?
- Werden die Session-Aktivitäten des Fernzugriffs protokolliert?
Zur Aufrechterhaltung des Betriebs ist die gesamte Branche von IT-Systemen abhängig, was für kommerzielle Software- und Hardware-Anbieter natürlich ein gutes Geschäft ist. Zum Teil sind dabei jedoch Kosteinsparungen zu sehr in den Vordergrund getreten und Standardlösungen wurden eingesetzt. Häufig werden Kontrollsysteme mit den Default-Einstellungen konfiguriert oder nur mit wenig Fachberatung implementiert, was zu Schwachstellen im Netzwerk führen kann.
Gibt es solche Versäumnisse, können Profi-Hacker die Schwachstellen ausnutzen. Die Branche ist daher in der Gesamtpflicht, Systemkonfigurationen zu härten, einfach durchführbare Patch-Prozesse einzurichten und Sicherheitslücken bei der Einbeziehung von Drittanbietern zu schließen.
Die jüngsten Ereignisse in der Ukraine sollten ein Warnsignal für die gesamten Branchen sein, die Sicherheit geschäftskritischer Systeme zu überprüfen und dabei Best-Practice-Grundlagen zu berücksichtigen – wie z.B. verbindliche Richtlinien, externe Analyse und regelmäßige Überprüfungen.