Wie gefährdet sind unsere KRITIS-Systeme?

Paradigmenwechsel in der Cyber-Welt rückt KRITIS-Systeme ins Fadenkreuz, warnt Gastautorin Lisa Fröhlich von Link11.

Kaum verkündete die deutsche Bundesregierung am 25. Januar, dass die Ukraine mit zwei Bataillonen Leopard 2 Panzern ausgestattet werden soll, drohte die russische Hackerformation Killnet direkt mit vermeintlicher Vergeltung.  Unmittelbar danach wurden mehrere Webseiten, darunter die Internetpräsenzen des Außenministeriums, eines Berliner Krankenhauses und einiger Flughäfen für Stunden lahmgelegt.

KRITIS rückt ins Fadenkreuz

Die IT-Systeme und digitalen Services von KRITIS-relevanten Unternehmen und Institutionen müssen seit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 im Mai 2021 besonders geschützt werden. Ab dem 1. Mai 2023 haben kritische Infrastrukturen demnach Maßnahmen und Vorkehrungen bereitzustellen, die automatisiert bestimmte Muster erkennen und bekämpfen können.

Gleichzeitig waren die bisher ergriffenen Maßnahmen und Vorgaben nicht umfassend und vorausschauend genug, um das Risiko für KRITIS erheblich zu reduzieren. Die öffentlichen Versorgungsunternehmen und Strukturen sind nach wie vor einer ständigen Bedrohung ausgesetzt. Dementsprechend ist 2022/23 auch eine neue Qualität der Cyber-Attacken zu beobachten.

“Bestellen” großflächiger Attacken erschwert

Rein quantitativ reduzierten sich die im Link11-Netzwerk gemessenen DDoS-Angriffe deutlich (-79%). Einerseits sorgte die Hochnahme des bis dato größten Darknet-Marktplatzes Hydra durch Bundeskriminalamt (BKA) und US-Justizministerium im April 2022 dafür, dass Cyberkriminellen temporär der digitale Boden zur Organisation von globalen DDoS-Attacken entzogen wurde.

Andererseits wurde die Szene durch das Abschalten von achtundvierzig “Booter Services” mittels Kooperationen zwischen FBI und Europol im Dezember 2022 hart getroffen. Zukünftig wird das “Bestellen” großflächiger Attacken somit erschwert.

Hinzukommt, dass während der Corona-Pandemie viele Angriffe auf die Infrastrukturen abzielten, die das Leben und Arbeiten sicherstellten. Das betraf insbesondere wichtige Web-Services wie Impfplattformen, Lernportale und IT-Systeme für das Homeoffice. Viele Opfer dieser Cyberangriffen haben in puncto Cybersecurity nachgerüstet. Digitale Einfallstore der Vergangenheit wurden so zumindest in Teilen geschlossen.

Turboangriffe lassen Systeme in kurzer Zeit kollabieren

Gleichzeitig verändert sich die DNA der Angriffe. Diese sind mittlerweile adaptiver, komplexer und gefährlicher für die IT-Infrastrukturen von Unternehmen weltweit. Bei sogenannten “Turboangriffen” wurde 2022 im Durchschnitt die kritische Nutzlast, die Systeme vollständig zum Kollabieren bringen kann, bereits nach 55 Sekunden erreicht. 2021 waren es durchschnittlich noch 184 Sekunden. Solche Angriffe können Netzwerke bereits zum Erliegen bringen, noch bevor Verteidigungsmaßnahmen adäquat wirken können. Unternehmen bleibt so immer weniger Zeit, um auf die professionalisierten Attacken zu reagieren.

Zudem nahmen die DDoS-Attacken 2022 in ihrer Intensität zu. Diese Entwicklung kann anhand von zwei wichtigen Faktoren nachvollzogen werden. Zum einen durch die gestiegene, durchschnittliche Anzahl der Paketrate (3,3 Millionen Paketen pro Sekunde) gegenüber dem Vorjahr (990.000 Pakete pro Sekunde). Zum anderen ist die durchschnittliche Gesamtbandbreite der Attacken angestiegen. Betrug dieser Wert 2021 noch 1,4 Gbit/s, stieg er 2022 auf 2,6 Gbit/s an.

Hinzukommt, dass in den ersten Wochen von 2023 auch ein messbarer quantitativer Anstieg der Attacken verzeichnet wurde. Unternehmen werden durch die Wandlungsfähigkeit der DDoS-Angriffe also vor neuartige und komplexe Herausforderungen gestellt.

Cybersecurity-Spirale dreht sich weiter

Als Reaktion auf diese Aufrüstung der Hacker, Cyberkriminellen und IT-Saboteure stehen die Sicherheitsverantwortlichen der KRITIS in der Pflicht, ihre Prophylaxe-, Analyse- und Abwehrmaßnahmen zu überprüfen und der aktuellen Bedrohungslage anzupassen. Insbesondere die Fähigkeit von Sicherheitssystemen, DDoS-Angriffe zuverlässig zu erkennen und wirkungsvolle Gegenmaßnahmen einzuleiten, sollte bezüglich der Reaktionsgeschwindigkeit verbessert werden.

Angesichts dieser kritischen Situation sollten obsolete Systeme und Applikationen modernisiert und wie gesetzlich gefordert auf den neusten Stand der Technik gesetzt werden. Das Thema Cybersecurity kann schlussendlich zum Seismographen unternehmerischen Erfolgs und der digitalen Widerstandsfähigkeit öffentlicher Versorgungs-Dienstleister werden.        

 

Lisa Fröhlich

ist Pressesprecherin von Link11.