Viele Unternehmen verzichten derzeit noch auf Versicherungsschutz gegen Cyberattacken und das vor allem aus dem Grund, weil es zu viele Ausnahmen gibt. Volker Marschner von dem Sicherheitsanbieter SourceFire zeigt in seinem neuen Blog ein aktuelles Beispiel aus der Energiebranche.
Ich weiß nicht, ob Sie es mitbekommen haben, vor ein paar Wochen ging eine Geschichte durch die britische Presse, die die deutsche Energie-Industrie nervös machen dürfte. Versicherungsvertreter der Firma Lloyd’s berichteten der BBC, dass viele britische Stromkonzerne so schlecht geschützt seien, dass ihnen der Versicherungsschutz bei Cyberattacken in der Regel verwehrt bliebe.
Besagtes Versicherungspaket ist ursprünglich darauf ausgerichtet, Unternehmen im Fall von Cyberattacken dabei zu unterstützen, ihre beschädigten Netzwerke wieder aufzubauen.
Um festzustellen, ob tatsächlich ein Versicherungsfall vorliegen könnte, schauen sich die Sachverständigen von Lloyd’s die Maßnahmen an, die ein Unternehmen implementiert hat, um Attacken von außen fernzuhalten. Dies beinhaltet unter anderem die Frage, ob und wie sie dafür sorgen, dass ihre Software stets auf dem neusten Stand ist und wie sie ihre oftmals weltweit eingesetzten Infrastrukturnetzwerke kontrollieren.
Leider stelle sich nach derartigen Kontrollüberprüfungen oftmals heraus, dass die Mehrheit der betroffenen Versicherungsnehmer die vorgeschriebenen Schutzmaßnahmen nicht erfüllen – und deshalb von Lloyd’s keinen Cent bekommen.
Warum aber fallen gerade Unternehmen aus der infrastrukturabhängigen Energiebranche so vehement durchs Raster? Schließlich sind sich die meisten großen Energiekonzerne der Gefahr aus dem Netz durchaus bewusst. Dies zeigt sich nicht zuletzt an den Spezialabteilungen, die sie sich über die letzten Jahre herangezogen haben. Diese Sicherheitsspezialisten sind mit der Hauptaufgabe betraut, die zwei wichtigsten betriebsinternen Netzwerke zu schützen: die Server im eigenen Rechenzentrum und die Büroautomatisierung (sprich: die IT-basierten Arbeitsplätze).
Obwohl die beiden genannten Bereiche für den Betriebsablauf tatsächlich essentiell sind, gibt es noch ein drittes Netzwerk – das sogenannte “Kontrollnetzwerk” – dem eigentlich dieselbe Aufmerksamkeit zustünde, wie seinen beiden Kollegen.
Diese dritten Netzwerke werden auch SCADA (“Supervisory Control and Data Acquisition”) genannt – auch bekannt als Internet of Things (IoT) – und verbinden eher Geräte und Supportsysteme statt Computer und Menschen. In Branchen wie der Versorgungswirtschaft, Transport- und Logistikwesen, in der Fertigungs- und Pharmaindustrie ist diese Form von Netzwerk ein wesentlicher Bestandteil des täglichen Betriebsablaufs. In der Versorgungswirtschaft werden SCADAs beispielsweise als derart wichtig betrachtet, dass sie als kritischer Teil der nationalen Infrastruktur behandelt werden. In der Logistikbranche lotsen sie täglich Millionen Päckchen und Pakete von A nach B. Dazu gibt es viele Unternehmen, in denen diese Netzwerkform im Hintergrund agiert: etwa indem sie stillschweigend Zugänge zu Gebäuden ermöglichen, Heizungen und Ventilatoren steuern oder Aufzüge und Rechenzentren kühlen.
SCADA-Netzwerke sind die am schlechtesten geschützten Systeme ihrer Art – kein Wunder also, dass sie mehr und mehr ins Visier von Cyberkriminellen geraten. Können diese Zugang zu ihnen erlangen, sind die Schäden unter Umständen enorm: nicht nur für das Unternehmen und dessen Kunden, sondern möglicherweise sogar für einen Großteil der Bevölkerung.
Die Gründe dafür, dass SCADA-Netzwerke so leicht angreifbar sind, sind vielfältig:
- Da Unternehmen zwecks Entscheidungsfindungen einen immer größeren Appetit auf ihre vorgehaltenen Daten entwickeln, werden ihre Netzwerke immer stärker miteinander verknüpft.
- Prozesskontrollnetzwerke werden häufig – leider fälschlicherweise – von Haus aus als sicher erachtet. Basismaßnahmen, wie wir sie aus der Cybersicherheit kennen (beispielsweise Patching) werden auf sie deshalb nur in den seltensten Fällen angewendet.
- SCADA-Netzwerke sind oft “unsichtbar” und stehen deshalb nicht so stark im (Investitions-)Fokus wie andere Netzwerke
- In vielen Unternehmen werden SCADA-Netzwerke und die anderen Netzwerke von jeweils unterschiedlichen Teams betreut. Dies führt bei der Verwaltung häufig zu jeweils unterschiedlichen Priorisierungen und Prozessen.
Bei der Erwägung von Cybersicherheitslösungen sollten Unternehmen deshalb das übliche “IT-Security”-Mindset an die Bedürfnisse und Prioritäten der Prozesskontrollingenieure anpassen. Schließlich sind diese in der Regel für SCADA-Netzwerke zuständig. So sollten Sicherheitswerkzeuge erstens keinen Closed-Loop-Prozessen mit potenziellem Kontrollrisiko in die Quere kommen. Zweitens sollte die generelle Verfügbarkeit des Netzwerks oberstes Ziel sein. Drittens können die üblichen Prozesse zur Änderung von Passwörtern eine Gefahr für Fabrikanlagen bedeuten, beispielsweise wenn Ingenieure dadurch aus Systemen “ausgesperrt” werden. Zu guter Letzt sollten Sicherheitslösungen vermieden werden, die direkten Internetzugang benötigen. Viele Kontrollnetzwerke sind mit strikten Firewalls versehen oder sogar gänzlich vom Internet abgeschnitten.
Alles in allem müssen also Energieversorger und andere Unternehmen, die einen wichtigen Teil unserer Infrastruktur darstellen, den Bereich Cybersicherheit zu einer ihrer höchsten Prioritäten machen. Dies gilt für Deutschland genauso wie für Großbritannien. Die Cyber-Sicherheitslandschaft hat sich gewandelt. Es wimmelt mittlerweile von professionellen Hackergruppen, denen es längst nicht mehr darum geht, sich vor ihren Freunden zu profilieren. Vielmehr haben sie ernsthaft kriminelle Absichten. Wir sollten die gleiche Ernsthaftigkeit aufbringen, um ihnen mit wirksamen Schutzmaßnahmen zu begegnen.