![\"Kritische](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/\/shutterstock-2239292617-resized-300x100.jpg\" "\\"Bild")
<\/p>\n<\/p>\n
Durch die Digitalisierung hat der Energiesektor unbestreitbare Vorteile in Bezug auf die Flexibilit\u00e4t und die Optimierung von Netzwerken gewonnen. Allerdings hat die Transformation auch signifikante Schwachstellen mit sich gebracht, die zus\u00e4tzliche Eintrittspunkte in den physisch bereits stark ausgedehnten Bereich zwischen Energieerzeugung, -transport und -verteilung darstellen. In Folge dessen ist die Energieinfrastruktur, die lebenswichtig und von entscheidender Bedeutung f\u00fcr unsere Wirtschaft ist, einem erh\u00f6hten Risiko von Cyberangriffen ausgesetzt.<\/strong><\/p>\n Wie lassen sich die verschiedenen Einfallstore in solche kritischen Infrastrukturen schlie\u00dfen? Wie kann der Schaden, der von Betriebsst\u00f6rungen bis hin zur physischen Zerst\u00f6rung von Ger\u00e4ten reicht, minimiert werden? Ein besseres Verst\u00e4ndnis der unterschiedlichen Vorgehensweisen von Cyberkriminellen, der h\u00e4ufigsten Angriffstypen und der verf\u00fcgbaren L\u00f6sungen unterst\u00fctzt Unternehmen dabei, sich besser auf Angriffe vorzubereiten und sie abzuwehren.<\/p>\n <\/p>\n Energieinfrastrukturen waren bereits vor der digitalen Transformation durch eine besondere geographische Verteilung gekennzeichnet, die auf mehreren Produktionszentren und einem zersplitterten Netzwerk basierte. Dies bot eine gro\u00dfe Angriffsfl\u00e4che, die sich mit der Einf\u00fchrung von unz\u00e4hligen Sensoren, Automaten und vernetzten Objekten, der Verkn\u00fcpfung von Netzwerken<\/a> und dem Zugang zu Cloud-Umgebungen noch weiter ausdehnen wird.<\/p>\n Workstations, verschiedene angeschlossene Ger\u00e4te und sogar der Kommunikationsfluss sind potenzielle Einfallstore f\u00fcr Cyberkriminelle.<\/strong> Viele Energieinfrastrukturen sind bereits Jahrzehnte alt, und dies trifft auch auf einen Teil ihrer Ger\u00e4te zu. In der Regel wurden diese f\u00fcr einen Betrieb von \u00fcber 50 Jahren konzipiert, allerdings hat nur der IT-Bereich mit neuen Entwicklungen Schritt gehalten und seine Ger\u00e4te modernisiert. Der operative Bereich (OT)<\/a> verharrte in der Regel in seinem urspr\u00fcnglichen Zustand... Dies f\u00fchrt dazu, dass (zu) viele Maschinen heute noch mit obsoleten, veralteten Softwareversionen betrieben werden, die vor allem nicht gegen die neuesten Schwachstellen gepatcht wurden. Das Risiko wurde durch separate Systeme und\/oder private Netzwerke innerhalb von Fabriken und Kraftwerken minimiert. Aber die (vielger\u00fchmte) IT\/OT-Konvergenz hat diese Isolierung, die an sich bereits eine Schwachstelle ist<\/a>, in Frage gestellt. Gleichzeitig wurden die unterschiedlichen Ger\u00e4te in Kraftwerken, Wasserkraftwerken oder W\u00e4rmekraftwerken nicht nach dem Cybersecurity-by-Design-Ansatz<\/em> konzipiert. All die Sensoren, ob IEDs (Intelligent Electronic Devices<\/em>), RTUs (Remote Terminal Units<\/em>) oder sonstige, verwandeln sich in leicht zug\u00e4ngliche Eintrittspunkte f\u00fcr Cyberkriminelle, sobald sie miteinander verbunden sind. Zu allem \u00dcberfluss werden in solchen Umgebungen h\u00e4ufig schl\u00fcsselfertige Systeme verwendet, f\u00fcr die keine Sicherheits-Patches vorgesehen sind.<\/p>\n \u00dcber diese ersten Ansatzpunkte hinaus sind die im Energiesektor verwendeten Kommunikationsprotokolle ein weiterer wichtiger Aspekt f\u00fcr die Cybersicherheit<\/strong>. Viele Kommunikationsprotokolle wurden in einer Zeit entwickelt, in der Sicherheit keine Priorit\u00e4t hatte. Das IEC-104-Protokoll kommt beispielsweise h\u00e4ufig in der Telemetrie im Energiebereich zum Einsatz. Allerdings verf\u00fcgt es weder \u00fcber einen Authentifizierungs- noch einen Verschl\u00fcsselungsmechanismus, was es extrem anf\u00e4llig f\u00fcr Cyberangriffe macht. Dasselbe gilt f\u00fcr das GOOSE-Protokoll (Generic Object Oriented Substation Events<\/em>, eine Funktion des IEC 61850-Standards<\/a>). Es wurde urspr\u00fcnglich entwickelt, um (zeitraubende) \u00dcberpr\u00fcfungen zu begrenzen und die Ausfallsicherheit eines Systems zu erh\u00f6hen, kann aber heute leicht dazu missbraucht werden, um b\u00f6sartige Pakete einzuschleusen. Dieses Problem betrifft auch Fernverbindungen, wie z.B. im Rahmen der Fernwartung. Da diese Verbindungen unerl\u00e4sslich f\u00fcr die Betriebseffizienz von Umspannwerken sind, k\u00f6nnen sie auch f\u00fcr einen unbefugten (und b\u00f6swilligen) Zugriff auf das Netzwerk ausgenutzt werden.<\/p>\n Cyberkriminelle k\u00f6nnen auf verschiedene Angriffsvektoren<\/a> zur\u00fcckgreifen: Netzwerke, Software, Hardware und Menschen. Im Energiesektor ist der menschliche Vektor aufgrund der gro\u00dfen Anzahl von Subunternehmern besonders sensibel.<\/p>\n <\/p>\n Cyberkriminelle nutzen verschiedene Arten von Angriffen, um den Energiesektor anzugreifen. Da hier die Aufrechterhaltung der Gesch\u00e4ftst\u00e4tigkeit von entscheidender Bedeutung ist, sind Denial-of-Service-Angriffe (DDoS) und Ransomware Teil des klassischen Angriffsarsenals<\/strong>.<\/p>\n Aber die Spionage und Sabotage der Energieinfrastruktur kann auch andere Formen annehmen \u2013 oder sogar auf anderen Wegen erfolgen, wie z.B. \u00fcber die Zulieferkette. Supply Chain Attacks<\/em> zielen auf die Lieferanten und Gesch\u00e4ftspartner des Energiesektors ab. <\/strong>Da diese weniger sicher und somit anf\u00e4lliger sind, k\u00f6nnen Cyberkriminelle sich auf diese Weise indirekt Zugang zu den Netzwerken von Unternehmen der Energiebranche verschaffen. Es handelt sich dabei um besonders heimt\u00fcckische Angriffe, da sie das Vertrauensverh\u00e4ltnis zwischen den Unternehmen des Energiesektors und ihren Lieferanten zu ihrem Vorteil nutzen.<\/p>\n Zus\u00e4tzlich zu diesem bereits umfangreichen Arsenal m\u00fcssen Unternehmen im Energiesektor mit einem weiteren Risiko rechnen, denn durch seinen hochsensiblen Charakter r\u00fcckt dieser Wirtschaftszweig im Rahmen von geopolitischen Konflikten auch ins Fadenkreuz staatlicher Akteure.<\/strong> Dies geht so weit, dass sie in spezialisierte Malware investieren, die auf bestimmte Ger\u00e4te oder Betriebsabl\u00e4ufe abzielt. Prominente Beispiele hierf\u00fcr sind Stuxnet<\/a> im Jahr 2010, BlackEnergy im Jahr 2015 oder Industroyer im Jahr 2016. Die Malware Industroyer, um nur ein Beispiel anzuf\u00fchren, ist zum Beispiel in der Lage, die in einem industriellen Netzwerk verwendeten Kommunikationsprotokolle<\/a> zu erkennen und anzugreifen, so dass sie effektiv auf Energiesysteme abzielen kann.<\/p>\n Und wo andere Cyberangriffe sich auf die IT-Branche konzentrieren, haben die Malware-Programme Industroyer.V2 und Cosmicenergy sich in j\u00fcngster Zeit wieder dem OT-Schutz zugewandt. Die im 2023 von Mandiant<\/a>-Teams entdeckte Malware Cosmicenergy f\u00e4ngt Befehle ab, die \u00fcber das IEC-104-Protokoll erteilt werden, um mit RTUs und dem OT-Netzwerk zu interagieren<\/strong>. \u201eEin Angreifer kann \u00fcber diesen Zugang Fernbefehle senden, um die Bet\u00e4tigung von Schaltern und Unterbrechern in Stromleitungen zu beeinflussen und so eine Unterbrechung der Stromversorgung zu verursachen<\/em>\u201c, hei\u00dft es in dem Forschungsartikel. Entdeckt wurde diese Malware nicht durch einen Angriff, sondern weil sie in einen \u00f6ffentlichen Malware-Scanner heruntergeladen wurde. Ob Zufallstreffer oder nicht, in jedem Fall zeigt diese Episode, dass Cyberkriminelle verst\u00e4rkt Malware suchen, die auf Protokolle im Energiesektor abzielt.<\/p>\n <\/p>\n Wie l\u00e4sst sich der Energiesektor angesichts dieser Tatsachen und Bedrohungen sch\u00fctzen? Bereits 2018 warnte der damalige Generaldirektor der ANSSI, Guillaume Poupard, den franz\u00f6sischen Ausschuss f\u00fcr Ausw\u00e4rtige Angelegenheiten, Verteidigung und Streitkr\u00e4fte vor den Folgen eines Angriffs<\/a> auf die Energieversorgungsnetze eines Landes.<\/p>\n F\u00fcr den effektiven Schutz dieser komplexen und voneinander abh\u00e4ngigen Systeme ist ein umfassender und vielschichtiger Ansatz von entscheidender Bedeutung<\/strong>. Mit Blick auf die verschiedenen Einfallstore f\u00fcr Cyberbedrohungen ist es unabdingbar, eine angemessene Verteidigungsstrategie zu entwickeln, die von der Einf\u00fchrung geeigneter Cyber-Tools bis hin zur kontinuierlichen Schulung von Mitarbeitenden und Lieferanten reicht. Jede Art von Angriff hat ihre eigenen Herausforderungen in Bezug auf Erkennung, Pr\u00e4vention und vor allem Reaktion. Traffic-Verringerung und -Filterung, eine granul\u00e4re Netzwerksegmentierung, der Einsatz von Intrusion-Detection-Systemen sowie periodische Backups sind nur einige Beispiele f\u00fcr die unersch\u00f6pfliche Liste der Elemente, die f\u00fcr die industrielle Cybersicherheit unerl\u00e4sslich sind.\u00a0\u201eIn der Praxis sehen wir, dass der Energiesektor in Frankreich bereits eine Reihe von Sicherheitsmechanismen implementiert hat, die auf ihre Prozesse zugeschnitten sind\u201c<\/em>, erl\u00e4utert Khobeib Ben Boubaker<\/strong>, Head of Industrial Security Business Line bei Stormshield. \u201eDieser Ansatz beginnt, sich in der Cybersicherheit auszuzahlen.\u201c<\/em><\/p>\nEine gro\u00dfe Angriffsfl\u00e4che<\/h2>\n
Polymorphe Cyberangriffe<\/h2>\n
Schutzma\u00dfnahmen f\u00fcr den Energiesektor<\/h2>\n