Beängstigende 70 % der Unternehmen mit kritischen Infrastrukturen wurden im letzten Jahr Opfer von Sicherheitsverletzungen, darunter Wasser-, Öl- und Gas- sowie Stromversorgungsunternehmen. Eine fast ebenso hohe Zahl von 64 Prozent rechnet im kommenden Jahr mit einem oder mehreren ernsthaften Angriffen.
Insider-Bedrohungen in Regierungsbehörden und großen Unternehmen
In den vorangegangenen Beiträgen dieser Serie haben wir die Risiken von Insider-Bedrohungen für US-Unternehmen und deren Reaktion darauf beleuchtet. Während die Insider-Bedrohung in Regierungsbehörden und großen Unternehmen ein bekanntes Problem ist, für das es bereits einige Abhilfestrategien gibt, ist über die Insider-Bedrohung für kritische US-Infrastrukturen wie Wasseraufbereitungs- oder Kernkraftwerke weniger bekannt. Zur Veranschaulichung der Art der Bedrohungen möchte ich zwei Beispiele aus einem Bericht des Department of Homeland Security - demInsider Threat to Utilities Report- anführen.
- Im April 2011 soll ein einzelner Mitarbeiter einer Wasseraufbereitungsanlage in Mesa, Arizona, die Betriebssysteme manuell abgeschaltet haben, um zu versuchen, durch einen Abwasserstau die Anlagen zu beschädigen und eine Methangasbildung zu verursachen. Automatische Sicherheitsvorrichtungen verhinderten die Methanbildung und alarmierten die Behörden, die den Mitarbeiter ohne Zwischenfälle festnahmen.
- Im Januar 2011 brach ein kürzlich entlassener Mitarbeiter eines US-Erdgasunternehmens angeblich in eine Überwachungsstation seines ehemaligen Arbeitgebers ein und schloss manuell ein Ventil, wodurch die Gasversorgung von fast 3 000 Kunden für eine Stunde unterbrochen wurde.
Wie hoch ist das Risiko, dass sich in naher Zukunft ähnliche und noch gefährlichere Vorfälle ereignen werden?
Insider-Bedrohungen für kritische Infrastrukturen sind nicht neu - man denke nur an Spionage und Sabotage während des Kalten Krieges. Allerdings haben sich die Parameter erheblich verändert.
Während die Bedrohung in den Tagen des Kalten Krieges aus privilegiertem physischen Zugang und Spezialwissen sowie aus Spionage und terroristischen Fähigkeiten bestand, ist die Palette potenzieller Bedrohungen heute aufgrund der "Entperipherisierung" der kritischen US-Infrastruktur viel größer. Globalisierung und Outsourcing lassen die Grenzen zwischen Insidern und externen Gegnern zunehmend verschwimmen.
Häufig werden ungeprüfte Anbieter, Auftragnehmer und vertrauenswürdige Geschäftspartner eingesetzt, um Kosten zu senken, und erhalten privilegierten Zugang zu Einrichtungen kritischer Infrastrukturen. Die Nutzung von cloud Diensten, Fernarbeit und Web-Technologien innerhalb von Organisationen mit kritischen Infrastrukturen verschärft das Problem weiter, wenn diese Praktiken nicht besonders behandelt und geschützt werden. Die Bedrohung für eine örtliche Wasseraufbereitungsanlage geht also nicht mehr nur von einem ausländischen Spion mit privilegiertem physischen Zugang aus, sondern auch von vertrauenswürdigen Remote-Mitarbeitern und Auftragnehmern, deren privilegierte Benutzernamen und Passwörter auf cloud gestohlen werden können.
Es gibt nur wenige Informationen über die jüngsten Zahlen und Auswirkungen von böswilligen Insider-Angriffen auf kritische Infrastrukturen in den Vereinigten Staaten und im Ausland. Die meisten Informationen werden nicht an die Öffentlichkeit weitergegeben, und selbst vertrauenswürdige Quellen wie das United States Computer Emergency Readiness Team (CERT ) haben nur begrenzten Zugang zu echten Bedrohungsfällen und -szenarien.
Das Department of Homeland Security (DHS) hat jedoch vor kurzem damit begonnen, Berichte zur nationalen Risikoeinschätzung (National Risk Estimate, NRE) zu veröffentlichen, in denen die Risiken von bösartigen Insider-Angriffen untersucht werden. Im jüngsten Bericht heißt es: "Die begrenzte Verfügbarkeit von Daten über Insider-Bedrohungen bedeutet, dass die NRE-Risikobewertungen mit Unsicherheiten behaftet sind".
Die NRE basiert auf einer Strukturanalyse von Beiträgen, die von Fachleuten der Bundesregierung und des privaten Sektors eingeholt wurden. Für die Strukturanalyse wurden 31 Insider-Bedrohungsszenarien mit Auswirkungen auf nationaler Ebene ausgewählt und deren Folgen und Wahrscheinlichkeit bewertet.
Während die Experten Katastrophenszenarien wie "die Störung der internationalen Finanztransaktionen" oder "die Einführung einer giftigen Chemikalie in die US-Milchversorgung" als eher unwahrscheinlich einschätzen, halten sie Szenarien mit weniger schwerwiegenden Folgen wie "organisierten Medicare- und Medicaid-Betrug" für nahezu 100 Prozent wahrscheinlich. Die mittlere Wahrscheinlichkeit für alle Szenarien über alle Infrastrukturbereiche hinweg wurde mit etwa 15 Prozent bewertet.
Was sind die größten Schwachstellen und wie kann man sie beheben?
Das United States Computer Emergency Readiness Team (CERT) hat 53 Vor-Ort-Bewertungen kritischer Infrastruktureinrichtungen in den Vereinigten Staaten durchgeführt , um Schwachstellen zu ermitteln, und dabei drei große Schwachstellen festgestellt.
Die erste und häufigste ist die fehlende Segmentierung interner Netze zusammen mit Mängeln beim Perimeterschutz für virtuelle und physische Enklaven. Unter Netzwerksegmentierung versteht man die Aufteilung eines Computernetzes in Teilnetze, die jeweils ein Netzwerksegment oder eine Netzwerkschicht darstellen, wodurch interne Ressourcen von außen weit weniger zugänglich sind.
Die zweite Schwachstelle ist der fehlende Grenzschutz in internen Netzen, d. h. es gibt zu wenige oder gar keine Firewalls zwischen den Zonen, und die Firewall-Regelsätze sind minimal und es fehlt an Auditing/Verifizierung.
Drittens wurde der Fernzugriff als Haupteinstiegspunkt für Angriffe identifiziert, was auf eine schlechte Auswahl und Gestaltung von Fernzugriffsprotokollen zurückzuführen ist. Das CERT empfiehlt VPN-Tunnel und eine eingeschränkte Sicherheitszone (DMZ) für Verbindungen, um dieses Risiko zu beseitigen.
Zusammenfassend lässt sich sagen, dass die Tatsache, dass diese leicht zu behebenden Schwachstellen in kritischen Infrastrukturen existieren, ziemlich überraschend ist. Die beschriebenen Sicherheitslücken sind hinlänglich bekannt, und entsprechende Gegenmaßnahmen und Protokolle sind in fast allen anderen Unternehmensnetzwerken Standard und sollten dies erst recht für kritische Infrastrukturen sein. Bleibt zu hoffen, dass die verantwortlichen CISOs aktiv werden.
Dieser Artikel wird als Teil des IDG Contributor Network veröffentlicht.