In Anbetracht ihrer Bedeutung unterliegen die Kritischen Infrastrukturen (KRITIS) strengen gesetzlichen Vorschriften. Damit soll ihre Sicherheit, Widerstandsfähigkeit und Zuverlässigkeit gewährleistet werden. Doch trotz dieser Maßnahmen sind die meisten dieser unverzichtbaren Systeme einer Vielzahl von Bedrohungen ausgesetzt. Dazu zählen Cyber-Angriffe, physische Angriffe, Naturkatastrophen sowie menschliches Versagen. Betreiber müssen sich weiterhin dafür einsetzen, dass kritische Infrastruktursysteme vor ihnen geschützt werden.
Die spezifischen Sektoren, die als KRITIS gelten, können je nach Land oder Region variieren. Allgemein zählen dazu folgende Sektoren: der Chemiesektor, der Handelssektor, der Kommunikationssektor, der Fertigungssektor, der Staudammsektor, der Verteidigungssektor, der Notfalldienstsektor, der Energiesektor, der Finanzdienstleistungssektor, der Lebensmittel- und Landwirtschaftssektor, der Regierungssektor, der Gesundheitssektor, der Informationstechnologiesektor, der Sektor Kernreaktoren, Materialien und Abfall, der Transportsektor und der Sektor Abfall- und Abwassersysteme.
Der derzeitige Stand des Schutzes kritischer Infrastrukturen ist in den einzelnen Ländern und Sektoren unterschiedlich. Während einige Länder den Schutz derartiger Infrastrukturen priorisieren, schenken andere Länder dem Schutz von KRITIS nicht die nötige Aufmerksamkeit, so dass diese für verschiedene Bedrohungen anfällig sind.
Herausforderungen bei der Absicherung kritischer Infrastrukturen
Die Absicherung von KRITIS ist aus mehreren Gründen eine anspruchsvolle Aufgabe. Zunächst einmal sind diese Systeme in hohem Maße miteinander verbunden und voneinander abhängig. Das bedeutet, dass eine Störung in einem kritischen System eine Kettenreaktion oder eine Reihe von Ausfällen in anderen Systemen auslösen kann.
Außerdem werden kritische Infrastruktursysteme oft auf der Grundlage von Industriesystemen gebaut, die vor Jahren entwickelt wurden und bei deren Entwicklung die Gewährleistung der Sicherheit nicht im Vordergrund stand. Infolgedessen können sie Schwachstellen aufweisen, die nur schwer zu erkennen und zu beheben sind.
Um die Sicherheit kritischer Infrastrukturen zu verbessern, sollten Betreiber folgende bewährte Praktiken anwenden:
- Risikobewertung: Die Durchführung einer Risikobewertung ist ein wichtiger erster Schritt zur Absicherung von KRITIS. Dabei werden die Bedrohungen und Schwachstellen von Software und Systemen, die in diesen eingesetzt werden, identifiziert und analysiert.
- Informationen über Bedrohungen: Das Sammeln und Analysieren von Bedrohungsdaten ist für die Identifizierung potenzieller Bedrohungen für kritische Infrastruktursysteme unerlässlich. Dieser Prozess umfasst die Überwachung der Bedrohungslandschaft, einschließlich Cyber-Bedrohungen, physische Bedrohungen als auch natürliche Bedrohungen.
- Zugangskontrolle: Die Implementierung starker Zugangskontrollsysteme kann dazu beitragen, den unbefugten Zugang zu kritischen Infrastruktursystemen zu verhindern und nur befugtem Personal Zugang zu gewähren. Die Zugangskontrolle umfasst die Implementierung starker Authentifizierungsmaßnahmen, wie die Mehrfaktor-Authentifizierung und die Beschränkung des Zugangs auf autorisiertes Personal auf der Grundlage von dessen Aufgaben und Pflichten.
- Cyber-Sicherheitsmaßnahmen: Implementierung von Cyber-Sicherheitsmaßnahmen, wie Firewalls, zur Sicherung des Perimeters. Organisationen müssen starke Systeme zur Verhinderung von Eindringlingen implementieren und starke Verschlüsselungsprotokolle einsetzen. Dies kann dazu beitragen, kritische Infrastruktursysteme vor Cyber-Angriffen zu schützen.
- Physische Sicherheitsmaßnahmen: Die Umsetzung strenger und strikter physischer Sicherheitsmaßnahmen, wie Eingang-Ausgangskontrollen, Überwachungskameras, Wachpersonal und Zugangskontrollsysteme, kann dazu beitragen, kritische Infrastrukturen vor physischen Angriffen zu schützen.
- Planung der Reaktion auf einen Vorfall: Die Entwicklung und Umsetzung eines Notfallplans ist entscheidend für die Reaktion auf Sicherheitsvorfälle. Die Durchführung einer routinemäßigen Übung des roten Teams, um sicherzustellen, dass der Reaktionsplan wirksam ist, ist ein Schlüssel zum Erfolg bei einem Angriff.
Es ist wichtig, kritische Infrastruktursysteme vor potenziellen Bedrohungen zu schützen. Mit der Umsetzung der oben genannten bewährten Praktiken kann die Sicherheit kritischer Infrastrukturen verbessert und die Widerstandsfähigkeit sowie Zuverlässigkeit dieser wichtigen Systeme gewährleistet werden.
Marco Eggerling ist CISO EMEA bei Check Point Software Technologies.
