Wenn kritische Infrastrukturen (KRITIS) von Hackern angegriffen werden, kann das dramatische Folgen haben. Doch während Rechenzentren oft Hochsicherheitstresoren gleichen, lassen sich Schaltbefehle beispielsweise von Bahnunternehmen, Energieversorgern oder Wasserwerken leicht manipulieren. Wenn sich diese Unternehmen vor folgenschweren Angriffen schützen wollen, sollten sie auf Verschlüsselungstechnologien „Made in Germany“ setzen.
Ein Vorfall aus dem vergangenen Frühjahr zeigt, dass Angriffe auf KRITIS längst keine Szenarien aus Katastrophenfilmen mehr sind: Die satellitengestützte Kommunikation von Windrädern in ganz Deutschland war im Februar 2022 durch einen Hackerangriff für mehrere Wochen unterbrochen worden. Die Fernwartung war infolgedessen gestört. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eingeschaltet.
Die Störung hatte zwar keinen Einfluss auf die Stromproduktion. Aber im Falle eines Problems hätte dieses nicht aus der Ferne behoben werden können. Ein weiterer Vorfall: Unbekannte hatten am 8. Oktober 2022 Glasfaserkabel der Deutschen Bahn durchtrennt. Eine Störung des digitalen Funksystems der Deutschen Bahn war die Folge. Der Zugverkehr im Norden und Westen Deutschlands kam zum Erliegen.
Diese Angriffe machen deutlich, wie groß die Auswirkungen sind, wenn KRITIS sabotiert werden. Und diese Angriffe waren nur möglich, weil die betroffene Infrastruktur ungeschützt war. So liegen zum Beispiel Kabel praktisch für jeden zugänglich in Kabelschächten entlang der Bahntrassen. Ebenso ungeschützt sind die Daten, die durch die Kabel fließen und die Befehle für Weichen oder Signalanlagen übertragen.
Unverschlüsselte Daten an der Tagesordnung
KRITIS-Unternehmen sind zwar gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme zu treffen. Wenn aber zwischen verschiedenen Standorten oder Rechenzentren hochsensible Informationen übertragen werden, sind diese Daten häufig nicht oder nur unzureichend vor Manipulationen geschützt.
Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Denn: Die vorhandene Netzwerkinfrastruktur und auch der -schutz sind veraltet und mit geringem Aufwand und unverdächtigem Standardwerkzeug angreifbar. Nur eine hochsichere Verschlüsselung kann die Daten wirklich schützen.
Ungeschützte Datenübertragungen sind bei vielen Unternehmen allerdings noch immer an der Tagesordnung. Hacker können die Daten mitlesen, eigene Daten einspeisen oder die Datenübertragung stören. Die größte Gefahr geht bei Schaltbefehlen von einer Manipulation der Daten aus. Die Angriffsszenarien sind vielfältig: Manipulierte Befehle für Weichenstellungen und Signale können zu katastrophalen Bahnunfällen führen. Auch die Stromversorgung ist in Gefahr, wenn ein Signal eines Energieversorgers an ein Umspannwerk von Unbefugten verändert wird. Ein Blackout kann die Folge sein.
Ein anderes Beispiel: Wasserversorgung. Wasserwerke senden Befehle an verschiedene Pumpenstandorte, um dort Grundwasser zu fördern. Durch eine Manipulation der Daten könnten alle Pumpen herunterfahren, wodurch die Wasserversorgung zusammenbrechen würde. Verhindern lässt sich eine solche Manipulation von Daten, indem man diese kryptografisch absichert. Nur Sender und Empfänger haben dann schreibenden und lesenden Zugriff auf den Inhalt der Nachricht.
Netzwerkverschlüsseler dringend benötigt
Wer die Integrität und Vertraulichkeit seiner Kommunikationsdaten schützen will, wenn diese das Firmengelände verlassen, benötigt daher einen Netzwerkverschlüsseler. Die Geräte schützen vor Spionage und Manipulation von Daten, die per Internet oder Ethernet über Festnetz, Richtfunk oder Satellit übertragen werden. Sobald die Daten den Unternehmenssitz oder das Rechenzentrum verlassen, werden sie für den Transport zur Zieladresse verschlüsselt. Am Zielort angekommen wird der Befehl mit Hilfe eines weiteren Gerätes wieder entschlüsselt.
Die Herausforderung: Die kryptografische Absicherung sollte zwar hochsicher sein und Daten vor Angreifern schützen, gleichzeitig aber eine Übertragung nicht verlangsamen. Der entscheidende Faktor ist hier die Latenz – also die Zeit, die Daten benötigen, um von einem Punkt in einem Netzwerk zu einem anderen zu gelangen.
Effiziente Absicherung ohne Performanceverlust
Entscheidend für die Latenz ist u.a., auf welcher Ebene des Übertragungsnetzes die Verschlüsselung stattfindet. Für Unternehmen, die über ein Ethernet-Netzwerk verfügen, bietet sich eine Layer-2-Verschlüsselung an. Eine Verschlüsselung auf dieser Schicht ermöglicht eine Grundsicherung mit minimalem Performanceverlust.
Nutzer profitieren von voller Leitungsgeschwindigkeit bei extrem geringer Latenz. Die Verschlüsselung ist in Echtzeit möglich. Layer-2-Verschlüsseler eignen sich für den Einsatz an zentralen Standorten von kritischen Infrastrukturen und in Rechenzentren und sichern auch große und komplexe Netze auf einfache Weise ab.
Ausschlaggebend für die Wahl des richtigen Verschlüsselungsgerätes ist es zudem, dass dieses selber vertrauenswürdig ist. Denn manipulierte Bauteile stellen heute eine steigende Bedrohung bei der Herstellung von Hardwarekomponenten dar. Aus diesem Grund sollten nur Geräte gewählt werden, die vollständig in Deutschland hergestellt wurden. Grundsätzlich gilt die Faustregel: Je tiefer die Fertigungstiefe ist, umso sicherer die Geräte.
Ein weiterer Vorteil der Fertigung vor Ort: Die Geräte können kundenspezifisch angepasst werden. Zudem sind die nach speziellen Industriestandards konzipierten Geräte sehr robust – auch dann, wenn sie sich in Umspannwerken oder an Bahntrassen befinden und extremen Temperaturschwankungen ausgesetzt sind.
Ein weiteres Kriterium spielt eine Rolle bei der Wahl des richtigen Verschlüsselers: Beim Umgang mit kritischen Daten ist die Nutzung geprüfter Produkte empfehlenswert. Mit Netzwerkverschlüsselern, die vom BSI für die Verarbeitung von Verschlusssachen zugelassen wurden, sind KRITIS bestens ausgestattet. Eine BSI-Zulassung zeichnet Produkte und Lösungen aus, die für den Schutz von Verschlusssachen entsprechend den Einsatz- und Betriebsbedingungen genutzt werden können. Die Zulassung ist dabei immer zeitlich begrenzt und macht eine stetige Überprüfung und Aktualisierung notwendig. So sind die vom BSI zugelassenen Lösungen immer auf dem aktuellsten Stand.
Christian Stüble ist Chief Technology Officer bei Rohde & Schwarz Cybersecurity.