Cyber-Resilienz stärken
Geopolitische Konflikte
Cyberangriffe auf kritische Infrastrukturen sind heute de facto ein Werkzeug der Geopolitik. Energieversorger müssen dies in ihren Bedrohungsanalysen berücksichtigen – und Lösungen im Verbund finden.
Der vermutlich bekannteste Cyberangriff auf einen Energieversorger führte zu einer Unterbrechung der Stromversorgung in Teilen der Ukraine im Dezember 2015. Verantwortlich war mutmasslich die Sandworm-Gruppe, die mit dem russischen Militärnachrichtendienst GRU in Verbindung gebracht wird [1]. Darüber hinaus gibt es zahlreiche weitere Beispiele für Angriffe auf kritische Infrastrukturen: Der Beginn des russischen Überfalls auf die Ukraine im Februar 2022 wurde durch Cyberangriffe gegen Terminals des Satellitenkommunikationsbetreibers Viasat begleitet, die zu Kollateralstörungen bei einem deutschen Windparkbetreiber führten. Im Mai 2021 wurde das Abrechnungssystem des U.S.-amerikanischen Pipelinebetreibers Colonial Pipelines Opfer eines Ransomware-Angriffs. In der Folge unterbrach Colonial Pipelines den Betrieb wichtiger Öl- und Gas-Pipelines. Der regionale Energieversorger Enercity aus Hannover wurde im Herbst 2022 zum Ziel eines Angriffs, der zu Beeinträchtigungen des Kundenservice und der Zahlungsabwicklung sowie zum Abfluss personenbezogener Kundendaten führte [2].
Schon vor Jahren haben Militärs und Nachrichtendienste weltweit die Bedeutung des Cyberraums für ihre Aufgaben erfasst. Die Snowden-Leaks 2013 haben das Ausmass staatlich gelenkter offensiver Cyberaktivitäten zum ersten Mal ins Bewusstsein einer breiteren Öffentlichkeit gerückt. Seitdem hat sich die Cyberdomäne als Bestandteil der Geopolitik etabliert, und viele Staaten haben in ihren Armeen eigene offensive Cybereinheiten aufgebaut. So hat die Nato in Tallinn das Cooperative Cyber Defence Centre of Excellence (CCDCOE) aufgebaut, und aus China heraus betreiben sowohl die Armee als auch das Ministerium für Staatssicherheit weltweit Cyberspionage, die sich auch gegen Betreiber kritischer Infrastrukturen richtet [3].
Vielschichtige Bedrohungslage
Der Krieg Russlands gegen die Ukraine hat Europa vor Augen geführt, wie abhängig Europas Wohlstand vom Zugang zu günstiger Energie ist. Der Umbau der Energiewirtschaft ist eine strategische Entscheidung, die auch auf die zunehmenden Unsicherheiten der geopolitischen Situation zurückzuführen ist.
Ein Blick auf die politische Grosswetterlage zeigt, wie sehr sich die Welt im Umbruch befindet. China agiert konsequent entlang der strategischen Fünfjahrespläne und hat das Potenzial, ein neuer globaler Hegemon zu werden. Dazu projiziert es seine Machtansprüche nach innen und aussen, baut mit der Belt-and-Road-Initiative globale Infrastrukturen auf und weitet seine militärische Präsenz in Afrika aus. Russland versucht mit allen Mitteln, ein panslawisches Grossreich aufzubauen und sieht sich an der Seite Chinas als Gegenspieler des Westens. Die USA sind im Inneren durch die Spaltung der Gesellschaft stark mit sich selbst beschäftigt. Gleichzeitig müssen sie die Nato im Osten stärken und im Pazifik China Paroli bieten. Indien und Pakistan treten auf der weltpolitischen Bühne immer selbstbewusster auf und vertreten ihre eigenen wirtschaftlichen Interessen. Die Annäherung zwischen dem Iran und Saudi-Arabien deutet auf eine fundamentale Neuordnung im Mittleren und Nahen Osten hin. Wie Israel, einer der erfahrensten Cyber-Akteure, darauf reagieren wird, ist noch unklar. All diese Umbrüche und Verschiebungen führen zwangsläufig zu Konflikten und Kriegen, in denen der Cyberraum in allen Phasen Schauplatz von staatlich gelenkten Angriffen und Aktionen ist.
Staatliche Angreifer kooperieren mit Kriminellen
Die etablierte Unterscheidung von Angreifergruppen in staatlich gelenkte Spionagegruppen, politisch motivierte Hacktivisten und Cyberkriminelle verschwimmt zunehmend. Einerseits übernehmen Kriminelle vermehrt die fortgeschrittenen Methoden und Werkzeuge staatlicher Akteure. Andererseits setzen Nachrichtendienste manchmal auch Cyberkriminelle ein.
Ein eindrückliches Beispiel für diese Art der Kooperation ist im März 2023 [4] durch die Publikation vertraulicher Analysen bekannt geworden. Die Veröffentlichung umfasst Hunderte Dokumente, die U.S.-amerikanische Nachrichtendienste erstellt haben sollen. Die teilweise Echtheit der Dokumente wurde bestätigt; zugleich wurde durch eine unabhängige Recherchegruppe nachgewiesen, dass ein Teil der Dokumente manipuliert wurde [5]. Laut den veröffentlichen Dokumenten hatte die russische Hacktivistengruppe Zarya im Februar 2023 Zugriff auf die Steuerungstechnik einer Verteilstation eines unbenannten kanadischen Gas-Pipeline-Betreibers. Zarya bat laut der Veröffentlichung einen Offizier des russischen Inlandsnachrichtendienstes FSB um weitere Instruktionen [6]. Staatliche Angreifer kooperieren aber auch mit regulären IT-Dienstleistern, wie eine andere Veröffentlichung vertraulicher Informationen durch einen russischen Whistleblower zeigt [7]. Der russische IT-Dienstleister Vulkan-NTC hat im Auftrag mehrerer russischer Nachrichtendienste Angriffswerkzeuge entwickelt, die laut veröffentlichten Schulungsdokumenten auch gegen kritische Infrastrukturen eingesetzt werden können. So wird in einem Schaubild der Schulungsdokumente das stillgelegte Kernkraftwerk Mühleberg gezeigt [8].
Diese Gemengelage aus Unsicherheiten der geopolitischen Situation sowie Vermengung staatlicher und krimineller Cyberakteure, die in ihren Aktionen an keine Landesgrenzen oder Regionen gebunden sind, trifft auf der Gegenseite auf Infrastrukturen, die ihrerseits zunehmend komplexer und immer umfassender vernetzt sind. Die lang praktizierte Trennung von IT (Information Technology) und OT (Operational Technology) wird zunehmend durchbrochen. Geografisch abgelegene Infrastrukturen werden mittels Mobilfunk- und Satellitenanbindungen direkt mit dem Internet bzw. Cloud-Diensten verbunden, unter anderem, um übliche Software-Aktualisierungen durchführen zu können. Dadurch ergeben sich Infrastrukturen mit deutlich erweiterter Angriffsfläche und gestiegener Verwundbarkeit.
Auf diese Infrastrukturen wirken unterschiedlichste Angriffe ein: von Überlastangriffen über das direkte Eindringen durch verwundbare Systeme bis hin zu Phishing-Angriffen, die oftmals den Auftakt für Spionage oder Erpressung mit Ransomware bilden, und Angriffen, die Vertrauensstellungen in den Lieferketten ausnutzen. Zusätzlich zu diesen Cyberangriffen auf die Infrastrukturen manipulieren staatliche Akteure mittels Desinformationen die öffentliche Meinung. Die Meinungsmanipulation war schon immer eine Methode, mit der staatliche Akteure ihren Interessen Vorschub geleistet haben. Die Allgegenwärtigkeit der sozialen Netzwerke mit ihren direkten, ungefilterten Verbindungen und Interaktionen haben die Effektivität und Effizienz von Desinformationskampagnen jedoch in neue Höhen katapultiert.
Dass Desinformationskampagnen auch den Energiesektor betreffen, zeigen Beispiele rund um die deutschen Gasvorräte im Winter 2022/2023 und die Ermittlungen zur Explosion der Nord-Stream-Pipeline [9]. Die rasant voranschreitende Entwicklung der künstlichen Intelligenz, sowohl für die Generierung von Text als auch von Bild, Ton und Video, wird zu einer weiteren quantitativen und qualitativen Zunahme von Fake News führen.
Cyber-Resilienz koordiniert stärken
Betreiber kritischer Infrastrukturen stehen den Cyberangriffen jedoch nicht hilflos und auch nicht allein gegenüber. Eine geordnete Herangehensweise, die Technik, Organisation und Strategie vereint, kann die Cyber-Resilienz, d. h. die Kombination aus Widerstandsfähigkeit gegen Cyberangriffe und Wiederherstellungsfähigkeit nach erfolgreichen Angriffen, steigern.
Auf der strategischen Ebene ist zunächst die Erkenntnis bei Vorständen und Verwaltungsräten zu vermitteln, dass geopolitische Ereignisse ihr Echo im Cyberraum haben und die kontinuierliche Bewertung der Lage zu einer besseren Vorbereitung führen kann. Diese Erkenntnis muss dann in der gesamten Führung sowie in den Bereichen, die mit der Cybersicherheit beauftragt sind, verankert werden, damit notwendige Aktivitäten abgeleitet und in der Organisation etabliert werden können.
In der Organisation sind die Prozesse zur Bewältigung von Vorfällen und Krisen regelmässig zu prüfen und anzupassen. Tabletop-Übungen, die bestimmte Vorfalls-Szenarien nachstellen, haben sich als effektive Methode erwiesen, Schwachstellen in den eigenen Prozessen aufzudecken und gleichzeitig bei den Beteiligten Handlungssicherheit herzustellen. In unterschiedlichen Szenarien können Übungsschwerpunkte von der Erkennung eines Vorfalls bis zur Wiederherstellung des Normalbetriebes gesetzt werden.
Diejenigen Abteilungen, die mit der technischen Cybersicherheit betraut sind, müssen personell und finanziell so aufgestellt sein, dass sie über die nötigen Werkzeuge und Informationen verfügen, um effektiv und effizient den Dreiklang aus Prävention, Erkennung und Behandlung von Vorfällen bewältigen zu können.
Die Kooperation und der regelmässige strukturierte Austausch von Erkenntnissen und Erfahrungen mit anderen Organisationen können im Angriffsfall zu einem entscheidenden Vorteil für alle werden. Dieser Austausch sollte sowohl die strategische als auch die technische Ebene umfassen. Im besten Fall lassen sich Synergien nutzen und Aufwände für jede einzelne Organisation reduzieren und gleichzeitig die Resilienz aller steigern. Dieser Austausch kann im Rahmen staatlicher Initiativen erfolgen [10], durch Brancheninitiativen wie dem EE-ISAC [11] oder auch in branchenübergreifenden globalen Expertenvereinigungen [12].
Beim Blick auf die Bedrohungen darf vor allem der Daseinszweck des Energiesektors nicht in den Hintergrund geraten. Ziel aller Bemühungen muss es sein, die Versorgung der Bevölkerung und Wirtschaft mit Energie aufrechtzuerhalten. Sämtliche defensiven Cyberaktivitäten der Versorger sind auf dieses Ziel hin auszurichten.
Referenzen
[1] Siehe auch: bulletin.ch/de/news-detail/cyberangriffe-auf-energieversorger.html
[2] www.enercity.de/presse/betrieb-und-baustellen/2022/it-stoerung
[3] EU-Warnung vor chinesischer Cyberspionage, cert.europa.eu/files/data/TLP-CLEAR-JointPublication-23-01.pdf
[4] www.bloomberg.com/news/articles/2023-04-10/what-to-know-about-alleged-us-classified-documents-leak-from-pentagon-on-ukraine
[5] www.bellingcat.com/news/2023/04/09/from-discord-to-4chan-the-improbable-journey-of-a-us-defence-leak
[6] zetter.substack.com/p/leaked-pentagon-document-claims-russian
[7] www.theguardian.com/technology/2023/mar/30/vulkan-files-leak-reveals-putins-global-and-domestic-cyberwarfare-tactics
[8] www.watson.ch/digital/schweiz/598263734-geleakte-dokumente-verraten-russische-plaene-fuer-cyberangriffe
[9] correctiv.org/faktencheck/2022/10/13/doch-die-deutschen-gasvorraete-reichen-laenger-als-bis-weihnachten;
correctiv.org/faktencheck/2022/11/02/explosionen-an-gaspipelines-leiter-der-nord-stream-ermittlungen-heisst-weder-erik-ollsen-noch-ist-er-tot
[10] Beispielhaft: www.bbk.bund.de/DE/Themen/Kritische-Infrastrukturen/Kooperationen/kooperationen_node.html
[11] Für die europäische Energiebranche zum Beispiel www.ee-isac.eu
[12] www.first.org
Anmerkung
Ursache für den im Einstiegsbild gezeigten Stromausfall in Kiew, Ukraine, war ein russischer Raketenangriff vom 23. November 2022, und keine Cyber-Attacke. Ein grossflächiger, durch eine Cyber-Attacke verursachter Stromausfall fand in der Ukraine am 23. Dezember 2015 statt.
Kommentare