Dossier: Infrastruktur | Abgesichert in Krisen

Die Bedrohung durch Cyberattacken nimmt beständig zu und wird in vielen Fällen immer noch nicht ernst genug genommen, obgleich man sich effizient dagegen schützen kann. Hacker nehmen auch die Kritische Infrastruktur ins Visier und versuchen so, Verunsicherung und Destabilisierung zu erreichen. Besonders häufig erfolgen solche Angriffe aus der Russischen Föderation, der Volksrepublik China und Nordkorea heraus.

Foto: sippapas/stock.adobe.com

Schutz Die sogenannten Kritischen Infrastrukturen (KRITIS) sind von zentraler Bedeutung für das Funktionieren des Gemeinwesens. Durch ein Lahmlegen oder ihre Beeinträchtigung können erhebliche Versorgungsengpässe oder Gefährdungen für die staatliche Ordnung eintreten. Sind wir vor Extremsituationen oder Angriffen von außen angemessen geschützt?

Von Hans-Rolf Goebel

Für Horst Meierhofer, Geschäftsführer des Landesverbands der Energie- und Wasserwirtschaft Hessen/Rheinland-Pfalz, haben die Coronapandemie und der Angriff Russlands auf die Ukraine das Thema „Versorgungssicherheit“ verstärkt in das Zentrum des öffentlichen Bewusstseins gerückt. „Heute hat dieses Thema gleichberechtigt seinen Platz neben den Aspekten Umweltfreundlichkeit und Wirtschaftlichkeit eingenommen. Krisenpläne hat es in den Unternehmen unserer Branchen schon immer gegeben, jetzt aber hat man sie jederzeit griffbereit auf dem Schreibtisch platziert.“ Denn neben physischen Sabotageakten wie auf die Nord-StreamPipelines hat für die Betreiber Kritischer Infrastrukturen vor allem auch die Gefahr von IT-Systemen durch Cyberattacken erheblich zugenommen. Meierhofers Kollege und Stellvertreter Sebastian Exner bringt es auf den Punkt: „Die Versorgung mit Strom, Wasser oder Gas ist als Teil der Daseinsvorsorge in der Öffentlichkeit sehr präsent, denkt man allein an Hochspannungsmasten, Wasserwerke oder gelbe Kennzeichnungen für Gasleitungen. Das kann man unmöglich alles präventiv schützen. Aber unsere Stärke liegt in der schnellen Schadensbegrenzung.“ Folgen eines physischen Angriffs auf das System können in sehr kurzer Zeit minimiert werden. Meldesysteme reagieren blitzschnell beim Verdacht auf unerlaubtes Einwirken. Mit der sogenannten Fernwirktechnik kann die Wasserversorgung durch Brunnen oder Hochbehälter umgehend abgesperrt werden. Stromausfälle werden in kürzester Zeit behoben.

Laut Bundesnetzagentur beträgt die durchschnittliche Zeit, die Letztverbraucher pro Jahr ohne Strom auskommen müssen, gerade einmal 12,2 Minuten. Ähnlich gut haben sich Energieund Wasserwirtschaft gegen Cyberattacken gewappnet. Aus den Branchen heraus wurden strikte IT-Sicherheitsstandards entwickelt und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Prüfung vorgelegt. Ein besonders wichtiger und wirksamer Schutz vor feindlichen Eindringlingen ist die Abkapselung zentraler Systeme vom Internet. Je höher deren Autarkiegrad ist, desto sicherer sind die darin enthaltenen Daten. Die Umsetzung und konsequente Beibehaltung einer solchen Abschottung sind bisweilen schwierig, wenn beispielsweise Systemupdates ohne Hilfe durch das Internet aufgespielt werden müssen. Aber stellt man bei einem in sich geschlossenen System auch nur kurzzeitig eine Internetverbindung her, dann ist das vergleichbar mit einer von einem Wassergraben umgebenen Burg, bei der man die Zugbrücke hinunterlässt.

„Heute hat die Versorgungssicherheit gleichberechtigt ihren Platz neben den Aspekten Umweltfreundlichkeit und Wirtschaftlichkeit eingenommen. Krisenpläne hat es in den Unternehmen unserer Branchen schon immer gegeben, jetzt aber hat man sie jederzeit griffbereit auf dem Schreibtisch platziert.“

Horst Meierhofer, Geschäftsführer des Landesverbands der Energie- und Wasserwirtschaft Hessen/Rheinland-Pfalz

Bettina Winter, Leiterin des Referats Spionageabwehr, Geheimschutz, Cybersicherheit im Ministerium des Innern und für Sport in Mainz, nennt das Vorgehen von Hackern, die die IT-Systeme von Unternehmen, Behörden oder kommunalen Verwaltungen knacken wollen, einen „Gießkannenangriff“. Dabei handelt es sich um Attacken, die ohne einen spezifischen Fokus auf tausende Ziele durchgeführt werden. Wo die Abwehrmaßnahmen unzureichend oder bekannte Sicherheitslücken nicht geschlossen sind, haben sie Erfolg. Sie arbeiten wie Einbrecher. Dauert es zu lange, ein Fenster aufzuhebeln, geben sie ihr Vorhaben erst mal auf und probieren es beim Nachbarn.

Doch auch gezielte, individuell vorbereitete Angriffe gehören zum Repertoire der Hacker. Dringen sie durch, ist das Erpressungspotenzial gewaltig. Die IT-Systeme des Geschädigten werden mithilfe sogenannter Ransomware blockiert und es folgt in der Regel eine Lösegeldforderung. Diese ist häufig in Bitcoin zahlbar, um den Weg des Lösegelds zu verschleiern. „Das ist ein routiniertes Geschäftsmodell“, weiß Winter. „Der Verlust von Kundendaten kann nicht nur mit einem hohen finanziellen, sondern auch mit einem großen Imageschaden für das Unternehmen einhergehen. Interne E-Mails, personenbezogene Daten oder Unternehmensgeheimnisse werden häufig im Darknet öffentlich gemacht. Das kann für ein Unternehmen in der Insolvenz enden.“

Winter und ihre erfahrenen Mitarbeiter verzeichnen eine deutlich verbesserte Sensibilität von Unternehmen, Behörden und Kommunen für die Gefahren aus dem Cyberraum. „Das ist sehr erfreulich und wird von uns auch durch aktive Aufklärung unterstützt. Wir beraten präventiv, stellen die Bedrohungsindikatoren für private und öffentliche Ziele bereit und halten engen Kontakt mit der Wirtschaft und staatlichen Stellen“, sagt Winter. „Zusätzlich lassen wir auf unseren Informationsveranstaltungen auch immer Betroffene zu Worte kommen, um zu zeigen, dass Cyberattacken omnipräsent sind“, sagt die Abwehrexpertin. Der Fokus des Verfassungsschutzes liegt auf staatlich gesteuerter Cyberspionage und - sabotage. Den Nachweis darüber zu führen, aus welchem Land konkret ein Cyberangriff gestartet wurde und welches Motiv der Attacke zugrunde liegt, ist schwer. Unangenehm aufgefallen sind allerdings immer wieder die Russische Föderation, die Chinesische Volksrepublik und Nordkorea. Die prorussische Hackergruppe „Killnet“ hat mehreren Ländern, darunter auch Deutschland, sogar offiziell den Cyberkrieg erklärt.

Früher war bei kleinen und mittleren Unternehmen, aber auch bei Kommunen, oftmals die Auffassung vorherrschend, man sei zu klein und unbedeutend, um in das Fadenkreuz von Hackern zu geraten. Als Beispiel, dass dem nicht so ist, nennt Winter den Hackerangriff auf die Kreisverwaltung des Rhein-Pfalz-Kreises Ende Oktober 2022. „Angriffe wie dieser haben dazu geführt, dass die Sensibilität anderer Kommunen für die Gefahren des Datenklaus sprunghaft gestiegen ist“, sagt Winter. Erste Hilfe bei Cyberangriffen erhalten Betroffene von der Zentralen Ansprechstelle Cybercrime (ZAC) des Landeskriminalamtes.

„Der Informationssicherheit im Krankenhaus kommt mit zunehmender Digitalisierung der Arbeits- und Behandlungsprozesse in der medizinischen Versorgung immer größere Bedeutung zu.“

Andreas Wermter, Geschäftsführer der Krankenhausgesellschaft Rheinland-Pfalz e.V.

Als besonders sensibler Bereich gelten auch das Gesundheitswesen und speziell die Krankenhäuser. Andreas Wermter, Geschäftsführer der Krankenhausgesellschaft Rheinland-Pfalz e.V., weist darauf hin, dass Krankenhäuser seit dem 1. Januar 2022 gesetzlich verpflichtet sind, dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Informationssicherheit zu treffen. Das sind Schutzmechanismen, die für die Funktionsfähigkeit des jeweiligen Krankenhauses und die Sicherheit der verarbeiteten Patienteninformationen maßgeblich sind. Die Tatsache, dass es in den vergangenen Monaten in Deutschland vermehrt zu Cybersicherheitsvorfällen im Gesundheitswesen gekommen sei, zeige, so Wermter, wie dringlich ein wirksamer Cyberschutz für das Krankenhauswesen sei. Beispielsweise waren bei einem Cyberangriff auf die Bitmarck Service GmbH, ein IT-Dienstleister für Krankenkassen, die IT-Systeme von 80 Krankenkassen von Ausfällen und Störungen betroffen.

„Der Informationssicherheit im Krankenhaus kommt außerdem mit zunehmender Digitalisierung der Arbeits- und Behandlungsprozesse in der medizinischen Versorgung immer größere Bedeutung zu“, sagt Wermter. KRITIS-Betreiber oder deren Verbände können in „Branchenspezifischen Sicherheitsstandards“ (B3S) konkretisieren, wie die Anforderungen zum Stand der Technik erfüllt werden können. B3S werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Regel zur Feststellung der Eignung vorgelegt. Das hat auch die Deutsche Krankenhausgesellschaft getan.

Besonderes Gewicht kommt auch dem Branchenarbeitskreis „Medizinische Versorgung“ des UP KRITIS zu. Der UP KRITIS (Umsetzungsplan Kritische Infrastrukturen) ist eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. Der Branchenarbeitskreis „Medizinische Versorgung“ hat detaillierte Handlungsempfehlungen für Systeme zur Angriffserkennung (SzA) bereitgestellt. „Sie enthalten konkrete technische Maßnahmen und organisatorische Hinweise, die Krankenhäuser dabei unterstützen, einen bestmöglichen Schutz gegen Cyberangriffe in Stellung zu bringen“, sagt Wermter.

Zahlen, Daten, Fakten

Ransomware, also das Erpressen von Lösegeld für die Freigabe blockierter Daten, ist weiterhin die größte Cybercrime-Bedrohung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seinem aktuellen Jahresbericht die folgenden Zahlen veröffentlicht:

• 2023 wurden durchschnittlich zwei Ransomware-Angriffe auf Kommunalverwaltungen oder kommunale Betriebe pro Monat erkannt. n 68 erfolgreiche RansomwareAngriffe auf Unternehmen wurden bekannt. 15 davon richteten sich gegen IT-Dienstleister.
• Mehr als 2000 Schwachstellen in Softwareprodukten (15 Prozent davon kritisch) wurden durchschnittlich im Monat festgestellt. Das ist ein Zuwachs von 24 Prozent.
• 250 000 neue Schadprogrammvarianten wurden durchschnittlich an jedem Tag gefunden.
• 66 Prozent aller Spam-Mails waren Cyberangriffe.
• 84 Prozent aller betrügerischen E-Mails waren Phishing-E-Mails zur Erbeutung von Authentisierungsdaten, meist bei Banken und Sparkassen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere Informationen: www.bsi.bund.de

Ich habe eine Auffälligkeit festgestellt. Was muss ich tun?

Bei Bekanntwerden eines Cyberangriffs empfiehlt der Landesverfassungsschutz Rheinland-Pfalz folgende Schritte:

• Entfernen Sie potenziell gefährdete Systeme umgehend vom Netzwerk und sperren Sie Fernwartungszugänge.
• Melden Sie sich nicht als Admin am System an, wenn es noch mit dem Netzwerk verbunden ist. n Sichern Sie möglichst alle Logfiles für eine spätere forensische Analyse.
• Betrachten Sie infizierte Systeme als vollständig kompromittiert. Sie müssen neu aufgesetzt werden.
• Ändern Sie die Zugangsdaten (Passwörter) auf betroffenen Systemen.
• Informieren Sie Mitarbeitende sowie Kunden und Geschäftspartner.
• Beachten Sie die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde. Dies ist zum Beispiel der Fall, wenn von dem Angriff personenbezogene Daten betroffen sind. Über Details informiert das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Unterstützung zur Bewältigung des Vorfalls bietet der Verfassungsschutz Rheinland-Pfalz. Auch Branchenverbände und Kammern beraten.
• Erstatten Sie Anzeige bei der Polizei, insbesondere für die Schadensabwicklung über Cyberversicherungen oder Lösegeldzahlungen, per E-Mail an: Lka.Cybecrime@polzei.rlp.de
• Meist sind auch Lieferketten betroffen. Informieren Sie Zulieferer und Abnehmer.

Quelle: Ministerium des Innern und für Sport Rheinland-Pfalz

Weitere Informationen: www.mdi.rlp.de/ themen/verfassungsschutz/ cybersicherheit

Wie der Cyberschutz wirkt

Für den Schutz von Unternehmen, insbesondere von kommunalen Betreibern der kritischen Infrastruktur, hat der rheinland-pfälzische Verfassungsschutz die Internet-Plattform Cyberschutz Rheinland-Pfalz bereitgestellt. Sie enthält tagesaktuelle Bedrohungsindikatoren, mit denen IT-Fachleute ihre Infrastruktur absichern und härten können. Firewalls, Mailfilter und eine Reihe weiterer Sicherheitssysteme wehren anhand dieser Bedrohungsindikatoren Angriffe von Hackern ab.

Der Datenfluss erfolgt ausschließlich in Richtung der anwendenden Unternehmen. Sichergestellt ist: Die eigenen Daten bleiben im Unternehmen.

Der Schutz funktioniert präventiv und reaktiv:

• Präventiv erkennt eine Firewall im Unternehmen maliziöse, also schadende Datenkommunikation. So kann die Infektion der IT-Infrastruktur bereits im Vorfeld verhindert werden. Der Cybersabotage und der Cyberspionage wird damit vorgebeugt.
• Reaktiv kann durch die Bedrohungsindikatoren auch eine bereits in den Systemen vorhandene schadhafte Anwendung identifiziert werden. Anhand von aus früheren Angriffen bekannten Internet- und IP-Adressen, Schadcodes und sogenannten Hashwerten von einzelnen Dateien lässt sich eine schon bestehende Infiltration erkennen. Die nötigen Gegenmaßnahmen können so gestartet werden.

Zur Anmeldung schreiben Interessierte eine formlose E-Mail an: cyberschutz@mdi.rlp.de

Foto: Krankenhausgesellschaft Rheinland-Pfalz e.V

Zum Verband KGRP

Die Krankenhausgesellschaft Rheinland-Pfalz e.V. (KGRP) ist der Dachverband der Krankenhausträger in Rheinland-Pfalz und vertritt die Interessen von 85 Krankenhäusern mit rund 26 000 Betten. Mehr als 980 000 Patientinnen und Patienten werden jährlich in den rheinland-pfälzischen Krankenhäusern umfassend stationär behandelt. Hinzu kommen mehr als 80 000 ambulante Operationen. Die Kliniken sind zugleich einer der bedeutendsten Arbeitgeber in Rheinland-Pfalz mit rund 58 000 Mitarbeiterinnen und Mitarbeitern.

Horst Meierhofer (links), Geschäftsführer des Landesverbands der Energie- und Wasserwirtschaft Hessen/Rheinland-Pfalz, und sein Stellvertreter Sebastian Exner.

Fotos: LDEW

Zum Verband LDEW

Der Landesverband der Energie- und Wasserwirtschaft Hessen/Rheinland-Pfalz e.V. (LDEW) arbeitet eng mit dem BDEW in Berlin zusammen und vertritt rund 270 Mitglieder aus den Sparten Strom, Erdgas und Fernwärme sowie Wasser und Abwasser gegenüber der Öffentlichkeit und der Politik in beiden Bundesländern. Gegründet wurde er im Jahr 2002 als Zusammenschluss der Verbände für Gas und Wasser sowie für Elektrizität.