26. Januar 2023
Corona hat weltweit für Probleme in den Lieferketten gesorgt, der Ukrainekrieg hat Engpässe in der Gasversorgung verursacht. Mit globalen Krisen wie diesen und der zunehmenden digitalen Vernetzung steigt auch das Bedrohungspotenzial von Hackerangriffen auf kritische Infrastrukturen (KRITIS). Ob im Energiesektor oder bei Transport und Verkehr: Die Expertinnen und Experten von TÜViT unterstützen KRITIS-Unternehmen unter anderem dabei, sich gegen Cyberattacken zu schützen.
Am 26. Oktober 2022 gingen bei Enercity in Hannover alle Alarmlampen an. Der große Energieversorger war Opfer eines Hackerangriffs geworden. Die kritische Infrastruktur war zwar nicht betroffen – Kundinnen und Kunden wurden weiterhin mit Strom oder Gas beliefert –, aber der Mail- und Telefonverkehr waren teilweise lahmgelegt. Und der Angriff hatte auch die Verbindung zum Zahlungssystem gekappt. Die Cyberattacke und ihre Folgen machten wieder einmal deutlich: Reibungslos operierende IT-Anwendungen und ungestörte Datenströme sind für die Energiebranche wie für die Lieferketten elementar. Und gerade das macht diese Bereiche so anfällig für Cyberangriffe. „Es braucht mindestens ein zuverlässiges Informationssicherheitsmanagement, um solche Vorfälle überhaupt zu erkennen und vernünftig damit umgehen zu können“, sagt Markus Bartsch, der zuständig ist für das Business Development bei TÜViT. Betreiber kritischer Infrastrukturen sind gesetzlich dazu verpflichtet, alle zwei Jahre nachzuweisen, dass ihr Informationssicherheitsmanagement auf dem neuesten Stand der Technik ist. Verpflichtende regelmäßige Penetrationstests, also gezielte Angriffe „guter Hackerinnen und Hacker“, um die IT-Sicherheitssysteme auf die konkrete Probe zu stellen, gehören bislang noch nicht zu den gesetzlichen Anforderungen. Sie werden den KRITIS-Unternehmen aber vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine mögliche Maßnahme empfohlen, um Schwachstellen in den eigenen Systemen zu entdecken. Penetrationstesterinnen und -tester von TÜViT führen derartige Tests in Industrieanlagen heute schon durch: Sie greifen IT-Systeme an, die etwa in einem Chemiewerk Produktionsanlagen steuern. „Hierbei muss man natürlich genau wissen, was man tut. Ansonsten könnte das die attackierten Anlagen wirklich lahmlegen, was man natürlich absolut vermeiden möchte“, sagt Bartsch.
Zur Person
Markus Bartsch ist studierter Informatiker und seit 1995 bei TÜViT. Zunächst arbeitete er als IT-Security-Analyst, seit 2002 ist er für das Business Development zuständig und kümmert sich in dieser Funktion um sämtliche neue Technologien, deren IT-Sicherheit von entscheidender Bedeutung ist: von Automotive Security über das Internet der Dinge, die Industrie 4.0 bis hin zu den Smart Meter Gateways, die beim intelligenten Stromnetz der Zukunft eine Schlüsselrolle übernehmen.
Angriffe auf kritische Infrastrukturen nehmen zu
TÜViT prüft darüber hinaus als unabhängige Organisation, ob die Systeme kritischer Infrastrukturen den Anforderungen des IT-Sicherheitsgesetzes genügen. „Grundsätzlich sind die meisten unserer deutschen KRITIS-Systeme aufgrund dieser gesetzlichen Anforderungen vernünftig aufgestellt. Diese notwendige Bedingung ist somit weitestgehend erfüllt“, erklärt Bartsch. „Ob dies aber in der aktuellen Situation hinreichend ist, wird sich zeigen.“ Denn Hackerangriffe nehmen mit großem Tempo weiter zu: Besonders das Jahr 2021 war laut Bundeslagebild Cybercrime des Bundeskriminalamtes geprägt von Angriffen auf KRITIS-Unternehmen und Ziele der öffentlichen Verwaltung. Rund die Hälfte der Betreiber kritischer Infrastrukturen sprechen von einer starken Zunahme von Cyberangriffen. Und sie stellen sich auf immer heftigere Attacken ein, so eine Studie des Digitalverbands Bitkom: Mehr als die Hälfte der befragten Unternehmen rechnen mit einem starken, ein Drittel mit einem eher starken Anstieg von Angriffen auf ihre IT in den kommenden zwölf Monaten. Betroffen sind Strom- und Gasversorger und die entsprechenden Verteilnetze, Bahnunternehmen, Flughäfen, Hafenbetreiber und Schifffahrtsgesellschaften sowie Logistikunternehmen. „Das primäre Ziel ist es, solche Angriffe zu verhindern“, betont Bartsch. Denn Cyberkriminelle könnten die Betriebsfähigkeit dieser Unternehmen außer Kraft setzen oder stark einschränken. So geschehen beim TankstellenZulieferer Oiltanking, der Anfang 2022 zum Ziel einer Hackerattacke wurde. In Folge des Angriffs konnte das Unternehmen temporär keine Tankwagen mehr für die 233 Tankstellen befüllen, die es, überwiegend in Norddeutschland, beliefert. Im größten europäischen Hafen, in Rotterdam, waren zur selben Zeit mehrere Ölterminals von einer Cyberangriff betroffen. Dort konnten teilweise keine Öltanker mehr entladen werden.
Hamburger Hafen im Visier
Jüngst warnte entsprechend auch der Hamburger Senat vor der wachsenden Gefahr durch Cyberangriffe und nannte dabei neben dem Energiesektor explizit den Hafen der Hansestadt als potenzielles Ziel krimineller Hackerinnen und Hacker. Tatsächlich kommt dort einiges zusammen: „Der drittgrößte Hafen Europas ist ein internationales Logistik-Drehkreuz, an dem sich die See- und Binnenschifffahrt und der Güterverkehr der Bahn treffen“, erklärt Bartsch. „Allein die sechs Tage andauernde Blockierung des Suezkanals durch ein Containerschiff Anfang 2021 hat uns alle spüren lassen, wie einschneidend ein zusätzliches Lieferkettenproblem werden kann.“
Der Hamburger Hafen ist als internationales Logistik-Drehkreuz potenzielle Zielscheibe für Cyberangriffe.
Sichere Summe der einzelnen Teile
TÜViT führt auch Prüfungen von IT-Security-Komponenten durch, die von KRITISUnternehmen eingesetzt werden. Hierfür werden die Fachleute schon bei der Entwicklung solcher Komponenten mit ins Boot geholt. Prüferinnen und Prüfer schauen dem Hersteller dann während des gesamten Prozesses über die Schulter, um schon bei der Entwicklung darauf zu achten, dass es später im Betrieb nicht zu sicherheitsrelevanten Problemen kommt. Dies wird besonders zentral für den Straßenverkehr der Zukunft. Aktuell wird dort das Bedrohungspotenzial durch Cyberattacken noch nicht als sehr relevant angesehen. Mit dem vollautonomen Fahren aber wird sich das fundamental ändern. TÜViT hat Prüfspezifikationen erstellt, die Komponenten im Fahrzeug erfüllen müssten, damit Autos hochsicher miteinander und auch mit der Straßeninfrastruktur kommunizieren können. „Hier bieten sich besonders die sogenannten internationalen ‚Common Criteria‘ als Prüfschema an, die sich als IT-Sicherheitsstandard etabliert und bewährt haben“, sagt Bartsch. Durch Kommunikation miteinander und mit der Infrastruktur wissen die Fahrzeuge, ob hinter der nächsten Straßenecke etwa ein Unfall passiert ist oder eine anderweitige Gefahrensituation entstehen könnte. „Dies ist allerdings Zukunftsmusik“, macht Bartsch deutlich. „Um den zukünftigen Luxus des autonomen, selbstfahrenden Individualverkehrs genießen zu können, müssen wir aber zunächst die aktuellen Bedrohungen der europäischen Energieversorgung wie auch der Lieferketten in den Griff bekommen.“