Sie sind hier: Home » Fachartikel » Hintergrund

Security-Herausforderungen für KRITIS-Betreiber


Robuste Cyberresilienz für kritische Infrastrukturen
KRITIS braucht einen mehrschichtigen Sicherheitsansatz



Autor Holger Fischer
Autor Holger Fischer KRITIS-Betreiber sind ein attraktives Ziel für finanziell motivierte Cyberkriminelle. Denn die Wahrscheinlichkeit, dass die Lösegeldforderungen bezahlt werden, ist höher, da die Opfer oft bereit sind, alles zu tun, um ihre kritischen Systeme wiederherzustellen, Bild: Opswat

Von Holger Fischer, Director Sales EMEA Central, Opswat

Kritische Infrastrukturen stehen mehr und mehr im Visier von Cyberkriminellen und staatlich gesponserten Angreifern. Ob Cyberangriffe auf Versorgungsnetzwerke, Kommunikations- und Verkehrssysteme, staatliche und medizinische Einrichtungen oder auf den Banken- und Finanzsektor, erfolgreiche KRITIS-Attacken können enorme Kosten verursachen und teils verheerende Folgen für die öffentliche Sicherheit haben. Laut eines aktuellen Berichts der European Union Agency for Cybersecurity (1) (ENISA) haben in der EU vor allem Sektoren wie öffentliche Verwaltung, Gesundheitswesen, Gasversorgung und das ICT Service Management Nachholbedarf in puncto Sicherheit. Um sich gegen die steigenden Angriffe adäquat zu verteidigen, benötigen KRITIS-Betreiber deshalb einen mehrschichtigen Sicherheitsansatz, der ihre Cyberresilienz effektiv stärkt.

Die aktuelle Bedrohungslandschaft für kritische Infrastrukturen
Es gibt eine Vielzahl an Cyberbedrohungen, die auf kritische Infrastrukturen abzielen, um massive Betriebsstörungen zu verursachen, Lösegelder zu erpressen oder vertrauliche Informationen zu exfiltrieren. Angesichts zunehmender globaler Spannungen nehmen staatlich geförderte Hackergruppen immer öfter kritische Infrastrukturen ins Visier, um Spionage zu betreiben oder lebenswichtige Dienste zu unterbrechen, auf die die Bevölkerung eines Landes angewiesen ist. Dies ermöglicht es feindlichen Staaten, andere Länder zu unterminieren und Instabilitäten zu verursachen, mit der einfachen Möglichkeit, ihre Angriffe abzustreiten.

KRITIS-Betreiber sind jedoch auch ein attraktives Ziel für finanziell motivierte Cyberkriminelle. Denn die Wahrscheinlichkeit, dass die Lösegeldforderungen bezahlt werden, ist höher, da die Opfer oft bereit sind, alles zu tun, um ihre kritischen Systeme wiederherzustellen.

Während gängige Bedrohungen wie Ransomware und Phishing nach wie vor weit verbreitet sind, haben Angreifer ihre Taktik in den letzten Jahren angepasst und konzentrieren sich zunehmend auf dateibasierte Malware, um KRITIS-Betreiber anzugreifen. Zu weiteren Strategien gehören der Einsatz von Botnetzen, die Ausnutzung von Zero-Day-Schwachstellen sowie der Einsatz von Advanced Persistent Threats (APTs).

Dabei versuchen die Täter, die Auswirkungen ihrer Attacken zu maximieren. Obwohl Angriffe auf KRITIS-Organisationen in der Regel in IT-Netzwerken beginnen, verlagern Kriminelle deren Schwerpunkt häufig auf Operational Technology (OT), wodurch sie erhebliche Betriebsstörungen verursachen können. Die komplexe und stark vernetzte Natur der Netzwerkinfrastrukturen von KRITIS-Betreibern verstärkt das Risiko. Schwachstellen in einem Bereich können kaskadenartig zu breiteren, systemischen Ausfällen führen, sodass robuste Cybersicherheitsmaßnahmen unerlässlich sind.

Sicherheitsteams stehen vor einer Reihe von Herausforderungen, die sie daran hindern, den Bedrohungen, denen KRITIS-Betreiber ausgesetzt sind, wirksam zu begegnen. Die erste Hürde besteht darin, dass Sicherheitsstrategien die Zustimmung der Geschäftsleitung benötigen. Oft klafft jedoch eine Lücke zwischen den Plänen der Security-Verantwortlichen und den bewilligten Ressourcen und Budgets. Trotz der wachsenden Zahl an Bedrohungen stagnieren die Cyber-Budgets oder wurden gekürzt. Diese finanziellen Einschränkungen zwingen Sicherheitsteams dazu, sich auf die drängendsten Risiken zu konzentrieren, sodass sie auf neue Angriffstaktiken und -methoden schlecht vorbereitet sind.

Zusätzlich zu den begrenzten Budgets stellen die sich verändernden Umgebungen eine weitere Belastung für die Sicherheitsteams dar. Früher wurden IT- und OT-Systeme als zwei getrennte Umgebungen mit eigenen Teams betrieben. In den letzten Jahren hat die Konvergenz von IT und OT jedoch dazu geführt, dass Sicherheitsteams mit der Verwaltung von Systemen betraut wurden, mit denen sie wenig bis gar keine Erfahrung haben.

So sind in KRITIS-Organisationen beispielsweise SCADA-Systeme für den Fernzugriff und die Telemetrie-Erfassung mit Standard-IT-Netzwerken verbunden. Diese Integration hat die Angriffsfläche vergrößert und die benötigten Fachkenntnisse und Ressourcen für eine wirksame Verteidigung erhöht. Der Mangel an fundiertem IT- und OT-Knowhow führt zu einer Wissenslücke hinsichtlich der Auswirkungen von IT-Bedrohungen auf OT-Systeme und deren weiterreichenden Folgen. Aufgrund von zu wenig geschultem Sicherheitsfachpersonal haben Teams mit der Komplexität hybrider Umgebungen zu kämpfen, die Cloud-Speicher, Open-Source-Tools und vernetzte Plattformen umfassen.

Angesichts dieser Herausforderungen und der zunehmenden Raffinesse von Cyberbedrohungen ist die Einführung von mehrschichtigen Sicherheitsstrategien, wie etwa eines Defense-in-Depth-Ansatzes, unerlässlich.

Mehrschichtige Sicherheit: Defense-in-Depth-Ansatz für KRITIS
Defence-in-Depth ist ein mehrschichtiges Sicherheitskonzept, das die Abhängigkeit von einem Single Point of Failure minimieren soll. Durch die Integration mehrerer Sicherheitskontrollen hilft dieser Ansatz, Sicherheitslücken zu schließen, das Risiko einer Kompromittierung zu verringern, die Bedrohungserkennung zu verbessern, wenn herkömmliche Schutzmechanismen umgangen werden, sowie die Reaktion auf Sicherheitsverletzungen zu beschleunigen. Darüber hinaus werden bösartige Inhalte neutralisiert und Anomalien wirksam identifiziert. Unternehmen sollten ihren Defense-in-Depth-Ansatz so anpassen, dass der Schutz kritischer Ressourcen, die für einen unterbrechungsfreien Betrieb wichtig sind, Vorrang hat.

Die erste Verteidigungsschicht umfasst Netzwerksicherheitskontrollen mit Firewalls, Gateways und Datendioden, um den Datenverkehr zu regulieren und unbefugten Zugriff oder Datenexfiltration zu verhindern. Die Netzwerksegmentierung bietet einen zusätzlichen Schutz, indem sie Bedrohungen isoliert und sicherstellt, dass ein Sicherheitsvorfall in einem Bereich nicht das gesamte System gefährdet.

Ebenso wichtig ist die Datensicherheit, um die Risiken von in Dateien versteckter Malware zu minimieren. In Netzwerk-Appliances integrierte Multi-Scanning-Technologien säubern oder blockieren schädliche Inhalte in Dateien, bevor sie sensible Systeme erreichen. Diese Technologien können bekannte Malware mit extrem hohen Erfolgsquoten von über 99 Prozent erkennen und blockieren. Bisher unbekannte Bedrohungen können durch eine fortschrittliche Sandbox-Prüfung sowie Threat Intelligence enttarnt werden, die bekannte Bedrohungsakteure und deren Infrastruktur identifiziert.

Durch moderne Technologien wie Deep Content Disarm and Reconstruction (CDR) können Dateien zudem bis in die Tiefe von bösartigem Code bereinigt werden. Diese sauberen Dateien werden in isolierten Datentresoren gespeichert, um sicherzustellen, dass nur gründlich geprüfte Daten in OT-Netzwerke gelangen und deren Integrität gewahrt bleibt.

Der Schutz von Endgeräten bildet eine weitere wichtige Sicherheitsebene und schützt Geräte wie Laptops und Desktops, die häufig Ziele für Angriffe über Wechselmedien sind. Umfassende Endpunktlösungen kombinieren mehrere Malware-Erkennungsmodule, Verhaltensanalysen und Threat Intelligence Feeds, um sowohl bekannte als auch Zero-Day-Bedrohungen zu bekämpfen.

E-Mail-Sicherheits-Tools, die Phishing-Versuche blockieren und Anhänge oder URLs auf bösartige Inhalte überprüfen, sind ebenfalls entscheidend, um Risiken zu reduzieren und die allgemeine Cyberresilienz des Unternehmens zu verbessern.

Diese miteinander verknüpften Sicherheitsschichten bilden eine robuste und umfassende Verteidigung, um Systeme zu schützen und Schäden durch Cyberangriffe zu verhindern. Durch die Anwendung eines mehrschichtigen Ansatzes können KRITIS-Betreiber eine resiliente Cybersicherheitsstruktur aufbauen, die ihre kritischsten Vermögenswerte wirksam gegen immer ausgefeiltere und weitreichendere Bedrohungen schützt.

(1) ENISA European Union Agency for Cybersecurity: https://www.enisa.europa.eu/topics/cyber-threats/threat-landscape

Zum Autor:
Holger Fischer verantwortet als Director Sales EMEA Central bei OPSWAT seit Januar 2024 strategische Vertriebsinitiativen und das Umsatzwachstum in Zentraleuropa. Mit seinem Know-how in der Cybersicherheit unterstützen er und sein Team Kunden beim Schutz ihrer kritischen Infrastrukturen.
(Opswat: ra)

eingetragen: 14.05.25

opswat: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Banken und das Sicherheitsdilemma

    Der Einsatz künstlicher Intelligenz (KI) verändert die Anforderungen an Datenschutz und Cybersicherheit im Finanzsektor. Mit dem zunehmenden Fortschritt der Technologie wird der Schutz sensibler Daten immer anspruchsvoller. Um dieser Herausforderung zu begegnen, arbeiten viele Vermögensverwalter zunehmend mit Fintechs zusammen. Bei der Wahl des richtigen Technologiepartners rücken nun neue Kennzahlen in den Fokus.

  • Komplexes Steuerumfeld mit ständigen Veränderungen

    Die Landschaft der indirekten Steuern unterliegt einem beispiellosen Transformationsprozess. Und dieser hat sich in den letzten Jahren rasant beschleunigt. Die Veränderungen manifestieren sich auf unterschiedlichen Ebenen: Regulatorisch bewegen sich die Regierungen hin zu Modellen, die auf dem Bestimmungsort basieren und bei denen die Besteuerung zunehmend im Land des Konsumenten erfolgt. Auch die Prozesse entlang der Berichterstattung sind im Umbruch: Steuerbehörden verlangen nun zunehmend Echtzeit-Reporting mit detaillierten Transaktionsdaten.

  • Wahrung der Belange der Versicherten

    Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt unter anderem die Lebensversicherer. Allein die BaFin ist berechtigt einen Insolvenzantrag zu stellen, § 312 Versicherungsaufsichtsgesetz (VAG). Die BaFin hat jedoch mehrere Alternativen, wie beispielweise die Bestandsübertragung oder die Herabsetzung der Leistungen in der Lebensversicherung.

  • Die vier größten Mythen zur Aufbewahrungspflicht

    Die GoBD sind für viele ein Buch mit sieben Siegeln, um das sich zahlreiche Mythen ranken. Dabei gibt es die Grundsätze nun schon seit zehn Jahren. Höchste Zeit, Licht ins Dunkel zu bringen und mit einigen der hartnäckigsten Irrtümer aufzuräumen. Veröffentlicht wurden die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (kurz GoBD) im Jahr 2014.

  • Die Evolution der Massenklagen

    In der Welt des Rechts hat sich eine bemerkenswerte Entwicklung vollzogen: Massenklagen werden zunehmend industriell bearbeitet, was eine effizientere und standardisierte Abwicklung auch kleinerer Streitwerte ermöglicht. Diese Transformation wird durch die fortschreitende Spezialisierung von Anwaltskanzleien und die Unterstützung durch IT-Anbieter vorangetrieben, die die notwendige Technologie zur Verfügung stellen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen