Technische Überwachung

Cybersicherheit: Schutz mit höchstem Anspruch

  1. Technische Überwachung
  2. Cybersicherheit: Schutz mit höchstem Anspruch

 

Cyberkriminelle gehen immer professioneller und breitflächiger bei ihren Attacken auf Unternehmen vor. Betreiber überwachungsbedürftiger Anlagen  müssen sich besonders schützen – auch wegen erhöhter gesetzlicher Anforderungen. Zugelassene Überwachungsstellen (ZÜS) überprüfen, ob die  notwendigen Sicherheitsvorkehrungen umgesetzt wurden.

Erst legt ein eingeschleustes Schadprogramm den Betrieb lahm. Dann melden sich die Cyberkriminellen und verlangen ein Lösegeld für das Freischalten der  IT-Systeme. Immer mehr Unternehmen werden Opfer solcher Erpressungsversuche. Es stünden nicht mehr nur „große, zahlungskräftige Unternehmen im  Mittelpunkt der Attacken“, heißt es im jüngsten Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zunehmend würden auch kleine und mittlere Firmen angegriffen. Dabei gehen die Cyberkriminellen laut BSI immer perfider vor – als „Cybercrime- as-a-Service“ beschreiben die Sicherheitsexperten die zunehmende Professionalisierung und Spezialisierung der Online-Kriminellen. Mithilfe von Künstlicher Intelligenz gelingt es ihnen,  ihre Phishing-Mails immer glaubwürdiger zu gestalten und noch gefährlichere Viren zu programmieren.

Mehr Widerstandskraft gegen solche  Cyberangriffe sollen neue Gesetze bringen. So ist beispielsweise in der Europäischen Union (EU) im vergangenen Jahr  die NIS2-Richtlinie in Kraft getreten. Sie verpflichtet die Betreiber von kritischer Infrastruktur (KRITIS) – etwa Energieversorger und medizinische  Einrichtungen – zu umfassenderen Vorkehrungen für die IT-Sicherheit. „Die Vorgaben für KRITIS-Betreiber wurden massiv verschärft “, sagt Jörg Becker,  Leiter des Kompetenzzentrums Cybersecurity der TÜV SÜD Industrie Service GmbH. In Deutschland müssten rund 30.000 Unternehmen künftig die  Anforderungen des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes der Bundesregierung erfüllen. Viele von ihnen seien zugleich auch Betreiber überwachungsbedürftiger Anlagen, erläutert Becker. Auch als solche müssen sie strengen regulatorischen Auflagen gerecht werden. Dieses schlägt sich  auch in zunehmenden Prüfumfängen der ZÜS nieder.

Den Unternehmen ist die Notwendigkeit von Cybersecurity bewusst

Das Bewusstsein für Cybergefahren  sei in den Unternehmen deutlich gestiegen, sagt Becker. „Wir diskutieren mit den Firmen meist nicht mehr darüber, ob  man Cybersecurity braucht – das ist eine gute Nachricht. Aber es schließt sich häufig die Frage an: Was müssen wir tun?“ Vielen Verantwortlichen sei noch  nicht klar, wie sie mit den gesetzlichen Vorgaben umzugehen haben. Immer wieder werde zudem der Aufwand unterschätzt. „Man wiegt sich in  vermeintlicher Sicherheit, weil man glaubt, dass die Firmen-IT sich um das Thema gekümmert hat“, sagt Becker, „aber die IT-Leute schauen sich nicht  unbedingt OT-Systeme an.“ OT steht für Operational Technology. „Bei der OT spielt aber meist die Musik, wenn es um die Sicherheit von Menschen geht“, sagt Becker.

Den Zugriff auf die Anlagen erlangen Cyberkriminelle laut einer BSI-Studie am häufigsten über mit Viren infizierte USB-Sticks oder temporäre  Datenverbindungen etwa über verseuchte  Wartungsrechner. Werden diese mit einem industriellen Steuerungssystem verbunden, können Hacker die  Kontrolle über die Anlagen übernehmen. „Mitarbeiter werden so unwissend zu Tätern, weil sie mit kompromittierten Werkzeugen arbeiten“, sagt Becker. Deshalb müsse jede mögliche Verbindung zur Anlagensteuerung beim IT-Sicherheitskonzept berücksichtigt werden. „Wer nur Internetverbindungen betrachtet, springt viel zu kurz.“

Cybersicherheit als Prozess

In der Praxis hält Becker ein schrittweises  Vorgehen für sinnvoll. „Cybersicherheit ist immer das Ergebnis eines Prozesses“, sagt der TÜV-Experte. „Zuerst gilt  es, die für den sicheren Betrieb hinsichtlich der Cybersicherheit relevanten Systeme zu identifizieren – und das zunächst ohne Berücksichtigung von  vorhandenen oder geplanten Security-Maßnahmen. Im zweiten Schritt gelte es dann zu prüfen, welche Folgen es haben könnte, wenn die identifizierten  Systeme kompromittiert werden – und welche Wege es hierfür für Angreifer gibt. „Das geschieht klassisch in einer Bedrohungs- und Auswirkungsanalyse“, erklärt Becker. „Auf diese Weise wird der Schutzbedarf festgelegt.“ Erst im nächsten Schritt gelte es, „die konkreten Maßnahmen zu wählen, die ein  Unternehmen braucht, um den Schutz des Systems zu erreichen.“ Das Problem sei dabei nicht das Fehlen von Lösungen. „Das Problem ist häufig, dass die  Unternehmen nicht genau sagen können, was in welchem Umfang geschützt werden muss und was hierfür die besten Mittel sind.“ Bei überwachungsbedürftigen Anlagen sei das Ziel klar, sagt Becker. Die rechtliche Vorgabe laute: Es darf für Beschäftigte und andere Personen nicht gefährlich  werden. „Hier betrifft Cybersecurity zwar nur einen kleinen Bereich der Anlage, dafür aber spielt man dort automatisch in der Champions League.“

Technische Regeln geben Sicherheit

Orientieren können sich die Verantwortlichen  in den Betrieben bei der Suche nach geeigneten Cyberschutzmaßnahmen laut Becker am besten an dem  Abschnitt 4.5.2 (2) der Technischen Regel für Betriebssicherheit (TRBS) 1115 Teil 1. Hier sind sechs fundamentale Themen der Cybersicherheit aufgeführt:  von Segmentierung und Fernzugriff über den Zugangsund Zugriffsschutz und die Unabhängigkeit von sicherheitsrelevanten Mess-, Steuer- und  Regelungseinrichtungen bis hin zur Überwachung sowie dem Notfallmanagement. Auch die „Härtung von Komponenten“ zählt dazu – Soft- und Hardware  werden, im Rahmen ihrer bereits vorhandenen Möglichkeiten, möglichst widerstandsfähig aufgestellt. „Ein Unternehmen muss sich für jeden dieser  Bereiche überlegen, was es an Maßnahmen braucht“, sagt Becker. „Es ist beispielsweise ein Unterschied, ob eine Anlage auf einem geschützten  Werksgelände steht oder ob es sich um eine öffentlich zugängliche Tankstelle handelt.“

Die ZÜS prüfen dann, ob die Maßnahmen dafür geeignet sind, die Anlagen entsprechend den Vorgaben zu schützen. „Diese Bewertung ist nur möglich, indem  die ZÜS den Prozess nachvollzieht“, sagt Becker. Unterstützung liefert den Unternehmen der Beschluss B-002 des ZÜS-Erfahrungsaustauschkreises (EK ZÜS). Dieser umfasst auch eine Arbeitshilfe für die Betreiber überwachungsbedürftiger Anlagen. „Das ist ein bisschen wie in der Schule: Man sagt, man  lernt fürs Leben – und am Ende fragen doch alle: Was kommt in der Prüfung dran und wie bereite ich mich darauf vor?“, sagt Becker. „Und genau diese Fragen  beantwortet die Arbeitshilfe.“

Start mit geringer Prüftiefe

Im vergangenen Jahr sind die ZÜS mit einer geringen Prüftiefe gestartet. „Die Frage war zunächst, ob es eine dokumentierte Behandlung des  Cybersicherheitsprozesses gibt“, erläutert Becker. Es sei darum gegangen, gerade kleinere Firmen nicht zu überfordern. „Viele hatten das damals noch gar nicht auf dem Schirm“, so der TÜV-Experte. Waren nicht einmal die grundlegenden Schritte gemacht, wurde ein geringfügiger Mangel festgestellt, für dessen  Behebung den Unternehmen per Gesetz ein Jahr Zeit gewährt wird. Seit dem 1. April 2024 ist eine weitergehende Dokumentationsprüfung der Cybersicherheit gemäß dem EK-ZÜS-Beschluss B-002 verpflichtend. Diese auch als Stufe 2 bezeichnete ZÜS-Prüfung ist in vier Schritte unterteilt: Die Experten schauen, ob die richtigen Systeme identifiziert wurden, ob der Schutzbedarf korrekt festgestellt und die richtigen Maßnahmen ausgewählt wurden. Zudem wird ermittelt, ob es Maßnahmen gibt, um das implementierte Cybersicherheitsniveau aufrecht zu erhalten. Das geschieht nach dem Prinzip  der Plausibilitätsprüfung. „Wir schauen, ob alles mit Kompetenz und ausreichender Genauigkeit durchgeführt wurde – und die Ergebnisse entsprechend  nachvollziehbar sind.“ Noch nicht terminiert ist die sogenannte Stufe 3, in der auch die technische Umsetzung der Cybersicherheit an den Anlagen selbst  geprüft werden muss. Jörg Becker: „Die konkrete Umsetzung von Maßnahmen zu prüfen, bei denen noch nicht festgestellt wurde, ob sie überhaupt geeignet  sind, erzeugt nur eine Scheinsicherheit.“

INFO

Wie sich Aufzüge vor Cyberangriffen schützen lassen

Es sollte die gewohnte morgendliche Fahrt ins Erdgeschoss werden. Doch der Aufzug des Wohnhauses bewegte sich immer wieder auf und ab, ohne die Türen zu öffnen. Ende vergangenen Jahres war ein Münchner Familienvater mit seinem einjährigen Sohn in der Anlage gefangen. Erst die Feuerwehr konnte  die Fahrt stoppen und die beiden befreien. Die Ursache ist unklar. Es können defekte Steuerungen sein, die Aufzüge aus dem Rhythmus bringen. Doch auch  kriminelle Hacker sind in der Lage, die Anlagen zu manipulieren. „Wir nehmen wahr, dass es bei Cyberangriffen in Unternehmen auch Fälle gibt, in denen die Aufzüge betroffen waren“, sagt Guido Kehmer, Geschäftsfeldmanager für Aufzüge und Fördertechnik des TÜV Rheinland. Möglich wird das durch eine zunehmende Vernetzung der Anlagen. „Die Notrufeinrichtung funktioniert vielerorts über das Internet“, erläutert Kehmer. „Zudem sind Aufzüge in vielen Bereichen mit der Gebäudeleittechnik verbunden.“ Das trifft laut dem Experten auf Kliniken oder Einkaufszentren zu. Zusätzlich können über Internet-of-Things-Anwendungen der  Aufzugshersteller Daten des Aufzugs analysiert und abgerufen werden.

Häufig vernachlässigte Angriffspunkte sind die Schnittstellen eines Aufzugs, über die beispielsweise drahtgebunden, per WLAN oder Bluetooth die Steuerung erreicht und kompromittiert werden kann. Ob ein technischer Defekt oder ein Cyberangriff die Störung eines Aufzugs verursacht habe, sei nicht  immer nachvollziehbar, erläutert TÜV-Experte Kehmer. „Es lässt sich oftmals feststellen, dass Parameter verändert worden sind – aber die Ursache kann  häufig nicht zuverlässig ermittelt werden.“ Nicht nur für die Betreiber kritischer Infrastrukturen, sondern für jeden Betreiber einer Aufzugsanlage sei es  notwendig, alle Gefährdungen einschließlich die der Cybersicherheit zu identifizieren und mögliche Auswirkungen abzuschätzen – um dann geeignete  Schutzmaßnahmen zu ergreifen, sagt Kehmer. Diese Schutzmaßnahmen sollten durch eine Gefährdungsbeurteilung für den Aufzug dokumentiert werden.  „Die Bauteile eines modernen Aufzugs werden immer elektronischer – und damit auch anfälliger“, erläutert Kehmer. Dass Cyberkriminelle einen Aufzug zum  Absturz bringen können, hält der TÜV-Experte für nahezu ausgeschlossen. „Es gibt mechanische Sicherungssysteme, die regelmäßig durch die Zugelassene  Überwachungsstelle geprüft werden und im Fall der Fälle dann auch greifen.“