Sicherheit von IT-Infrastrukturen

Transkript

1 1 Kirsten Lühmann Mitglied des Deutschen Bundestages Sicherheit von IT-Infrastrukturen Danziger Gespräche 2010 International Security Conference Security in the digital age 28. Oktober in Schwerin Gliederung Einführung Was/Wo sind IT-Infrastrukturen? o Grundlage kritischer Infrastrukturen, Bsp. Energie Welchen Gefahren sind sie ausgesetzt? o Schwachstelle Vernetzung (Beispiele Airbus, Stromausfall, SCADA) o IT-Angriffe (Beispiele Estland, Stuxnet) Was ist notwendig zum Schutz von IT-Infrastrukturen? o NPSI o UP KRITIS Prävention (Bsp. Lükex) Reaktion Nachhaltigkeit (Bsp. FH Hannover) Schluss

2 2 Sehr geehrte Herren und Damen, als ich die Einladung zu dieser Veranstaltung erhielt, war die Cyber-Attacke auf kritische Infrastrukturen noch Theorie ein realistisches Szenario zwar, aber ein Zukunftsszenario. Keine sechs Monate später ist sie mit Stuxnet bereits zur Realität geworden. Die Sicherheit kritischer Infrastrukturen, zu denen auch die IT- Infrastrukturen gehören, ist ein brandaktuelles Thema. Stuxnet hat uns vor Augen geführt, mit welcher Raffinesse, mit welcher kriminellen Energie wir zu rechnen haben. Das Schadprogramm lässt erahnen, welche Tragweite Cyber-Angriffe auf die Kritischen Infrastrukturen haben können. [Wo sind IT-Infrastrukturen] Dabei ist der Blick auf die Informations- und Kommunikationstechnologie besonders interessant. Sie hat sich in den letzten Jahrzehnten rasend schnell entwickelt und so weit etabliert, dass sie heute bereits selbst zu den kritischen Infrastrukturen gehört. Sprich: IT ist eine Lebensader unserer Gesellschaft geworden. Diese Lebensadern, die Kritischen Infrastrukturen, werden in Deutschland definiert als Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Die IT-Infrastrukturen gehören zu den technischen Basis- Infrastrukturen wie die Energieversorgung oder die Wasserversorgung. Sie haben unseren Alltag mittlerweile so sehr durchdrungen, dass sie auch grundlegend sind für die Funktion

3 3 anderer kritischer Infrastrukturen. So z.b. in den Bereichen Energie, staatliche Verwaltung, Finanzwesen und Rettungswesen. Bsp. Energieversorgung: Moderne Kraftwerke stecken schon jetzt voller Elektronik. In Zukunft soll die Energieversorgung mit Hilfe intelligenter Netze maßgeblich durch IT gesteuert werden. Der Ausbau der genannten Smart Grids wird bereits jetzt stark vorangetrieben. Durch Smart Grids fließen Daten über Stromnetze von Energieversorgern zu den Verbrauchsstellen und zurück. Dezentrale Komponenten wie Zähler melden über private oder öffentliche Netzwerke den aktuellen Verbrauch an den Energieversorger. Umgekehrt erhalten die intelligenten Zähler und Elektrogeräte zeitnah Informationen über den aktuellen Stromtarif. Solche intelligenten Netze bieten neue Angriffspunkte für Hacker. Es versteht sich von selbst, dass für diese Netze von vorneherein ausreichende Sicherheitsmaßnahmen eingeplant und eingebaut werden müssen. Schließlich hat die Energieversorgung für uns eine existenzielle Bedeutung. [Gefahren: Vernetzung als Schwachstelle] Eine Schwachstelle kritischer Infrastrukturen ist die zunehmende Vernetzung, die mittlerweile globale Ausmaße erreicht. Natürlich bringt die Vernetzung Vorteile, z.b. für die wirtschaftliche Produktion, und deshalb wird sie auch immer weiter ausgebaut. Vernetzung optimiert Arbeitsprozesse. Unsere Produktionsweise ist mittlerweile geprägt durch extrem arbeitsteilige,

4 4 hochspezialisierte und auf Effizienz ausgerichtete Strukturen. Diese wären ohne die Vernetzung der Prozesse gar nicht möglich. Bsp. Airbus Ein Beispiel: An der Produktion des AIRBUS sind rund Zulieferer aus der ganzen Welt beteiligt, die ungefähr 3,5 Millionen Einzelteile für das Flugzeug produzieren. Sie greifen wie Zahnräder ineinander. Fällt eines aus, gerät der gesamte Apparat ins Stocken. Das lässt schon erahnen, wie verwundbar unsere Gesellschaft durch die Vernetzung von Prozessen wird. Bei gut platzierten Treffern zerfällt nämlich das Infrastrukturnetz in Inseln. Dann werden Austauschprozesse unterbrochen, die Versorgung kommt zum Erliegen. Das ist im Falle eines einzelnen Produkts ein betriebsinternes Problem, wenn es aber um lebensnotwendige Dienstleistungen geht, erreicht es eine gesamtgesellschaftliche Dimension. Katastrophenforscher bezeichnen die allumfassende Vernetztheit der kritischen Infrastrukturen als Achillesferse moderner Gesellschaften. (Uni Kiel, Katastrophenforschungsstelle) Durch die Vernetzung können schon geringste Störungen zu großen Folgewirkungen führen. [Stromausfall Emsland] Deutlich sichtbar wurden diese Anfälligkeit im November 2006, als eine Hochspannungsleitung über der Ems abgeschaltet wurde, um die Durchfahrt der Norwegian Pearl zu ermöglichen. Infolge dieser Abschaltung kam es zu einer Kettenreaktion, die einen europaweiten Stromausfall verursachte. 10 Millionen Menschen saßen am Ende ohne Strom da (1-1,5 Std.).

5 5 Dieser Vorfall lässt bei Katastrophenforschern die Alarmglocken schrillen. Bemerkenswert ist, dass Stromausfälle in der Risikowahrnehmung der Bevölkerung praktisch überhaupt keine Rolle spielen. Die Konsequenzen erscheinen harmlos Licht, Kühlschrank, Computer fallen aus. Dabei wird nicht bedacht, wie allgegenwärtig die Abhängigkeit der modernen Gesellschaft von Elektrizität ist und wie fatal daher ein länger andauernder Mangel an Elektrizität wäre. [Ursache der Kettenreaktion war im Übrigen eine Kombination aus menschlichem Versagen und einem Software-Fehler.] [SCADA] Ein anderes Beispiel für die erhöhte Verwundbarkeit durch Vernetzung findet sich im Bereich der industriellen Prozesssteuerungssysteme. Die so genannten SCADA-Systeme (SCADA Supervisory Control and Data Acquisition dt: Überwachung, Steuerung, Datenerfassung) steuern Industrieanlagen und werden z.b. in der Telekommunikation, im Transportwesen, aber auch in der Stromversorgung eingesetzt. Aus organisatorischen und ökonomischen Gründen werden diese Systeme zunehmend untereinander oder mit anderen Netzen verbunden. Das bringt neue Angriffspunkte mit sich. Denkbar ist etwa, dass ein Angreifer über das Bürokommunikationsnetz eines Betreibers Zugriff auf die Prozesssteuerungssysteme erlangt. Dann könnte er einfach gängige Internet-Schadprogramme dazu verwenden, das Steuerungssystem anzugreifen. Dabei können schon kurze Störungen erhebliche Schäden verursachen.

6 6 In den USA kam es z.b. zu einem 48-stündigen Ausfall in einem Kernkraftwerk, weil das Prozesssteuerungssystem gestört wurde durch ein Softwareupdate des Bürokommunikationsnetzes. [Gefahren] Prinzipiell ist die IT-Sicherheit durch drei Faktoren gefährdet: 1. technische Defekte, 2. menschliches Versagen (bzw. eine Kombination aus beidem) 3. kriminelle Angriffe. Der IT-Sicherheitsexperte der Bundesagentur für Arbeit behauptete kürzlich, die größte Sicherheitslücke in der IT sei Heinz. Heinz steht dabei für den Mitarbeiter, der sich der Gefahren einfach nicht bewusst ist. Der seinen USB-Stick arglos im Copy-Shop oder Internet-Café benutzt und darüber Schadprogramme ins eigene Netzwerk einschleust. Natürlich wäre Heinz aber nicht gefährlich, wenn es keine Viren, Würmer oder andere Schadprogramme gäbe, die von Freizeit-Hackern oder Kriminellen in Umlauf gebracht werden. [IT-Angriffe nehmen zu] Das Bundesamt für Sicherheit in der Informationstechnik beobachtet eine zunehmende Professionalisierung in der so genannten Cyber-Kriminalität. Die Zahl der Angriffe nimmt zu. Und auch die Qualität der Angriffe steigert sich. Das betrifft sowohl die technische Raffinesse als auch die Geschwindigkeit, mit der die Angriffe nach Bekanntwerden neuer Schwachstellen oder nach Abfangen von regulären s durchgeführt werden. Häufig sind dabei nicht Einzeltäter am Werk sondern internationale Netzwerke.

7 7 Beispiele [Estland April 2007] So z.b. im Frühjahr 2007, als Estland Opfer der bisher größten Hacker-Attacke wurde. Die Täter hatten mehr als eine Million Computer unter ihre Kontrolle gebracht, die Angriffe kamen aus 178 Ländern. Mit dieser Botnetz-Attacke begann der erste Internet-Krieg, wie Experten heute sagen. Über die Hintergründe und den genauen Hergang wird Herr Kivimägi im Anschluss noch genauer informieren. Jüngstes Beispiel aber ist der Wurm Stuxnet [Stuxnet] Der digitale Erstschlag ist erfolgt titelte die FAZ über Stuxnet. Der Wurm Stuxnet stellt den bisher größten und schwierigsten bekannten Angriff auf kritische Infrastrukturen dar. Erstmals haben Hacker Kraftwerke und Produktionsanlagen gezielt angegriffen. Stuxnet sucht nach Programmen von Siemens das ist aber nur der Weg zu einem bestimmten Ziel. Seine volle Wirkung entfaltet der Schädling erst, wenn er eine bestimmte Anlage oder einen spezifischen Prozess entdeckt hat, auf den er eigentlich angesetzt ist. Welche Industrieanlage Stuxnet genau attackieren soll, ist immer noch unklar. Selbst Wochen nach der Entdeckung des Wurms konnten die Experten, die mit der Decodierung von Stuxnet betraut sind, das noch nicht sagen. Es könnte eine Fabrik sein, ein Kraftwerk aber auch die Steuerzentrale einer Ölpipeline.

8 8 Der Wurm gehört zu den anspruchsvollsten Schadprogrammen, die bisher bekannt sind. Er ist in der Lage, das Territorium zu erkennen, in dem er sich befindet und in dem er aktiv werden soll. Die Stuxnet-Entwickler haben gut ein Dutzend enorm anspruchsvoller Schadprogramme zu einem Supervirus zusammengebaut. Sie haben vier bis dahin unbekannte Windows- Sicherheitslücken, sogenannte Zero-Day-Exploits, ausgenutzt exklusives Wissen. Solche Zero-Day-Exploits sind nicht einfach zu finden. Auf dem Schwarzmarkt haben sie einen Wert von etwa einer Viertelmillion Euro. Das lässt Rückschlüsse auf die Ressourcen zu, die den Autoren zur Verfügung standen. Der hohe Aufwand für ein sehr spezielles Ziel spricht dagegen, dass es gewöhnliche Computerkriminelle waren. [Schutz der Infrastrukturen] Leon Panetta, Direktor der CIA sagte in einem Interview im Mai dieses Jahres: Das nächste Pearl Harbour wird ziemlich sicher eine Cyberattacke auf unser Stromnetz sein. Die Bedrohung durch Cyberattacken wird mittlerweile als so schwerwiegend eingestuft, dass die Nato offenbar erwägt, im Falle eines solchen Angriffs den Bündnisfall auszurufen. Nach ersten Informationen, die über den Entwurf für das neue strategische Konzept des Bündnisses durchgesickert sind, soll das auf dem Nato-Gipfel im November in Lissabon verabschiedet werden. Damit würde ein Cyber-Angriff auf die gleiche Stufe gestellt wie ein militärischer Schlag. [NPSI] Deutlich ist jedenfalls, und das nicht erst seit gestern, dass der Schutz der Informationsinfrastrukturen von existenzieller

9 9 Bedeutung ist. Um die Sicherheit dieser Infrastrukturen zu gewährleisten, hat die Deutsche Bundesregierung 2005 den nationalen Plan zum Schutz der Informationsinfrastrukturen verabschiedet (NPSI) Für die nationale Sicherheit ist zwar der Staat zuständig, die Kritischen Infrastrukturen in Deutschland befinden sich aber zu 80% in privatwirtschaftlicher Verantwortung. Erforderlich ist also eine enge Kooperation zwischen Wirtschaft und Staat. Dafür wurde 2007 der Umsetzungsplan KRITIS erarbeitet. Der Umsetzungsplan KRITIS ist wiederum ein Beitrag zum Europäischen Programm für den Schutz Kritischer Infrastrukturen. Im Januar 2009 ist die Richtlinie des Rates über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern in Kraft getreten. Die Ausweisung der Infrastrukturen soll bis 2011 von den Mitgliedsländern umgesetzt werden. Allerdings betrifft die Richtlinie zunächst nur die Sektoren Energie und Verkehr. [UP KRITIS] Der Umsetzungsplan KRITIS für die Sicherheit von IT- Infrastrukturen in Deutschland gibt drei strategische Ziele vor: 1. Prävention, 2. Reaktion 3. und Nachhaltigkeit. Maßnahmen sind auf mehreren Ebenen erforderlich: in den Unternehmen in den Branchen auf nationaler Ebene

10 10 grenzüberschreitend 1. Empfehlungen zur Prävention Um die Sicherheit von IT-Infrastrukturen zu gewährleisten, ist ein geplantes und organisiertes Sicherheitsmanagement aller Beteiligten notwendig. Dazu gehört, dass in den Unternehmen organisatorische Strukturen für das Sicherheitsmanagement geschaffen werden. Also: qualifizierte Leute eingestellt werden, die klare Zuständigkeiten haben. Die kritischen Geschäftsprozesse, die besonders schutzbedürftig sind, müssen identifiziert werden. Zudem sollten für branchenweite kritische Prozesse nach Möglichkeit zertifizierte Produkte eingesetzt werden. Jeder Betreiber sollte ein Gesamtkonzept der IT-Sicherheit erstellen, in das die Einzelmaßnahmen eingeordnet werden. Nach der Identifikation der kritischen Geschäftsprozesse wird ein Notfall- und Krisenmanagement erstellt. Der Umsetzungsplan empfiehlt außerdem, branchenintern Ausweichinfrastrukturen nutzbar zu machen. Unerlässlich ist auch die Schulung und Sensibilisierung der Mitarbeiter durch zielgruppenspezifische Angebote. Zudem werden gemeinsame Übungen, wie etwa die Länderübergreifende Krisenmanagement Exercise (LÜKEX) durchgeführt. [LÜKEX 2011]

11 11 Zur Planung und Durchführung der LÜKEX-Übungen richtet das Bundesministerium des Innern in Abstimmung mit den Bundesländern alle zwei Jahre eine Bund-Länder- Projektorganisation ein. Übungsziele und Übungsschwerpunkte werden in einem Übungsrahmen festgelegt. Die Projektleitung obliegt dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. LÜKEX ist inzwischen zum anerkannten Markenzeichen eines vorausschauenden Krisenvorsorgesystems geworden. Dabei wird sowohl das länder- und bereichsübergreifende Krisenmanagement erprobt, als auch bestehende Krisenmanagementstrukturen weiterentwickelt. Im Vordergrund steht aber die Bildung von bereichsübergreifenden Kooperationsnetzwerken. Krisen- bzw. Verwaltungsstäbe von Bund und Ländern bereiten sich so gemeinsam mit privaten Betreibern Kritischer Infrastrukturen, Hilfsorganisationen und Verbänden auf außerordentliche Krisenlagen vor. LÜKEX hat sich so zum Motor der Entwicklung des strategischen Krisenmanagements in Deutschland entwickelt. Die Übungsergebnisse fließen in Handlungsempfehlungen für das strategische Krisenmanagement, in die Aus- und Fortbildung, die Weiterentwicklung technischer Führungs- und Einsatzmittel sowie die Forschung im Bevölkerungsschutz ein. Ende 2011 findet die Übung auf der Grundlage eines Szenarios statt, das den Ausfall von Informationsinfrastrukturen vorgibt. Hierbei werden die Auswirkungen eines solchen Ausfalls auf Kritische Infrastrukturen durchgespielt sowie die daraus folgenden Kaskadeneffekte untersucht. Das Szenario sieht zielgerichtete Angriffe auf IT-Infrastrukturen, Ausfälle von IT-Infrastrukturen sowie bereichsübergreifende Ausfälle anderer Infrastrukturen vor. Im Ergebnis sollen regionale,

12 12 nationale und internationale Abhängigkeiten erfasst werden, kritische Bereiche identifiziert werden und gemeinsame Schutzziele festgelegt werden. 2. Reaktion Der Umsetzungsplan KRITIS gibt auch Empfehlungen für die Reaktion auf Störung in IT-Infrastrukturen. Ist der Ernstfall erst einmal eingetreten, muss schnell reagiert werden. Im Umsetzungsplan steht, welche Schritte in solchen Fällen eingehalten werden müssen. Die Betreiber kritischer Infrastrukturen müssen definieren, wie sie im einzelnen die IT-Sicherheitslage feststellen, also wem was gemeldet wird, wo die Informationen gesammelt werden, um dann unternehmensintern aber auch branchenweit die Lage zu beurteilen. Ebenfalls konkret festzulegen sind die Mechanismen der Warnung und Alarmierung: also wer sind die zu alarmierenden Personen und auf welchem Wege erfolgt dies. Für die Krisenreaktion empfiehlt der Umsetzungsplan branchenübergreifende Abwehrmaßnahmen, deren Koordination klar geregelt sein muss. 3. Nachhaltigkeit Und schließlich brauchen wir, um die nationalen Informationsinfrastrukturen langfristig schützen zu können, vertrauenswürdige IT-Dienstleistungen und IT- Sicherheitsprodukte.

13 13 Und qualifiziertes Personal, das mit diesen Produkten angemessen umgehen kann. Der Umsetzungsplan sieht vor, dass Wirtschaft und Staat gemeinsam Ausbildungsinhalte zur IT-Sicherheit entwickeln, die an Schulen und Hochschulen vermittelt werden sollen. Außerdem sollen die Betreiber kritischer Infrastrukturen mit Hochschulen in der Forschung zusammenarbeiten, damit verlässlichere IT-Lösungen entwickelt werden können. Ein positives Beispiel ist das Projekt ESUKOM der Fachhochschule Hannover, die mit Partnern aus Wirtschaft und Wissenschaft eine Echtzeit-Sicherheitslösung für Unternehmensnetze entwickelt. Das Projekt wird im Übrigen gefördert vom Bundesforschungsministerium. Das Bundesforschungsministerium und das Bundesinnenministerium haben bereits 2008 vereinbart, IT-Sicherheit als neuen Schwerpunkt der Forschungsförderung im Bereich der IKT zu etablieren. Den Kern des Förderschwerpunkts bildet das vorliegende Arbeitsprogramm IT-Sicherheitsforschung. Dafür werden über 5 Jahre zunächst einmal 30 Mio Euro bereitgestellt. Forschung und Entwicklung im Bereich IT-Sicherheit sind aber eine bleibende Aufgabe, um auch in Zukunft eine nachhaltige IT- Sicherheit zu gewährleisten. Die Informations- und Kommunikationstechnologien entwickeln sich rasant weiter. Sie sind durch extrem kurze Innovationszyklen geprägt. Das heißt, IT- Systeme, die heute noch als sicher gelten, können durch technologische Entwicklungen morgen bereits unsicher sein. Ein besonderer Fokus sollte daher auf die Entwicklung lernender Systeme gesetzt werden.

14 14 Die Betreiber kritischer Infrastrukturen sollten prinzipiell bei der IT-Sicherheit branchenweit zusammenarbeiten, aber auch branchen- und grenzübergreifend. Sie sollten gemeinsam Sicherheitsvorgaben erstellen und fortschreiben. Und sie sollten in Normungs- und Standardisierungsgremien mitarbeiten. [Schluss] Sehr geehrte Herren und Damen, IT-Infrastrukturen sind mittlerweile überall. Weite Bereiche des gesellschaftlichen und wirtschaftlichen Lebens hängen davon ab, dass diese Infrastrukturen richtig und zuverlässig funktionieren. Und dass Vertrauen in die Sicherheit der Systeme da ist. Gleichzeitig werden die weit vernetzten IT-Systeme zunehmend auch für kriminelle Zwecke eingesetzt. Paradoxerweise ist die IT- Technologie Tatwerkzeug und Ziel des Angriffs zugleich. Die kriminellen Aktionsfelder reichen vom Ausspionieren einzelner Daten von Bürgerinnen und Bürgern mit teils erheblichen Schäden über organisierte Kriminalität bis zu Spionage gegen staatliche Einrichtungen und Unternehmen. Die Organisierte Kriminalität setzte im letzten Jahr bereits mehr Geld mit Cyber-Crime um als mit Drogen. Mittel dazu waren zwar weniger Angriffe auf IT-Infrastrukturen als vielmehr Technologieund Identitätsdiebstahl. Sobald sich aber mit Angriffen auf die IT- Infrastruktur Geld machen lässt, bekommen wir es hier mit der organisierten Kriminalität zu tun. Davon abgesehen besteht natürlich die Gefahr terroristischer Anschläge auf die IT-Infrastrukturen. Hier ist unsere Gesellschaft besonders verwundbar und somit auch erpressbar.

15 15 Wir müssen uns gegen diese Gefahren wappnen. Die IT-Sicherheit liegt in der gemeinsamen Verantwortung von Staat und Wirtschaft. Der Umsetzungsplan KRITIS gibt einen guten Rahmen vor. Seine Empfehlungen müssen aber auch umgesetzt und konkretisiert werden. Und dasselbe gilt auch für die europäische Ebene. Kooperationen sind hier nicht nur wünschenswert sondern ebenfalls existenziell. Insofern sollten wir z.b. auch bei konkreten Übungen wie der LÜKEX staatenübergreifend zusammenarbeiten. Schließlich ist auch die Aufklärung und Sensibilisierung der Bürger und Bürgerinnen ein wichtiger Baustein der IT-Sicherheit. Unaufgeklärte Verbraucher, die mit ihren PCs online gehen, ohne sie sicher zu machen, geben Hackern erst die Möglichkeit, Botnetze zu schaffen, mit denen großangelegte Angriffe auf IT- Infrastrukturen gefahren werden können.