Kritische Infrastrukturen in Gefahr

Cyberattacken verstärkt auf KRITIS-Einrichtungen

Von in IT-Sicherheit
13
Jan
'21

Auf den Punkt gebracht lässt sich festhalten: Ohne Kritische Infrastrukturen (KRITIS) läuft nichts. Es handelt sich dabei um Einrichtungen, die funktionieren müssen, damit das Gemeinwohl nicht gefährdet wird. Das Problem: Cyberattacken richten sich vermehrt auf genau diese Einrichtungen.

Wir erklären, was es mit den KRITIS auf sich hat und wie sich die Lage aktuell darstellt.

Zu sehen ist ein Krankenhausflur. Krankenhäuser zählen zu den Kritischen Infrastrukturen. Bild: Pexels / Oles kanebckuu

Krankenhäuser zählen zu den Kritischen Infrastrukturen. Bild: Pexels / Oles kanebckuu

Kritische Infrastrukturen – was ist das?

Unter Kritischen Infrastrukturen fallen Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. So formuliert es das BSI – also das Bundesamt für Sicherheit in der Informationstechnik – im Lagebericht der IT-Sicherheit 2020. Insgesamt gibt es neun KRITIS-Sektoren. Das sind: Energie, Gesundheit, Informationstechnik & Telekommunikation, Transport & Verkehr, Medien & Kultur, Wasser, Finanz- & Versicherungswesen, Ernährung, Staat & Verwaltung. Diese Sektoren untergliedern sich teilweise noch einmal in verschiedene Branchen. Ein Beispiel dafür: Der Sektor Gesundheit beinhaltet die Branchen Medizinische Versorgung, Arzneimittel & Impfstoffe sowie Labore.

Sie alle haben gemeinsam: Kommt es zu einer Störung, sind nachhaltig wirkende Versorgungsengpässe, erhebliche Gefahren für die öffentliche Sicherheit oder andere dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland möglich. Und genau deshalb sind diese Einrichtungen für Cyber-Attacken interessant. Mit nur einem einzigen Angriffspunkt ist das Schadenspotenzial gewaltig.

Das bedeutet: Die Verfügbarkeit und Sicherheit der IT-Systeme spielt im Bereich der Kritischen Infrastrukturen eine zentrale Rolle. Einrichtungen und Unternehmen sind daher dazu aufgefordert, die KRITIS-Verordnung des BSI zur Umsetzung des IT-Sicherheitsgesetzes sowie das BSI-Gesetz für Betreiber Kritischer Infrastrukturen zu befolgen.

BSI-Gesetz: Wozu sind KRITIS-Betreiber verpflichtet?

KRITIS-Betreiber sind dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme, Komponenten und Prozesse zu treffen. Die wichtigste Voraussetzung dabei ist, dass sie den „Stand der Technik“ einhalten. Wie dieser genau aussieht, ist nicht so einfach zu definieren und lässt sich genauso wenig verallgemeinern. Daher definieren immer mehr Branchen spezifische Sicherheitsstandards (B3S), die anschließend durch das BSI abgesegnet werden (müssen).

Mehr als 20 KRITIS-Branchen haben inzwischen solche Standards erstellt, zwölf davon sind durch das BSI als geeignet bestätigt, zwei weitere befinden sich aktuell in einer erneuten Prüfung, die alle zwei Jahre fällig wird (Stand: 11.01.2021). Das BSI stellt fest: Der hohe Stellenwert der IT-Sicherheit ist vielen KRITIS-Betreibern längst bewusst; viele von ihnen verfügen schon seit Jahren über Management-Systeme, die für Informationssicherheit und Business Continuity sorgen.

Nichtsdestotrotz kommt es immer mal wieder zu Störungen. KRITIS-Betreiber haben in solchen Fällen gegenüber dem BSI eine Meldepflicht. Und diese Meldepflicht hilft auch dabei, die Bedrohungslage besser einschätzen zu können.

Zu sehen ist eine Übersicht der wesentlichen Regelungen im BSI-Gesetz für Kritische Infrastrukturen. Bild: BSI

Übersicht der wesentlichen Regelungen im BSI-Gesetz für Kritische Infrastrukturen. Bild: BSI

KRITIS: Hackerangriffe nehmen zu

Das ist besonders wichtig, weil sich die Bedrohungslage ständig verändert. Denn: Jeden Tag kommen neue Arten von Schadsoftware hinzu, während bestehende Arten ständig weiterentwickelt werden. Die Bundesregierung beobachtet außerdem, dass die Zahl von Hackerangriffen auf KRITIS-Einrichtungen in den vergangenen Jahren deutlich angestiegen ist. Als Hackerangriffe zählen dabei: Ausnutzung von Schwachstellen; Hacking und Manipulationen; Schadprogramme (Malware); Gezielte, mehrstufige kombinierte Angriffe (APT-Angriffe); Verhinderung von Diensten.

Diese Zunahme betrifft nicht alle Sektoren gleichermaßen. Das zeigt die Antwort der Bundesregierung vom 12. November 2o20 auf eine Anfrage aus der FDP-Fraktion. Wie der Anstieg im Detail aussieht, zeigt die folgende Übersicht über die Anzahl der Meldungen:

  • Energie: 2016 – 3, 2017 – 7, 2018 – 4, 2019 – 10, 2020 – 26
  • Gesundheit: 2016 – 2, 2017 – 1, 2018 – 11, 2019 – 16, 2020 – 43
  • Staat & Verwaltung: 2019 – 63, 2020 – 70
  • Ernährung: 2016 – 0, 2017 – 2, 2018 – 0, 2019 – 2, 2020 – 2
  • Transport & Verkehr: 2016 – 2, 2017 – 1, 2018 – 28, 2019 – 10, 2020 – 8
  • Finanzen & Versicherungswesen: 2016 – 0, 2017 – 0, 2018 – 8, 2019 – 6, 2020 – 11
  • IT & Telekommunikation: 2016 – 1, 2017 – 1, 2018 – 9, 2019 – 12, 2020 – 4
  • Wasser: 2016 – 3, 2017 – 2, 2018 – 2, 2019 – 2, 2020 – 7

Aus diesen Zahlen ist ersichtlich, dass unter anderem das Gesundheitswesen zunehmend im Fokus von Cyberattacken steht. In Anbetracht der besonderen Umstände im Jahr 2020 ist das wenig verwunderlich. Dennoch wollen wir einen etwas genaueren Blick darauf werden.

Gesundheitswesen ist besonders gefährdet

Die besondere Gefährdung für Einrichtungen des Gesundheitswesens, die übrigens weltweit zu beobachten ist, unterfüttert die Threat-Intelligence-Abteilung von Check Point mit einem Bericht vom 5. Januar 2021 mit zusätzlichen Zahlen. Und die haben es in sich.

Nachdem bereits im Oktober ein massiver Anstieg festgestellt worden war, ist die Zahl von Ransomware-Attacken auf deutsche Gesundheitseinrichtungen seit dem 1. November 2020 noch einmal um 220 Prozent gestiegen. Die Entwicklung zeigt, dass die Cyberkriminellen ein neues, äußerst lukratives Zubrot gefunden haben. Und der Erfolg sorgt dafür, dass die Zahl der Attacken weiter steigt. Aber worin gründet dieser Erfolg?

Insbesondere Krankenhäuser stehen angesichts der zunehmenden Coronavirus-Infektionen unter einem immensen Druck – und sind im Falle eines Ransomware-Befalls notgedrungen besonders willig, Lösegelder zu zahlen, um die Gesundheitsversorgung sicherzustellen. Denn eines steht fest: Ein durch Ransomware verursachter IT-Ausfall kann im schlimmsten Fall lebensbedrohlich sein.

Uniklinik Düsseldorf: Opfer einer Malware-Attacke

So auch bei einem Hackerangriff auf die Uniklinik Düsseldorf im September 2020. Eigentlich wollten die Täter damit offenbar die Düsseldorfer Universität attackieren. Es traf dann aber die Klinik mit 30 verschlüsselten Servern. Die Notaufnahme musste daraufhin geschlossen werden. Dieser Fall machte besonders Schlagzeilen, weil ein Rettungswagen mit einer schwer erkrankten Patienten wegen des Vorfalls nach Wuppertal umgeleitet werden musste und letztlich verstarb. Die Staatanwaltschaft ermittelte wegen fahrlässiger Tötung, stellte aber fest, dass die Frau wohl in jedem Fall verstorben wäre.

Ausgenutzt wurde in diesem Fall – der als einer der bekanntesten Cyberangriffe 2020 gilt – eine bereits seit Dezember 2019 bekannte Sicherheitslücke in VPN-Produkten der Firma Citrix. Seit Januar 2020 stehen entsprechende Updates bereit, mit denen die Lücke geschlossen werden kann – sie müssen aber durchgeführt werden.

Genauso verbreitet sind bei den Angriffen auf das Gesundheitswesen aber auch Phishing-Attacken. Die folgende Abbildung aus der Publikation acatech Horizonte zeigt exemplarisch, wie eine solche Attacke auf Gesundheitseinrichtungen abläuft.

Zu sehen ist ein Schaubild über den exemplarischen Ablauf eines Cyberangriffs auf das Gesundheitswesen. Es zählt als Kritische Infrastruktur. Bild: acatech

So läuft ein Hackerangriff auf das Gesundheitswesen exemplarisch ab. Bild: acatech

BSI fordert: Cybersicherheit erhöhen

Das BSI ruft vor diesem Hintergrund das Gesundheitswesen dazu auf, die Cybersicherheit zu erhöhen. Es sei die Aufgabe von Ärztinnen, Ärzten und Pflegepersonal, Leben zu retten, kranke Menschen zu heilen und sich um ihre Patienten zu kümmern. Sie sollten sich dagegen nicht damit auseinandersetzen müssen, ob die Stations-PCs funktionieren oder ob Sicherheitsupdates für ein medizinisches Gerät oder den Steuerungsrechner einer Herz-Lungenmaschine eingespielt werden müssen.

Das BSI warnt außerdem vor Angriffen auf Impfstoffunternehmen und die zugehörigen Logistikketten. Aufgrund der zu erwarteten Gewinne beim Verkauf des Impfstoffs seien die Impfstoffhersteller ein sehr attraktives Ziel für Cyber-Angreifer. Durch die frühen Hinweise des BSI sind die Hersteller aber offenbar gut vorbereitet.

Kritische Infrastrukturen: Schutz vor Ransomware & Phishing

Check Point gibt als Experte für IT-Sicherheit einige hilfreiche Tipps, mit denen sich nicht nur KRITIS-Einrichtungen und KRITIS-Unternehmen schützen können. Denn: Auch jedes andere kleine, mittelständische und große Unternehmen ist potenzielles Opfer von Cyberattacken. Hier die Empfehlungen:

  • Suchen Sie nach Trojaner-Infektionen.
    Ransomware-Angriffe beginnen in der Regel mit einer ersten Infektion durch einen Trojaner, einige Tage oder Wochen vor dem eigentlichen Beginn des Ransomware-Angriffs auf. Hinweise liefern Trickbot-, Emotet-, Dridex- und Cobalt-Strike-Infektionen. Möglicherweise lassen sie sich noch rechtzeitig entfernen.
  • Erhöhen Sie die Wachsamkeit an Wochenenden und Feiertagen.
    Im Jahr 2020 fanden die meisten Ransomware-Angriffe an den Wochenenden und während der Feiertage statt, wenn das IT-Personal weniger arbeitet.
  • Verwenden Sie Anti-Ransomware-Lösungen.
    Ransomware-Angriffe sind sehr ausgeklügelt und werden ständig weiterentwickelt. Dennoch sind Anti-Ransomware-Lösungen mit einer sogenannten Remediation-Funktion effektive Tools: Sie ermöglichen es Unternehmen, im Falle einer Infektion innerhalb von Minuten zum normalen Betrieb zurückzukehren.
  • Klären Sie Mitarbeiter über bösartige E-Mails auf.
    Viele der aktuellen Cyberangriffe beginnen mit einer gezielten Phishing-E-Mail. Daher ist es entscheidend, Mitarbeiter und Anwender darauf zu schulen, wie sie potenzielle Ransomware-Angriffe erkennen und vermeiden können. Die Schulung der Security Awareness gilt als eine der wichtigsten Schutzmaßnahmen.
  • Führen Sie regelmäßig Updates durch und setzen auf virtuelles Patching.
    Sobald neue Updates für Software oder Systemen zur Verfügung steht, sollten diese auch ausgeführt werden. In Krankenhäuser ist dieses Patchen aber häufig nicht so einfach umsetzbar. Die Verwendung eines Intrusion Prevention Systems (IPS) mit virtueller Patching-Funktion kann dabei helfen, dass Schwachstellen in anfälligen Systemen oder Anwendungen ausgenutzt werden.

Ob KRITIS oder nicht – es gibt einige Maßnahmen, die Sie ergreifen können, um die IT-Sicherheit in Ihrem Unternehmen oder Ihrer Einrichtungen auf ein hohes Niveau zu bringen und dort zu halten.

IT-Experten unterstützen bei IT-Sicherheit

Sie fühlen sich angesichts der Vielzahl an Maßnahmen überfordert? Dann holen Sie sich einen versierten IT-Dienstleister an Ihre Seite, der sich den Schutz Ihres Unternehmens oder Ihrer Einrichtung vor Cyberbedrohungen zur Aufgabe macht. Und wo finden Sie so einen externen IT-Fachmann?

Gern legen wir Ihnen unsere Experten aus dem IT-SERVICE.NETWORK. Unsere angeschlossenen IT-Systemhäuser haben jedes für sich eine breite Expertise auf dem Feld der IT-Sicherheit. Zusätzlich können Sie in besonders kniffligen Fällen auf das Schwarmwissen aller Partner zurückgreifen.

Nehmen Sie Kontakt zu einem unserer IT-Experten in Ihrer Nähe und geben Sie Ihre IT-Sicherheit in kompetente Hände. Mit unserer Unterstützung haben Cyberangriffe auf Ihr Netzwerk keine Chance.


Weiterführende Links:
KRITIS Bund, BSI Bund, BSI Bund Branchenstandards, BSI Bund Lagebericht 2020, Bundesregierung, Check Point, TAZ, Morgenpost, Manager Magazin, Acatech Horizonte Cyber Security

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.