Krankenhäuser, Energieversorger & Co im Fadenkreuz – Warum der Schutz der Kritischen Infrastruktur vor Cyber-Angriffen besonders wichtig ist

Die Bedeutung von Cyber-Sicherheit ist in den letzten Jahren deutlich gestiegen. Denn seit dem russischen Überfall auf die Ukraine im Jahr 2022 haben koordinierte Hacker-Attacken wie Distributed Denial of Service-Angriffe (DDoS) zugenommen. Dabei stehen Bundes- und Landesbehörden, Unternehmen jeder Größe und auch Organisationen der Kritischen Infrastruktur (KRITIS) im Fadenkreuz der globalen Bedrohung durch Cyber-Kriminelle. Gerade der Schutz von KRITIS-Einrichtungen mit einer gesellschaftlichen Funktion wie Energieversorger, Krankenhäuser oder die Ernährungswirtschaft ist besonders wichtig, damit das staatliche Gemeinwesen durchgehend funktioniert – Grund genug, warum wir uns bei NETHINKS verstärkt mit dem Schutz von KRITIS-Netzwerken beschäftigen. Doch was ist KRITIS überhaupt und wie können sich betroffene Organisationen der Kritischen Infrastruktur gegen Cyber-Attacken schützen?

Welche Organisationen zählen zur Kritischen Infrastruktur?

Organisationen der Kritischen Infrastruktur – dazu zählen auch Institutionen und Unternehmen – sind das Rückgrat unserer Gesellschaft, die den Zugang zu elementaren menschlichen Grundbedürfnissen sichern. Aus diesem Grund sind diese Einrichtungen besonders gefährdet. Denn wenn KRITIS-Organisationen in ihrer Funktion beeinträchtigt werden oder ganz ausfallen, dann hat dies weitreichende Konsequenzen: Versorgungsengpässe und beträchtliche Gefährdungen der öffentlichen Sicherheit können entstehen. In Deutschland zählen Einrichtungen zur KRITIS, die in den Sektoren Ernährung, Gesundheit, Energie, Trinkwasser, Transport, Verkehr, Finanzen und Versicherungen sowie Informationstechnik und Telekommunikation tätig sind. Ob ein einzelnes Unternehmen oder eine Institution zur Kritischen Infrastruktur gezählt wird, ist in Deutschland nicht eindeutig definiert. Deshalb hängt die KRITIS-Bewertung mitunter von individuellen, zum Teil branchenspezifischen Faktoren ab. Als Faustregel hat sich allerdings etabliert, dass alle Organisationen zu KRITIS gehören, die mehr als 500.000 Menschen versorgen können.

Pflichten für KRITIS-Betreiber

Sofern eine Organisation als KRITIS-relevant eingestuft wurde, resultieren daraus besondere, gesetzlich geregelte Pflichten für ihre Betreiber. So müssen die Betreiber von Energieanlagen und Energienetzen gewährleisten, dass ihre IT-Systeme angemessen gegen Cyber-Bedrohungen geschützt sind. Für die Überprüfung der Anforderungen hat die Bundesnetzagentur einen IT-Sicherheitskatalog mit Mindeststandards vorgelegt, der alle zwei Jahre überprüft wird. Auch Finanzdienstleister und Krankenhäuser sind gesetzlich dazu verpflichtet, Vorkehrungen zum Schutz ihrer IT-Systeme und der Minderung von Angriffsrisiken zu treffen. Hinzu kommt eine Anzeigepflicht von IT-Produkten, die in KRITIS-Organisationen zum Einsatz kommen, und ein besonderes Zertifizierungs- und Prüfverfahren für Hard- und Software. So will der Gesetzgeber verhindern, dass ausländische Regierungen oder Geheimdienste mittels IT-Produkte Einfluss auf Bereiche der KRITIS in Deutschland nehmen können. Kommen Betreiber von Organisationen der Kritischen Infrastruktur ihren Pflichten nicht nach, drohen – je nach Verfehlung – hohe Bußgelder von bis zu zwei Millionen Euro.

Nachholbedarf in allen KRITIS-Sektoren

Trotz der strengen Gesetzgebung und empfindlicher Bußgelder sind noch nicht alle KRITIS-Organisationen auf dem neuesten Stand der Anforderungen. In den letzten Jahren kam es deshalb immer wieder zu erfolgreichen DDoS-Angriffen, die verschiedene Schwachstellen ausnutzen konnten. Einerseits sind die IT-Systeme von Organisationen der Kritischen Infrastruktur sehr komplex gestaltet und verfügen über teils unübersichtliche Strukturen und anfällige Subsysteme. Andererseits werden in KRITIS-Organisationen häufig veraltete Technologien eingesetzt, was Hackern in die Hände spielt. Hinzu kommt menschliches Versagen, das durch Fehler und Unachtsamkeiten Cyber-Angriffe in vielen Fällen erst möglich macht. Nachholbedarf besteht dabei in allen KRITIS-Sektoren, wie ein Blick auf erfolgreiche DDoS-Angriffe der jüngeren Vergangenheit deutlich macht: Im Jahr 2016 war es Hackern gelungen, Datensätze beim Industriekonzern ThyssenKrupp zu stehlen, während deutsche Bundesbehörden und Ministerien im Mai 2022 schwerwiegenden Cyber-Attacken des russischen Hacker-Kollektivs „Killnet“ ausgesetzt waren. Erst im vergangenen Frühjahr wurden zudem die Webseiten mehrerer deutscher Flughäfen durch DDoS-Angriffe lahmgelegt.

Schutz vor DDoS-Attacken für KRITIS-Betreiber

Doch was können KRITIS-Betreiber tun, um sich nachhaltig gegen gefährliche Cyber-Attacken zu schützen? Tatsächlich gibt einige Lösungen, die in Verbindung mit geeigneten Maßnahmen Schutz vor Hacker-Angriffen bieten:

– Redundanz der Netzwerkstruktur: Die IT-Infrastruktur einer KRITIS-Organisation sollte so aufgebaut sein, dass bei einem DDoS-Angriff nur nicht-wesentliche Teile des Netzwerks betroffen sind und wichtige Netzwerkelemente unberührt bleiben. Dies gelingt durch eine kluge geographische und technische Verteilung von Netzwerkressourcen- und diensten.

– Erweiterung der Bandbreite & Rate Limiting: Eine höhere Bandbreite kann dabei helfen, die Überlastung durch Anfragen im Zuge eines DDoS-Angriff besser zu bewältigen. Gleichzeitig kann die Anzahl der Anfragen durch einen Benutzer innerhalb eines bestimmten Zeitraumes mit Rate Limiting eingeschränkt werden.

– Angriffserkennung durch Netzwerkmonitoring & Anti-DDoS-Maßnahmen: Durch eine ständige Überwachung des Netzwerkverkehrs werden ungewöhnliche Muster und erwartbare Anstiege frühzeitig erkannt. Spezielle Anti-DDoS-Software und -Hardware unterstützt KRITIS-Betreiber zusätzlich dabei, mutmaßliche Angriffe zu registrieren und entsprechende Gegenmaßnahmen zur Abwehr einzusetzen.

– Schulung von Mitarbeitern: Die Sensibilisierung von Mitarbeitern für das Thema Cyber-Sicherheit in einer KRITIS-Organisation ist neben allen technischen Vorkehrungen besonders wichtig. Mit Fortbildungen, Handreichungen und E-Learnings wird das Bewusstsein der Mitarbeiter erheblich gesteigert, sodass sie bei einem Angriff in der Lage sind, schnell und zielorientiert zu handeln.

– Entwicklung eines Notfallplans: Allen Sicherheitsmaßnahmen zum Trotz kann es dennoch zu Angriffen auf die Netzwerkinfrastruktur einer KRITIS-Organisation kommen. In diesem Fall ist ein kühler Kopf gefragt. Ein detaillierter Reaktionsplan mit klar definierten Aufgaben, Abläufen und Verantwortlichkeiten, der auch Kunden und Partner einschließt, hilft dabei, DDoS-Attacken koordiniert abzuwehren.

– Regelmäßige Prüfung & Zertifizierung: Um Schwachstellen frühzeitig zu erkennen, sind regelmäßige Prüfungen der eigenen IT-Sicherheitssysteme ebenfalls von Bedeutung. Ein Zertifizierungsverfahren mit internen und externen Audits hilft durch die standardisierte Vorgehensweise dabei, alle wesentlichen Punkte für die Überprüfung der Cyber-Sicherheit zu berücksichtigen.

Zuletzt darf ein Aspekt nicht vergessen werden: DDoS-Angriffe entwickeln sich ständig weiter. Die Investition in neueste Technologien und eine regelmäßige Beschäftigung mit dem Thema Cyber-Sicherheit sind eine Grundbedingung, um auch die Verteidigungsstrategien immer auf dem aktuellen Stand zu halten.

NETHINKS als starker Partner von KRITIS-Organisationen

Als einer der führenden mitteldeutschen Dienstleister im Bereich Informations- und Kommunikationstechnologie (ITK) unterstützt NETHINKS Organisationen der Kritischen Infrastruktur dabei, technisch immer auf dem neuesten Stand zu blieben. Mit viel Erfahrung, großem Fachwissen und einem pragmatischen Sicherheitsbewusstsein haben wir uns dem effektiven Schutz von IT-Netzen, Internetverbindungen und der Netzwerkinfrastrukturen in KRITIS-Organisationen verschrieben. Den Grundstein für die vertrauensvolle und sichere Zusammenarbeit mit unseren Kunden aus verschiedenen KRITIS-Sektoren konnten wir mit der erfolgreichen Zertifizierung nach ISO 27001:2017 im Jahr 2023 legen: Mit der Erfüllung des internationalen Standards zum Informationssicherheitsmanagementsystem (ISMS) sind wir in der Lage, großes Vertrauen, maximale Sicherheit und die volle Integrität im Umgang mit den Daten unserer Kunden zu garantieren.

Sie sind Betreiber einer KRITIS-Organisation und haben Fragen zum effektiven Schutz vor Cyber-Attacken? Die Experten von NETHINKS stehen Ihnen gerne persönlich zur Verfügung.