CYBERSECURITY, IDENTITÄTSMANAGEMENT UND MULTI-FAKTOR-AUTHENTIFIZIERUNG

Die Gesellschaft am Laufen halten – Schutz kritischer Infrastrukturen

Lesezeit: 4 Minuten

Schutz kritischer Infrastrukturen durch Multi-Faktor-Authentifizierung (MFA)

Die moderne Welt ist komplex und vielschichtig, dabei hängt ihr Funktionieren von nur ein paar wenigen Grundpfeilern ab: Elektrizität, sauberes Trinkwasser, Abwasser- und Abfallentsorgung, Telekommunikation, Transportwesen und noch ein paar mehr. Diese Grundpfeiler werden kritische Infrastrukturen (KRITIS) genannt und ohne sie ist die moderne Welt, wie wir sie kennen, nicht möglich. Dementsprechend ist es eine wichtige Aufgabe sowohl für den öffentlichen als auch den privaten Sektor, kritische Infrastrukturen vor Naturkatastrophen und menschengemachten Gefahren zu schützen. Allerdings sind KRITIS in vielen Fällen nicht so geschützt, wie sie sein sollten, besonders wenn es um Cybersicherheit geht; zum Beispiel bei unbefugtem Zugriff auf Systeme oder sogar bei Cyberangriffen.

Cyberangriffe auf kritische Infrastrukturen – eine potentielle Katastrophe

Ein Beispiel, wie ein Angreifer vielleicht Zugang zu kritischen Infrastrukturen bekommen könnte, ist, indem er eine E-Mail mit Schadsoftware im Anhang an die private E-Mail-Adresse eines Angestellten einer kritischen Infrastruktureinrichtung schickt. Öffnet dieser den Anhang wird die Schadsoftware auf das jeweilige Gerät installiert. Irgendwann trägt der Angestellte die Schadsoftware „per Hand“ in das System der kritischen Infrastruktureinrichtung, zum Beispiel auf einem infizierten USB-Stick. Die Schadsoftware installiert sich nun selbst unbemerkt im System der Einrichtung, wo sie sämtliche Passwörter, die eingegeben werden, erfasst und an den Angreifer zurücksendet, der sich so Zugang verschafft.

Die Folgen eines solchen Hacks können katastrophal sein. Das vielversprechendste und potentiell schwerwiegendste Ziel eines Angriffs wären Kraftwerke oder andere Teile des Stromnetzes. Dies ist bereits mehrfach im Laufe der letzten Jahre in der Ukraine der Fall gewesen und jedes Mal waren Millionen Ukrainer stundelang ohne Strom (LINK). Auch in den Vereinigten Staaten passierten solche Angriffe: im Zeitraum zwischen den Jahren 2010 und 2014 verzeichnete das US Department of Energy 1.131 Angriffe auf Kraftwerke und andere Teile des Stromnetzes, von denen 159 erfolgreich waren (Link). „Glücklicherweise“ wurden in diesen Fällen nur Daten entwendet.

Allerdings sind nicht nur Kraftwerke potentielle Ziele von Angriffen. Auch die Zusammensetzung der Chemikalien in Wasseraufbereitungsanlagen könnten aus der Ferne verändert werden und so die Trinkwasserversorgung gefährden. Oder ein Angreifer öffnet die Schleusen von Staudämmen, was ganze Gebiete überfluten könnte.

Dies sind nur die potentiell schwerwiegendsten Folgen eines Angriffs auf kritische Infrastrukturen. Gleichzeitig besteht auch die Gefahr, dass private oder vertrauliche Daten aus kritischen Infrastrukturen entwendet, manipuliert oder an die Öffentlichkeit geleakt werden. Dies kann beträchtliche wirtschaftliche Schäden für alle Beteiligten zur Folge haben: Laut Ponemon-Umfrage in 257 Unternehmen (LINK), haben Cyberverbrechen für Unternehmen in der Energie- und Versorgungsbranche einen durchschnittlichen Schaden in Höhe von 13,2 Millionen Dollar pro Jahr zur Folge. Warum also, sind kritische Infrastrukturen trotz der potentiell schwerwiegenden Konsequenzen, so verwundbar gegenüber Cyberangriffen?

Netzwerke, Menschen, veraltete Sicherheitsmaßnahmen – die Schwachstellen von KRITIS

Natürlich sind kritische Infrastrukturen nicht komplett schutzlos. Es gibt Sicherheitsmaßnahmen und Notfallpläne in jeder Einrichtung, aber die fortschreitende Automatisierung und Vernetzung von Abläufen, Prozessen und Systemen bietet Angreifern neue Schwachstellen, die sie ausnutzen können. Hatte ein Angreifer sich früher erfolgreich Zugang zu einer Einrichtung verschafft, dann hatte er nur diesen einen Zugang. Heute kann durch einen einzelnen unbefugten Zugang ein ganzes Netzwerk kritischer Infrastrukturen gefährdet sein.

Hinzu kommt, dass in vielen Fällen nicht einmal die Technik die Schwachstelle darstellt, sondern die Menschen, die sie bedienen. Die „altmodische“ Methode sich unbefugt Zugriff zu einem System zu verschaffen, nämlich indem man eine Person mit Zugriffsrecht manipuliert oder täuscht, funktioniert nach wie vor. Der Fachbegriff hierfür ist Social Engineering und laut eines Experten des FBI hat diese Form des „Hackens“ eine Erfolgsquote von 85 Prozent (LINK).

Außerdem sind viele Einrichtungen von KRITIS schlicht und einfach nicht so gut geschützt, wie sie sein könnten. In vielen solcher Einrichtungen sind SCADA- (Supervisory Control and Data Acquisition) und andere Kontrollsysteme, die Prozesse und Arbeitsabläufe verwalten und regulieren, oftmals veraltet und nicht mit zeitgemäßen Maßnahmen gesichert. Wie also, lassen sich kritische Infrastrukturen – ausgehend von all diesen potentiellen Schwachpunkten – am besten vor unbefugtem Zugriff durch Angreifer schützen?

Multi-Faktor-Authentifizierung – Sicherheit auf mehreren Ebenen

Multi-Faktor-Authentifizierung (MFA), wie sie zum Beispiel KeyIdentitys LinOTP-Plattform möglich macht, gewährt nur dann Zugriff (beispielsweise zu einem Gerät, einem gesicherten Bereich oder einem Netzwerk), wenn zwei oder mehr Faktoren, die eine berechtigte Person zweifelsfrei ausweisen, präsent sind. Diese Faktoren (Token) könnten zum Beispiel etwas sein, was die berechtigte Person kennt (Passwörter, Identifikationsnummern, etc.), was sie bei sich hat (Chipkarte, elektronischer Ausweis, etc.) oder ein Merkmal der berechtigen Person selbst (z. B. Fingerabdruck). Zugang wird nur dann gewährt, wenn mindestens zwei geforderte Faktoren bestätigt werden.

Deshalb ist die Multi-Faktor-Authentifizierung eine exzellente Methode, um kritische Infrastrukturen zu schützen. Verschiedene Arten von Token kommen für verschiedene Sicherheitsstufen zum Einsatz. Für den Hochsicherheitsbereich wie zum Beispiel den Reaktor eines Kernkraftwerkes könnte nur eine sehr eng begrenzte Anzahl an Hardware Token an berechtigtes Personal ausgegeben werden. So lässt sich jeder Zugriff einfach nachverfolgen.

Zusätzlich zur generell erhöhten Sicherheit, die die MFA bietet, ermöglicht sie im Fall von KRITIS das Vier-Augen-Prinzip als doppelten Schutzmechanismus bei besonders wichtigen Entscheidungen: So kann eine einzelne Person ein durch MFA gesichertes Kraftwerk oder Stromnetz nicht alleine herunterfahren – nur, wenn zwei oder mehr berechtige Techniker etwa durch Push-Token-Authentifizierung zustimmen.

Wenn Sie mehr über KRITIS und die Sicherung kritischer Infrastrukturen durch MFA-Lösungen wie KeyIdentitys LinOTP-Plattform erfahren wollen, nehmen Sie an unserer Webcast-Serie „Cyber Security Webcasts“ teil (LINK). Die erste Folge am 27. September 2017 präsentiert Ihnen unser Senior Sales Engineer Andreas Schmid. Wir freuen uns auf Sie.

Und wenn Sie mehr über Tokens und die Multi-Faktor-Authentifizierung erfahren wollen, finden Sie unter dem Blog-Beitrag „The basics of multi-factor authentication: How to pick the right token“ (LINK) eine ausführliche Übersicht der verschiedenen Token für MFA.

Von |2018-12-04T15:36:53+00:0025. September, 2017 um 21:39 Uhr|KEYIDENTITY, LINOTP|Noch keine Kommentare

Über den Autor: