KRITIS: Defense-in-Depth

Die aktuelle Bedrohungslandschaft für kritische Infrastrukturen

Es gibt eine Vielzahl an Cyberbedrohungen, die auf kritische Infrastrukturen abzielen, um massive Betriebsstörungen zu verursachen, Lösegelder zu erpressen oder vertrauliche Informationen zu exfiltrieren. Angesichts zunehmender globaler Spannungen nehmen staatlich geförderte Hackergruppen immer öfter kritische Infrastrukturen ins Visier, um Spionage zu betreiben oder lebenswichtige Dienste zu unterbrechen, auf die die Bevölkerung eines Landes angewiesen ist. Dies ermöglicht es feindlichen Staaten, andere Länder zu unterminieren und Instabilitäten zu verursachen, mit der einfachen Möglichkeit, ihre Angriffe abzustreiten.

KRITIS-Betreiber sind jedoch auch ein attraktives Ziel für finanziell motivierte Cyberkriminelle. Denn die Wahrscheinlichkeit, dass die Lösegeldforderungen bezahlt werden, ist höher, da die Opfer oft bereit sind, alles zu tun, um ihre kritischen Systeme wiederherzustellen.

Während gängige Bedrohungen wie Ransomware und Phishing nach wie vor weit verbreitet sind, haben Angreifer ihre Taktik in den letzten Jahren angepasst und konzentrieren sich zunehmend auf dateibasierte Malware, um KRITIS-Betreiber anzugreifen. Zu weiteren Strategien gehören der Einsatz von Botnetzen, die Ausnutzung von Zero-Day-Schwachstellen sowie der Einsatz von Advanced Persistent Threats (APTs).

Dabei versuchen die Täter, die Auswirkungen ihrer Attacken zu maximieren. Obwohl Angriffe auf KRITIS-Organisationen in der Regel in IT-Netzwerken beginnen, verlagern Kriminelle deren Schwerpunkt häufig auf Operational Technology (OT), wodurch sie erhebliche Betriebsstörungen verursachen können. Die komplexe und stark vernetzte Natur der Netzwerkinfrastrukturen von KRITIS-Betreibern verstärkt das Risiko. Schwachstellen in einem Bereich können kaskadenartig zu breiteren, systemischen Ausfällen führen, sodass robuste Cybersicherheitsmaßnahmen unerlässlich sind.

Security-Herausforderungen für KRITIS-Betreiber

Sicherheitsteams stehen vor einer Reihe von Herausforderungen, die sie daran hindern, den Bedrohungen, denen KRITIS-Betreiber ausgesetzt sind, wirksam zu begegnen. Die erste Hürde besteht darin, dass Sicherheitsstrategien die Zustimmung der Geschäftsleitung benötigen. Oft klafft jedoch eine Lücke zwischen den Plänen der Security-Verantwortlichen und den bewilligten Ressourcen und Budgets. Trotz der wachsenden Zahl an Bedrohungen stagnieren die Cyber-Budgets oder wurden gekürzt. Diese finanziellen Einschränkungen zwingen Sicherheitsteams dazu, sich auf die drängendsten Risiken zu konzentrieren, sodass sie auf neue Angriffstaktiken und Methoden schlecht vorbereitet sind.

Zusätzlich zu den begrenzten Budgets stellen die sich verändernden Umgebungen eine weitere Belastung für die Sicherheitsteams dar. Früher wurden IT- und OT-Systeme als zwei getrennte Umgebungen mit eigenen Teams betrieben. In den letzten Jahren hat die Konvergenz von IT und OT jedoch dazu geführt, dass Sicherheitsteams mit der Verwaltung von Systemen betraut wurden, mit denen sie wenig bis gar keine Erfahrung haben.

So sind in KRITIS-Organisationen beispielsweise SCADA-Systeme für den Fernzugriff und die Telemetrie-Erfassung mit Standard-IT-Netzwerken verbunden. Diese Integration hat die Angriffsfläche vergrößert und die benötigten Fachkenntnisse und Ressourcen für eine wirksame Verteidigung erhöht. Der Mangel an fundiertem IT- und OT-Knowhow führt zu einer Wissenslücke hinsichtlich der Auswirkungen von IT-Bedrohungen auf OT-Systeme und deren weiterreichenden Folgen. Aufgrund von zu wenig geschultem Sicherheitsfachpersonal haben Teams mit der Komplexität hybrider Umgebungen zu kämpfen, die Cloud-Speicher, Open-Source-Tools und vernetzte Plattformen umfassen.

Angesichts dieser Herausforderungen und der zunehmenden Raffinesse von Cyberbedrohungen ist die Einführung von mehrschichtigen Sicherheitsstrategien, wie etwa eines Defense-in-Depth-Ansatzes, unerlässlich.

Mehrschichtige Sicherheit: Defense-in-Depth-Ansatz für KRITIS

Die gestaffelte Verteidigung in der Tiefe (Defence-in-Depth) ist ein mehrschichtiges Sicherheitskonzept, das die Abhängigkeit von einem Single Point of Failure minimieren soll. Durch die Integration mehrerer Sicherheitskontrollen hilft dieser Ansatz, Sicherheitslücken zu schließen, das Risiko einer Kompromittierung zu verringern, die Bedrohungserkennung zu verbessern, wenn herkömmliche Schutzmechanismen umgangen werden, sowie die Reaktion auf Sicherheitsverletzungen zu beschleunigen. Darüber hinaus werden bösartige Inhalte neutralisiert und Anomalien wirksam identifiziert. Unternehmen sollten ihren Defense-in-Depth-Ansatz so anpassen, dass der Schutz kritischer Ressourcen, die für einen unterbrechungsfreien Betrieb wichtig sind, Vorrang hat.

Die erste Verteidigungsschicht umfasst Netzwerksicherheitskontrollen mit Firewalls, Gateways und Datendioden, um den Datenverkehr zu regulieren und unbefugten Zugriff oder Datenexfiltration zu verhindern. Die Netzwerksegmentierung bietet einen zusätzlichen Schutz, indem sie Bedrohungen isoliert und sicherstellt, dass ein Sicherheitsvorfall in einem Bereich nicht das gesamte System gefährdet.

In Netzwerk-Appliances integrierte Multi-Scanning-Technologien säubern oder blockieren schädliche Inhalte in Dateien, bevor sie sensible Systeme erreichen. Diese Technologien können bekannte Malware mit extrem hohen Erfolgsquoten von über 99 Prozent erkennen und blockieren. Bisher unbekannte Bedrohungen können durch eine fortschrittliche Sandbox-Prüfung sowie Threat Intelligence enttarnt werden, die bekannte Bedrohungsakteure und deren Infrastruktur identifiziert.

Durch moderne Technologien wie Deep Content Disarm and Reconstruction (CDR) können Dateien zudem bis in die Tiefe von bösartigem Code bereinigt werden. Diese sauberen Dateien werden in isolierten Datentresoren gespeichert, um sicherzustellen, dass nur gründlich geprüfte Daten in OT-Netzwerke gelangen und deren Integrität gewahrt bleibt.

Der Schutz von Endgeräten bildet eine weitere wichtige Sicherheitsebene und schützt Geräte wie Laptops und Desktops, die häufig Ziele für Angriffe über Wechselmedien sind. Umfassende Endpunktlösungen kombinieren mehrere Malware-Erkennungsmodule, Verhaltensanalysen und Threat Intelligence Feeds, um sowohl bekannte als auch Zero-Day-Bedrohungen zu bekämpfen.

E-Mail-Sicherheitstools, die Phishing-Versuche blockieren und Anhänge oder URLs auf bösartige Inhalte überprüfen, sind ebenfalls entscheidend, um Risiken zu reduzieren und die allgemeine Cyberresilienz des Unternehmens zu verbessern.

Diese miteinander verknüpften Sicherheitsschichten bilden eine robuste und umfassende Verteidigung, um Systeme zu schützen und Schäden durch Cyberangriffe zu verhindern. Durch die Anwendung eines mehrschichtigen Ansatzes können KRITIS-Betreiber eine resiliente Cybersicherheitsstruktur aufbauen, die ihre kritischsten Vermögenswerte wirksam gegen immer ausgefeiltere und weitreichendere Bedrohungen schützt.

The current threat landscape for critical infrastructures

There are a variety of cyber threats that target critical infrastructure to cause massive operational disruption, extort ransoms or exfiltrate confidential information. As global tensions rise, state-sponsored hacker groups are increasingly targeting critical infrastructure to conduct espionage or disrupt vital services that a country’s population relies on. This allows hostile states to undermine other countries and cause instability, with the easy option of denying their attacks.

However, KRITIS operators are also an attractive target for financially motivated cybercriminals. This is because the likelihood of ransom demands being paid is higher, as victims are often willing to do whatever it takes to restore their critical systems.

While common threats such as ransomware and phishing are still prevalent, attackers have adapted their tactics in recent years and are increasingly focusing on file-based malware to attack critical infrastructure operators. Other strategies include the use of botnets, the exploitation of zero-day vulnerabilities and the use of advanced persistent threats (APTs).

The perpetrators try to maximize the impact of their attacks. Although attacks on Critical Infrastructure organizations usually start in IT networks, criminals often shift their focus to Operational Technology (OT), which can cause significant operational disruption. The complex and highly interconnected nature of KRITIS operators‘ network infrastructures increases the risk. Vulnerabilities in one area can cascade into wider, systemic failures, making robust cyber security measures essential.

Security challenges for KRITIS operators

Security teams face a number of challenges that prevent them from effectively addressing the threats faced by KRITIS operators. The first hurdle is that security strategies need the approval of senior management. However, there is often a gap between the plans of those responsible for security and the approved resources and budgets. Despite the growing number of threats, cyber budgets have stagnated or been cut. These financial constraints force security teams to focus on the most pressing risks, leaving them ill-prepared for new attack tactics and methods.

In addition to limited budgets, changing environments place a further burden on security teams. IT and OT systems used to operate as two separate environments with their own teams. In recent years, however, the convergence of IT and OT has led to security teams being tasked with managing systems with which they have little to no experience.

In KRITIS organizations SCADA systems for remote access and telemetry collection are connected to standard IT networks. This integration has increased the attack surface and increased the expertise and resources required for an effective defense. The lack of in-depth IT and OT expertise leads to a knowledge gap regarding the impact of IT threats on OT systems and their wider implications. Due to under-trained security professionals, teams are struggling with the complexity of hybrid environments that include cloud storage, open source tools and networked platforms.

Given these challenges and the increasing sophistication of cyberthreats, the adoption of layered security strategies, such as a defense-in-depth approach, is essential.

Multi-layered security: Defense-in-Depth for KRITIS

Defence-in-Depth is a multi-layered security concept designed to minimize dependency on a single point of failure. By integrating multiple security controls, this approach helps to close security gaps, reduce the risk of compromise, improve threat detection when traditional protection mechanisms are bypassed and accelerate the response to security breaches. It also neutralizes malicious content and effectively identifies anomalies. Companies should adapt their defense-in-depth approach to prioritize the protection of critical resources that are important for uninterrupted operations.

The first layer of defense includes network security controls with firewalls, gateways and data diodes to regulate traffic and prevent unauthorized access or data exfiltration. Network segmentation provides an additional layer of protection by isolating threats and ensuring that a security incident in one area does not compromise the entire system.

Equally important is data security to minimize the risks of malware hidden in files. Multi-scanning technologies built into network appliances clean or block malicious content in files before it reaches sensitive systems. These technologies can detect and block known malware with extremely high success rates of over 99 percent. Previously unknown threats can be unmasked through advanced sandbox scanning and threat intelligence that identifies known threat actors and their infrastructure.

Modern technologies such as Deep Content Disarm and Reconstruction (CDR) can also be used to clean files down to the depths of malicious code. These clean files are stored in isolated data vaults to ensure that only thoroughly checked data enters OT networks and its integrity is maintained.

Endpoint protection is another important layer of security, protecting devices such as laptops and desktops that are often targets for removable media attacks. Comprehensive endpoint solutions combine multiple malware detection engines, behavioral analytics and threat intelligence feeds to combat both known and zero-day threats.

Email security tools that block phishing attempts and scan attachments or URLs for malicious content are also critical to reducing risk and improving the organization’s overall cyber resilience.

These interlinked layers of security form a robust and comprehensive defense to protect systems and prevent damage from cyberattacks. By applying a layered approach, CRITIS operators can build a resilient cyber security structure that effectively protects their most critical assets against increasingly sophisticated and far-reaching threats.