Kritische Infrastrukturen (KRITIS) sind im Cyberkrieg ein attraktives Ziel für Hacker. Nötig sind effektive Verschlüsselungstechniken für Netzwerke (English version below).
Autor: Christian Stüble, Chief Technology Officer, Rohde & Schwarz Cybersecurity
Sabotage droht: Wenn kritische Infrastrukturen (KRITIS) von Hackern angegriffen werden, kann das dramatische Folgen haben. Doch während Rechenzentren oft Hochsicherheitstresoren gleichen, lassen sich Schaltbefehle beispielsweise von Bahnunternehmen, Energieversorgern oder Wasserwerken leicht manipulieren. Wenn sich diese Unternehmen vor folgenschweren Angriffen schützen wollen, sollten sie auf Verschlüsselungstechnologien „Made in Germany“ setzen.
Ein Vorfall aus dem vergangenen Frühjahr zeigt, dass Angriffe auf KRITIS längst keine Szenarien aus Katastrophenfilmen mehr sind: Die satellitengestützte Kommunikation von Windrädern in ganz Deutschland war im Februar 2022 durch einen Hackerangriff für mehrere Wochen unterbrochen worden. Die Fernwartung war infolgedessen gestört. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde eingeschaltet.
Die Störung hatte zwar keinen Einfluss auf die Stromproduktion. Aber im Falle eines Problems hätte dieses nicht aus der Ferne behoben werden können. Ein weiterer Vorfall: Unbekannte hatten am 8. Oktober 2022 Glasfaserkabel der Deutschen Bahn durchtrennt. Eine Störung des digitalen Funksystems der Deutschen Bahn war die Folge. Der Zugverkehr im Norden und Westen Deutschlands kam zum Erliegen.
Diese Angriffe machen deutlich, wie groß die Auswirkungen sind, wenn KRITIS sabotiert werden. Und diese Angriffe waren nur möglich, weil die betroffene Infrastruktur ungeschützt war. So liegen z.B. Kabel praktisch für jeden zugänglich in Kabelschächten entlang der Bahntrassen. Ebenso ungeschützt sind die Daten, die durch die Kabel fließen und die Befehle für Weichen oder Signalanlagen übertragen.
Unverschlüsselte Daten an der Tagesordnung
KRITIS-Unternehmen sind zwar gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme zu treffen. Wenn aber zwischen verschiedenen Standorten oder Rechenzentren hochsensible Informationen übertragen werden, sind diese Daten häufig nicht oder nur unzureichend vor Manipulationen geschützt.
Das gilt nicht nur für Datentransfers über öffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber über öffentlichen Grund und Boden laufen. Denn: Die vorhandene Netzwerkinfrastruktur und auch der -schutz sind veraltet und mit geringem Aufwand und unverdächtigem Standardwerkzeug angreifbar. Nur eine hochsichere Verschlüsselung kann die Daten wirklich schützen.
Ungeschützte Datenübertragungen sind bei vielen Unternehmen allerdings noch immer an der Tagesordnung. Hacker können die Daten mitlesen, eigene Daten einspeisen oder die Datenübertragung stören. Die größte Gefahr geht bei Schaltbefehlen von einer Manipulation der Daten aus. Die Angriffsszenarien sind vielfältig: Manipulierte Befehle für Weichenstellungen und Signale können zu katastrophalen Bahnunfällen führen.
Auch die Stromversorgung ist in Gefahr, wenn ein Signal eines Energieversorgers an ein Umspannwerk von Unbefugten verändert wird. Ein Blackout kann die Folge sein. Ein anderes Beispiel: Wasserversorgung. Wasserwerke senden Befehle an verschiedene Pumpenstandorte, um dort Grundwasser zu fördern. Durch eine Manipulation der Daten könnten alle Pumpen herunterfahren, wodurch die Wasserversorgung zusammenbrechen würde. Verhindern lässt sich eine solche Manipulation von Daten, indem man diese kryptografisch absichert. Nur Sender und Empfänger haben dann schreibenden und lesenden Zugriff auf den Inhalt der Nachricht.
Netzwerkverschlüsseler dringend benötigt
Wer die Integrität und Vertraulichkeit seiner Kommunikationsdaten schützen will, wenn diese das Firmengelände verlassen, benötigt daher einen Netzwerkverschlüsseler. Die Geräte schützen vor Spionage und Manipulation von Daten, die per Internet oder Ethernet über Festnetz, Richtfunk oder Satellit übertragen werden. Sobald die Daten den Unternehmenssitz oder das Rechenzentrum verlassen, werden sie für den Transport zur Zieladresse verschlüsselt. Am Zielort angekommen wird der Befehl mit Hilfe eines weiteren Gerätes wieder entschlüsselt.
Die Herausforderung: Die kryptografische Absicherung sollte zwar hochsicher sein und Daten vor Angreifern schützen, gleichzeitig aber eine Übertragung nicht verlangsamen. Der entscheidende Faktor ist hier die Latenz – also die Zeit, die Daten benötigen, um von einem Punkt in einem Netzwerk zu einem anderen zu gelangen.
Effiziente Absicherung ohne Performanceverlust
Entscheidend für die Latenz ist u.a., auf welcher Ebene des Übertragungsnetzes die Verschlüsselung stattfindet. Für Unternehmen, die über ein Ethernet-Netzwerk verfügen, bietet sich eine Layer-2-Verschlüsselung an. Eine Verschlüsselung auf dieser Schicht ermöglicht eine Grundsicherung mit minimalem Performanceverlust. Nutzer profitieren von voller Leitungsgeschwindigkeit bei extrem geringer Latenz. Die Verschlüsselung ist in Echtzeit möglich. Layer-2-Verschlüsseler eignen sich für den Einsatz an zentralen Standorten von kritischen Infrastrukturen und in Rechenzentren und sichern auch große und komplexe Netze auf einfache Weise ab.
Ausschlaggebend für die Wahl des richtigen Verschlüsselungsgerätes ist es zudem, dass dieses selber vertrauenswürdig ist. Denn manipulierte Bauteile stellen heute eine steigende Bedrohung bei der Herstellung von Hardwarekomponenten dar. Aus diesem Grund sollten nur Geräte gewählt werden, die vollständig in Deutschland hergestellt wurden. Grundsätzlich gilt die Faustregel: Je tiefer die Fertigungstiefe ist, umso sicherer die Geräte. Ein weiterer Vorteil der Fertigung vor Ort: Die Geräte können kundenspezifisch angepasst werden. Zudem sind die nach speziellen Industriestandards konzipierten Geräte sehr robust – auch dann, wenn sie sich in Umspannwerken oder an Bahntrassen befinden und extremen Temperaturschwankungen ausgesetzt sind.
Ein weiteres Kriterium spielt eine Rolle bei der Wahl des richtigen Verschlüsselers: Beim Umgang mit kritischen Daten ist die Nutzung geprüfter Produkte empfehlenswert. Mit Netzwerkverschlüsselern, die vom BSI für die Verarbeitung von Verschlusssachen zugelassen wurden, sind KRITIS bestens ausgestattet. Eine BSI-Zulassung zeichnet Produkte und Lösungen aus, die für den Schutz von Verschlusssachen entsprechend den Einsatz- und Betriebsbedingungen genutzt werden können. Die Zulassung ist dabei immer zeitlich begrenzt und macht eine stetige Überprüfung und Aktualisierung notwendig. So sind die vom BSI zugelassenen Lösungen immer auf dem aktuellsten Stand.
„IT Security Made in Germany“
Einer der Hersteller, der solche zugelassenen Netzwerkverschlüsseler anbietet, ist das deutsche Unternehmen Rohde & Schwarz Cybersecurity. Die Firma ist zudem Träger des Vertrauenszeichens „IT Security Made in Germany“ des Bundesverbandes für IT-Sicherheit „TeleTrusT“. Unternehmen erhalten das Zeichen, wenn sie u.a. bestätigen, dass ihre Produkte keine versteckten Zugänge – sogenannte Backdoors – enthalten, dass der Unternehmenshauptsitz in Deutschland ist und auch die Forschung und Entwicklung auf heimischem Boden stattfindet.
Hergestellt werden die Geräte vollständig in den eigenen Werken des Mutterkonzerns Rohde & Schwarz in Deutschland. Das Unternehmen ist Pionier hochsicherer Verschlüsselungstechnologien und verfügt über 30 Jahre Erfahrung in der Entwicklung von Verschlüsselungsprodukten. Aktuell forscht man an der Kryptografie für das Quantenzeitalter, um auch bereit zu sein für die Sicherheit von morgen.
English version
Protect KRITIS against sabotage
Critical infrastructures (KRITIS) are an attractive target for hackers in cyber warfare. Effective encryption techniques are needed for networks.
Author: Christian Stüble, Chief Technology Officer, Rohde & Schwarz Cybersecurity
Sabotage threatens: If critical infrastructures (KRITIS) are attacked by hackers, the dramatic consequences can have. However, while data centers often resemble high-security fortresses, switching commands from railway companies, energy suppliers or water plants can be easily manipulated. If these companies want to protect themselves from serious attacks, they should rely on encryption technologies “Made in Germany”.
An incident from last spring shows that attacks on KRITIS are no longer scenarios for disaster movies. The satellite-based communication of wind turbines throughout Germany was interrupted in February 2022 by a hacker attack for several weeks. As a result, remote maintenance was disturbed. The Federal Office for Security in Information Technology (BSI) got involved.
The disturbance had no influence on electricity production. But in the event of a problem, it could not have been fixed remotely. Another incident: Unknown had on 8. October 2022 Glass fiber cables of the Deutsche Bahn. A disturbance to the digital radio system of the Deutsche Bahn was the result. The train traffic in the north and west of Germany came to a standstill.
These attacks make clear how great the effects are when KRITIS are sabotaged. And these attacks were only possible because the infrastructure concerned was unprotected. Thus, for example, cables are virtually accessible to everyone in cable shafts along the webs. Likewise unprotected are the data flowing through the cables and transmitting the commands for switches or signal systems.
Unencrypted data are common
KRITIS companies are legally obliged to take appropriate organizational and technical precautions to protect their IT systems. However, if highly sensitive information is transmitted between different locations or data centers, these data are often not or are insufficiently protected from manipulation.
This applies not only to data transfers via public networks, but also to connections that run through private lines, but also via public land. The existing network infrastructure and also protection are obsolete and can be attacked with little effort and unattended standard tool. Only a highly secure encryption can really protect the data.
Unprotected data transfers are still on the agenda for many companies. Hackers can also read the data, feed their own data or disrupt data transmission. The greatest danger in switching commands is a manipulation of the data. The attack scenarios are diverse: Manipulated commands for switch positions and signals can lead to catastrophic web accidents.
The power supply is also in danger when a signal from an energy supply is changed to a transformer of unauthorized persons. A blackout can be the result. Another example: water supply. Water works send commands to various pump locations to pump up groundwater there. By manipulating the data, all pumps could shut down, which would break the water supply. Such manipulation of data can be prevented by securing it cryptographically. Only transmitters and receivers then have writing and reading access to the content of the message.
Network encryption urgently needed
Those who want to protect the integrity and confidentiality of their communication data when they leave the company premises therefore need a network encryptor. The devices protect against spying and manipulation of data transmitted via Internet or Ethernet via fixed network, directional radio or satellite. Once the data leaves the company’s headquarters or the data center, they are encrypted for transport to the destination address. At the destination, the command is decrypted with the help of another device.
The challenge: While cryptographic backup should be highly secure and protect data from attackers, it should not slow a transmission. The decisive factor here is the latency – that is, the time that data needs to get from one point in a network to another.
Efficient protection without performance loss
The decisive factor for the latency is the level of the transmission network the encryption takes place. For companies with an Ethernet network a Layer 2 encryption is available. Encryption on this layer allows a basic backup with minimal performance loss. Users benefit from full line speed at extremely low latency. Encryption is possible in real time. Layer 2 encryptors are suitable for use in central locations of critical infrastructures and in data centers and also secure large and complex networks in a simple way.
It is also crucial for the choice of the correct encryption device that it is self-confidential. Manipulated components are today an increasing threat in the production of hardware components. For this reason, only devices that have been manufactured completely in Germany should be selected. Basically, the rule of thumb applies: The lower the manufacturing depth, the safer the devices. Another advantage of local production: the devices can be customized. In addition, the devices designed according to special industrial standards are very robust – even if they are located in substations or on railway trains and are exposed to extreme temperature fluctuations.
Another criterion plays a role in the choice of the correct encryption: When handling critical data, the use of tested products is recommended. KRITIS is well equipped with network encryptors approved by the BSI for processing classified information. A BSI approval distinguishes products and solutions that can be used to protect classified information in accordance with the conditions of use and operation.
The authorisation is always limited in time and requires a continuous review and updating. The solutions approved by the BSI are always up to date.
IT Security Made in Germany
The German company Rohde & Schwarz Cybersecurity is one of the manufacturers offering such approved network encryption. The company is also the carrier of the trust mark “IT Security Made in Germany” of the Federal Association for IT Security “TeleTrusT”. Companies receive the sign when they confirm, among other things, that their products do not contain hidden accesses – so-called backdoors – that the company’s head office is in Germany and that research and development takes place on domestic soil.
The devices are manufactured completely in the own works of the parent company Rohde & Schwarz in Germany. The company is a pioneer of high-security encryption technologies and has over 30 years of experience in the development of encryption products. At the moment we are researching the cryptography for the quantum age to be ready for tomorrow’s security.
.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de