Können wir Hacker davon abhalten, das Netz kurzzuschließen?
- Kategorie: Säulen
Da Geräte immer stärker vernetzt und vom Internet abhängig werden, ist es zu einer dringenden Aufgabe geworden, die Sicherheitslücken in unserer kritischen Infrastruktur zu schließen.
Am 12. Oktober letzten Jahres stürzte Mumbai in Dunkelheit, als die Stromversorgung der Stadt mit dem Stromnetz ausfiel. Züge, Börsen und Krankenhäuser, die gegen die Pandemie kämpften, funktionierten nicht mehr. Erst kürzlich sagte eine Studie der in Massachusetts ansässigen Firma Recorded Future, die sich auf die Untersuchung der Internetnutzung durch Staaten spezialisiert hat, dass der Stromausfall in Mumbai ein Cyberangriff auf kritische Infrastrukturen gewesen sein könnte und wahrscheinlich als Botschaft aus China gedacht war . Es wurde von der staatlich geförderten Gruppe Red Echo durchgeführt, die enge Verbindungen zur Volksbefreiungsarmee (PLA) hat und viele der jüngsten Cyberangriffe Chinas angeführt hat. Da Recorded Future keinen Zugang zu indischen Stromnetzen hatte und den Schadcode nicht untersuchen konnte, hatten sie keine eindeutige Antwort, informierten jedoch indische Behörden über die Entdeckung von Malware im System.
Indiens Energieminister dementierte Berichte, wonach ein Cyberangriff die Ursache für den Stromausfall war, obwohl der Energieminister von Maharashtra die Staatsversammlung am selben Tag informierte, dass die Ermittlungen der Cyberpolizei von Mumbai einen möglichen Cyberangriff mit der Absicht nahegelegt hätten, die Stromversorgung zu unterbrechen. Erst im Februar hatte die Nodal-Agentur National Critical Information Infrastructure Protection Center (NCIIPC) des Zentrums über konzertierte Versuche von Red Echo berichtet, das kritische Netznetz zu hacken. Eine andere Regierungsbehörde, CERT-In, soll die ShadowPad-Malware einen Monat nach dem Ausfall in Mumbai bei einem der größten Angriffe auf die Lieferkette entdeckt haben. Viele der von NCIIPC und CERT-In identifizierten mutmaßlichen IP-Adressen waren gleich und die meisten wurden rechtzeitig gesperrt. Es bleibt abzuwarten, ob es schlüssige Beweise für eine chinesische Beteiligung an solchen heimlichen Angriffen durch Stellvertreter gibt, obwohl Spoofing oft den tatsächlichen Täter vor der Identifizierung bewahrt. In der Vergangenheit lag der Fokus der Chinesen darauf, Informationen zu stehlen und nicht Macht zu projizieren, aber die Situation mit Indien könnte anders sein.
Kritische Infrastrukturen sind zunehmend anfällig für Cyberangriffe. Das Stromnetz-Ökosystem ist ein Hauptziel solcher Versuche. Bei der Analyse der allgemeinen Techniken, die von staatlich geförderten Hackergruppen verwendet werden, wurde ein Trend zu mehrstufigen Angriffen beobachtet. Bei jüngsten Angriffen auf globale Stromnetze zielte der Angreifer auf das Unternehmensnetzwerk des Stromkonzerns und drang dann nach und nach in das Leitsystemnetzwerk ein, das für die Verwaltung, Erzeugung und Verteilung von Strom zuständig ist. Da viele dieser kritischen Infrastrukturen nie unter Berücksichtigung der Sicherheit und immer auf Produktivität und Zuverlässigkeit ausgelegt wurden, ist ihre Verwundbarkeit heute offensichtlicher. Da Geräte immer stärker miteinander verbunden und vom Internet abhängig werden, um den Fernzugriff während einer Pandemie zu ermöglichen, ist die Sicherheit von Cyber-Physischen Systemen tatsächlich zu einer großen Herausforderung für Versorgungsunternehmen geworden.
Seit mehr als einem Jahrzehnt gibt es Bedenken hinsichtlich des Schutzes kritischer Informationsinfrastrukturen (CIIP). Im Januar 2014 wurde das NCIIPC als nationale Knotenagentur für CIIP benannt und hat in diesen Jahren eng mit den verschiedenen Agenturen zusammengearbeitet. Im Januar 2019 kündigte die Regierung außerdem eine National Mission on Interdisziplinary Cyber-Physical Systems (NM-ICPS) mit einem Budget von 3.660 Mrd. Rupien für die nächsten fünf Jahre an, um den Sektor zu stärken. Die meisten Ministerien und Abteilungen benötigen jedoch bessere Budgetzuweisungen für die Cybersicherheit sowie eine robustere Infrastruktur, Prozesse und Auditsysteme. Die vom Bureau of Indian Standards (BIS) ins Leben gerufenen Industrial Cybersecurity Standards (IEC62443), die einen flexiblen Rahmen bieten sollen, um die aktuelle und zukünftige Sicherheit in industriellen Automatisierungs- und Steuerungssystemen anzugehen und zu mindern, müssen in Kürze verabschiedet werden. Für den Stromsektor könnte eine strenge Regulierung nach dem Vorbild der nordamerikanischen Richtlinie zum Schutz kritischer Infrastrukturen der Elektrizitätsversorgung (NERC) als Leitfaden dienen, damit die öffentlichen und privaten Versorgungsunternehmen in Indien ihre Betriebstechnologienetze (OT) härten und sichern .
Der Vorfall ist eindeutig ein Weckruf für eine bessere Vorbereitung in Bezug auf ein robusteres Cyber-Sicherheits-Ökosystem. Die neue Cyber-Sicherheitsrichtlinie, deren Ankündigung bevorsteht, wird dem hoffentlich Rechnung tragen. Bisher hat Indien gute Arbeit geleistet, um kritische Netzwerke wie das sensible Aadhaar-Ökosystem, die Einkommensteuerabteilung und die Kernbankensysteme zu schützen. Der Weg, der vor uns liegt, wird für Cyber-Netzwerke härter sein. Nur die Stärksten und Wachsamsten werden überleben.
Dieser Artikel erschien erstmals in der Printausgabe am 10. März 2021 unter dem Titel „Firewalling the grid“. Subimal Bhattacharjee ist Experte für Cybersicherheitspolitik; Biprotosh Bhattacharjee ist Forscher für industrielle Cybersicherheit und leitet das Global Cyber Defense Center bei LMNTRIX