Seit Jahren stellen Cyberbedrohungen laut den jährlichen Global Risks Reports des Weltwirtschaftsforums (WEF) eine der größten Gefahren für die weltweite wirtschaftliche Entwicklung dar. Und doch haben die meisten (Sicherheits-)Verantwortlichen das Problem noch nicht vollständig erkannt. Sie denken bei Cyberrisiken in erster Linie an die IT-Sicherheit, an Themen wie Ransomware, DDoS-Angriffe und Datendiebstahl. Allerdings fangen die Cyberrisiken jenseits der IT erst richtig an.
Jeder, der heute ein modernes Bürogebäude betritt, um an seinen Arbeitsplatz zu gelangen, trifft an zahlreichen Stellen auf vernetzte Technologie: Angefangen bei den automatischen Eingangstüren, über den klimatisierten Eingangsbereich bis hin zum intelligent gesteuerten Aufzug. Immer häufiger werden die ehemalig isolierten Gebäudemanagementsysteme mit IT-Netzwerken verbunden. Ende 2020 wurden Schätzungen zufolge weltweit für die Überwachung und Verwaltung von Gebäuden 1,7 Milliarden Geräte eingesetzt.
Bis 2025 soll diese Zahl auf über drei Milliarden ansteigen. Im Zuge der Digitalisierung wurden zudem auch Produktionsstätten und Anlagen der Kritischen Infrastruktur immer stärker vernetzt. All diese Geräte wachsen zum erweiterten Internet der Dinge (Extended Internet of Things – XIoT) zusammen, das neben kommerziellen und industriellen IoT auch die Betriebstechnik (OT) und medizinische Geräte (IoMT) umfasst.
Auf welche Angriffe wir uns in naher Zukunft einstellen müssen
Bei allen wirtschaftlichen und organisatorischen Vorteilen, die die digitale Transformation mit sich bringt, steigen mit ihr gleichzeitig die Gefahren. Wir haben in den vergangenen Jahren bereits erfolgreiche Cyberattacken auf die Wasserversorgung in Israel und den USA gesehen, ebenso großangelegte Angriffe auf die Stromversorgung – etwa in Kiew 2016. Die momentane geopolitische Situation mit dem Krieg gegen die Ukraine und den zunehmenden Spannungen um Taiwan verschärfen die Bedrohungslage deutlich.
2023 ist allerdings nicht mit einem großen, flächendeckenden Angriff zu rechnen, sondern eher mit „moderaten“ gezielten Angriffen und solchen nach dem Gießkannen-Prinzip. Das Ziel der (zumeist) staatlich unterstützten Angreifer ist dabei die Destabilisierung unseres Systems durch den Verlust des Vertrauens in unsere Institutionen und das, was sie uns garantieren: Allem voran die Strom-, Wasser- und Lebensmittelversorgung.
Aber auch jenseits der Kritischen Infrastruktur werden diese Angriffe für großen Schaden sorgen, da die anvisierte Steuerungstechnik auch in vielen anderen Bereichen zum Einsatz kommt. So nutzen zahlreiche Industrieunternehmen dieselben speicherprogrammierbaren Steuerungen (SPS) und Managementsysteme wie die KRITIS-Betreiber und werden so zum Beifang der Angriffe.
Welche realen Gefahren von diesen Angriffen ausgehen
Angriffe auf das erweiterte Internet der Dinge haben eine völlig andere Qualität als Cyberattacken, die auf die IT zielen. Muss in Folge eines Ransomware-Angriffs ein Unternehmen seine Produktion herunterfahren, hat dies natürlich enorme Auswirkungen auf den Betrieb.
Werden jedoch durch eine Manipulation der Steuerungstechnik beispielsweise Lebensmittel nicht mehr auf sichere Weise oder als sicheres Produkt hergestellt, hat das erhebliche Auswirkung auf Umwelt und Gesundheit. Werden Richtwerte in Wasserwerken verändert, kann dies zu Vergiftungen führen, ändert man die Breite einer Schweißnaht bei der Herstellung von Fahrzeugen minimal, kann dies zu Unfällen führen. Die Liste lässt sich beliebig ausbauen.
Fakt ist: Angriffe auf die Produktion und die Kritische Infrastruktur bedrohen nicht nur Systeme, sondern Menschen.
Wo die Schwierigkeiten liegen
Das XIoT ist nicht nur – wie beschrieben – ausgesprochen heterogen, sondern besteht zu einem maßgeblichen Teil auch aus Geräten, die nie für eine Verbindung mit dem Internet konstruiert wurden und entsprechend über keinerlei hinreichende Sicherheitsvorrichtungen verfügen. Diese Anlagen in haben in der Regel einen Lebenszyklus von 20 bis 30 Jahren, sind schwer zu patchen (ohne dabei die Prozesse zu stören, zu gefährden oder zu unterbrechen) und sprechen keine einheitliche Sprache. Es sind gewachsene Systeme, die schwer zu überblicken sind. Man kann jedoch nur das schützen, was man kennt.
Um ihr „Cyberrisiko“ bewerten und reduzieren zu können, benötigen Unternehmen deshalb eine Transparenz ihrer Systeme, müssen erkennen können, welches Asset wie mit wem kommuniziert und wo Schwachstellen oder Fehlkonfigurationen vorliegen.
Auch in diesem Jahr wird auf dem Jahrestreffen des WEF in Davos die Cybersicherheit ein wichtiges Thema sein. Es stellt den idealen Ort zum Austausch und vor allem zur Bildung von Aufmerksamkeit dar, da sich hier Entscheidungsträger aus Wirtschaft und Politik treffen.
Nur durch eine engere Zusammenarbeit zwischen der Verwaltung und dem Privatsektor im Bereich der Cybersicherheit können wir die gegenwärtigen Herausforderungen meistern, da Cybersicherheit mehr denn je untrennbar mit der geopolitischen Lage verbunden ist. Wir mussten in den vergangenen Jahren schmerzlich lernen, welche Auswirkungen Ransomware auf unser Wirtschaftssystem hat. Diesen Fehler sollten wir im Bereich des erweiterten Internet der Dinge nicht wiederholen, sondern aktiv werden, bevor größerer Schaden entsteht. Die Zeit drängt.
Yaniv Vardi ist CEO von Claroty, einem Anbieter für Sicherheitslösungen für die vernetze Industrie. Vardi nimmt am diesjährigen Weltwirtschaftsforum in Davos teil.
