Wenn kritische Infrastrukturen (KRITIS) von Hackern angegriffen werden, kann das dramatische Folgen haben. Doch w\u00e4hrend Rechenzentren oft Hochsicherheitstresoren gleichen, lassen sich Schaltbefehle beispielsweise von Bahnunternehmen, Energieversorgern oder Wasserwerken leicht manipulieren. Wenn sich diese Unternehmen vor folgenschweren Angriffen sch\u00fctzen wollen, sollten sie auf Verschl\u00fcsselungstechnologien \u201eMade in Germany\u201c setzen.<\/p>\n
<\/p>\n
Ein Vorfall aus dem vergangenen Fr\u00fchjahr zeigt, dass Angriffe auf KRITIS l\u00e4ngst keine Szenarien aus Katastrophenfilmen mehr sind: Die satellitengest\u00fctzte Kommunikation von Windr\u00e4dern in ganz Deutschland war im Februar 2022 durch einen Hackerangriff f\u00fcr mehrere Wochen unterbrochen worden. Die Fernwartung war infolgedessen gest\u00f6rt. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) wurde eingeschaltet. Die St\u00f6rung hatte zwar keinen Einfluss auf die Stromproduktion. Aber im Falle eines Problems h\u00e4tte dieses nicht aus der Ferne behoben werden k\u00f6nnen. Ein weiterer Vorfall: Unbekannte hatten am 8. Oktober 2022 Glasfaserkabel der Deutschen Bahn durchtrennt. Eine St\u00f6rung des digitalen Funksystems der Deutschen Bahn war die Folge. Der Zugverkehr im Norden und Westen Deutschlands kam zum Erliegen.\u00a0<\/p>\n
Diese Angriffe machen deutlich, wie gro\u00df die Auswirkungen sind, wenn KRITIS sabotiert werden. Und diese Angriffe waren nur m\u00f6glich, weil die betroffene Infrastruktur ungesch\u00fctzt war. So liegen z.B. Kabel praktisch f\u00fcr jeden zug\u00e4nglich in Kabelsch\u00e4chten entlang der Bahntrassen. Ebenso ungesch\u00fctzt sind die Daten, die durch die Kabel flie\u00dfen und die Befehle f\u00fcr Weichen oder Signalanlagen \u00fcbertragen.<\/p>\n
KRITIS-Unternehmen sind zwar gesetzlich dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zum Schutz ihrer IT-Systeme zu treffen. Wenn aber zwischen verschiedenen Standorten oder Rechenzentren hochsensible Informationen \u00fcbertragen werden, sind diese Daten h\u00e4ufig nicht oder nur unzureichend vor Manipulationen gesch\u00fctzt. Das gilt nicht nur f\u00fcr Datentransfers \u00fcber \u00f6ffentliche Netze, sondern bereits bei Verbindungen, die zwar durch private Leitungen, aber \u00fcber \u00f6ffentlichen Grund und Boden laufen. Denn: Die vorhandene Netzwerkinfrastruktur und auch der -schutz sind veraltet und mit geringem Aufwand und unverd\u00e4chtigem Standardwerkzeug angreifbar. Nur eine hochsichere Verschl\u00fcsselung kann die Daten wirklich sch\u00fctzen.\u00a0<\/p>\n
Ungesch\u00fctzte Daten\u00fcbertragungen sind bei vielen Unternehmen allerdings noch immer an der Tagesordnung. Hacker k\u00f6nnen die Daten mitlesen, eigene Daten einspeisen oder die Daten\u00fcbertragung st\u00f6ren. Die gr\u00f6\u00dfte Gefahr geht bei Schaltbefehlen von einer Manipulation der Daten aus. Die Angriffsszenarien sind vielf\u00e4ltig: Manipulierte Befehle f\u00fcr Weichenstellungen und Signale k\u00f6nnen zu katastrophalen Bahnunf\u00e4llen f\u00fchren. Auch die Stromversorgung ist in Gefahr, wenn ein Signal eines Energieversorgers an ein Umspannwerk von Unbefugten ver\u00e4ndert wird. Ein Blackout kann die Folge sein. Ein anderes Beispiel: Wasserversorgung. Wasserwerke senden Befehle an verschiedene Pumpenstandorte, um dort Grundwasser zu f\u00f6rdern. Durch eine Manipulation der Daten k\u00f6nnten alle Pumpen herunterfahren, wodurch die Wasserversorgung zusammenbrechen w\u00fcrde. Verhindern l\u00e4sst sich eine solche Manipulation von Daten, indem man diese kryptografisch absichert. Nur Sender und Empf\u00e4nger haben dann schreibenden und lesenden Zugriff auf den Inhalt der Nachricht.\u00a0<\/p>\n
Wer die Integrit\u00e4t und Vertraulichkeit seiner Kommunikationsdaten sch\u00fctzen will, wenn diese das Firmengel\u00e4nde verlassen, ben\u00f6tigt daher einen Netzwerkverschl\u00fcsseler. Die Ger\u00e4te sch\u00fctzen vor Spionage und Manipulation von Daten, die per Internet oder Ethernet \u00fcber Festnetz, Richtfunk oder Satellit \u00fcbertragen werden. Sobald die Daten den Unternehmenssitz oder das Rechenzentrum verlassen, werden sie f\u00fcr den Transport zur Zieladresse verschl\u00fcsselt. Am Zielort angekommen wird der Befehl mit Hilfe eines weiteren Ger\u00e4tes wieder entschl\u00fcsselt.<\/p>\n
Die Herausforderung: Die kryptografische Absicherung sollte zwar hochsicher sein und Daten vor Angreifern sch\u00fctzen, gleichzeitig aber eine \u00dcbertragung nicht verlangsamen. Der entscheidende Faktor ist hier die Latenz \u2013 also die Zeit, die Daten ben\u00f6tigen, um von einem Punkt in einem Netzwerk zu einem anderen zu gelangen.\u00a0<\/p>\n
Entscheidend f\u00fcr die Latenz ist u.a., auf welcher Ebene des \u00dcbertragungsnetzes die Verschl\u00fcsselung stattfindet. F\u00fcr Unternehmen, die \u00fcber ein Ethernet-Netzwerk verf\u00fcgen, bietet sich eine Layer-2-Verschl\u00fcsselung an. Eine Verschl\u00fcsselung auf dieser Schicht erm\u00f6glicht eine Grundsicherung mit minimalem Performanceverlust. Nutzer profitieren von voller Leitungsgeschwindigkeit bei extrem geringer Latenz. Die Verschl\u00fcsselung ist in Echtzeit m\u00f6glich. Layer-2-Verschl\u00fcsseler eignen sich f\u00fcr den Einsatz an zentralen Standorten von kritischen Infrastrukturen und in Rechenzentren und sichern auch gro\u00dfe und komplexe Netze auf einfache Weise ab.<\/p>\n
Ausschlaggebend f\u00fcr die Wahl des richtigen Verschl\u00fcsselungsger\u00e4tes ist es zudem, dass dieses selber vertrauensw\u00fcrdig ist. Denn manipulierte Bauteile stellen heute eine steigende Bedrohung bei der Herstellung von Hardwarekomponenten dar. Aus diesem Grund sollten nur Ger\u00e4te gew\u00e4hlt werden, die vollst\u00e4ndig in Deutschland hergestellt wurden. Grunds\u00e4tzlich gilt die Faustregel: Je tiefer die Fertigungstiefe ist, umso sicherer die Ger\u00e4te. Ein weiterer Vorteil der Fertigung vor Ort: Die Ger\u00e4te k\u00f6nnen kundenspezifisch angepasst werden. Zudem sind die nach speziellen Industriestandards konzipierten Ger\u00e4te sehr robust – auch dann, wenn sie sich in Umspannwerken oder an Bahntrassen befinden und extremen Temperaturschwankungen ausgesetzt sind.\u00a0<\/p>\n
Ein weiteres Kriterium spielt eine Rolle bei der Wahl des richtigen Verschl\u00fcsselers: Beim Umgang mit kritischen Daten ist die Nutzung gepr\u00fcfter Produkte empfehlenswert. Mit Netzwerkverschl\u00fcsselern, die vom BSI f\u00fcr die Verarbeitung von Verschlusssachen zugelassen wurden, sind KRITIS bestens ausgestattet. Eine BSI-Zulassung zeichnet Produkte und L\u00f6sungen aus, die f\u00fcr den Schutz von Verschlusssachen entsprechend den Einsatz- und Betriebsbedingungen genutzt werden k\u00f6nnen. Die Zulassung ist dabei immer zeitlich begrenzt und macht eine stetige \u00dcberpr\u00fcfung und Aktualisierung notwendig. So sind die vom BSI zugelassenen L\u00f6sungen immer auf dem aktuellsten Stand.\u00a0<\/p>\n
Einer der Hersteller, der solche zugelassenen Netzwerkverschl\u00fcsseler anbietet, ist das deutsche Unternehmen Rohde & Schwarz Cybersecurity. Die Firma ist zudem Tr\u00e4ger des Vertrauenszeichens \u201eIT Security Made in Germany\u201c des Bundesverbandes f\u00fcr IT-Sicherheit \u201eTeleTrusT\u201c. Unternehmen erhalten das Zeichen, wenn sie u.a. best\u00e4tigen, dass ihre Produkte keine versteckten Zug\u00e4nge \u2013 sogenannte Backdoors – enthalten, dass der Unternehmenshauptsitz in Deutschland ist und auch die Forschung und Entwicklung auf heimischem Boden stattfindet.\u00a0<\/p>\n
Hergestellt werden die Ger\u00e4te vollst\u00e4ndig in den eigenen Werken des Mutterkonzerns Rohde & Schwarz in Deutschland. Das Unternehmen ist Pionier hochsicherer Verschl\u00fcsselungstechnologien und verf\u00fcgt \u00fcber 30 Jahre Erfahrung in der Entwicklung von Verschl\u00fcsselungsprodukten. Aktuell forscht man an der Kryptografie f\u00fcr das Quantenzeitalter, um auch bereit zu sein f\u00fcr die Sicherheit von morgen.\u00a0<\/p>\n
Weitere Informationen zum Schutz von KRITIS:\u00a0<\/p>\n