Operation Cyber Storm
Üben, üben, üben – das gilt auch für die Abwehr von Cyberattacken. Eine der umfangreichsten Übungen einer Regierung sind die Cyber Storm Planspiele der US-amerikanischen Cybersicherheitsbehörde CISA. Auch bei der siebten Ausgabe 2020 einer der wichtigsten Akteure: Siemens.
von Bernd Müller
Es war die spektakulärste Cyberattacke des Jahres 2020, wenn nicht gar des Jahrzehnts: Hacker haben vermutlich im Frühjahr 2020 den Software-Entwicklungsprozess von SolarWinds verändert und so Schadcode in die Software Orion eingeschleust, mit der viele große Unternehmen und Behörden in den USA und weltweit ihre IT-Infrastruktur steuern und überwachen. Über diese Hintertür könnten sie wertvolle Informationen abgesaugt haben. Erst im Dezember 2020 erfuhr die Öffentlichkeit davon und von da an wurde die Liste der Betroffenen jeden Tag lang und länger: U.S. Finanzministerium, Heimatschutzministerium, Teile des Pentagon und sogar die National Nuclear Security Administration, die das Atomwaffenarsenal der USA verwaltet, sind betroffen. Welche Informationen gestohlen wurden, ist bis heute nicht ganz klar. Sicher ist, dass es sich bei den Angreifern um absolute Profis handeln muss, die ihren Coup im Geheimen monatelang vorbereitet hatten. „Dieser Akteur hat Geduld, Vorsicht und komplexe Spionagefähigkeiten an den Tag gelegt“, teilte ein Sprecher der US-Cybersicherheitsbehörde CISA mit.
Fingierter Angriff
Hätte der SolarWinds-Hack verhindert werden können? „Möglicherweise schon“, sagt Abhishek Ramchandran, der als Security-Forscher für die Cybersecurity Innovation Group bei Siemens arbeitet. Dieser Angriff habe eine Lücke im Informationsaustausch zwischen dem privaten Sektor und den Behörden, die mit dem Schutz kritischer US-Infrastrukturen betraut sind, aufgezeigt. Er habe aber auch deutlich gemacht, dass man aus technischer Sicht mehr tun könne, um diese Art von Angriffen abzuwehren. Solche Strategien zu finden ist das Ziel von Cyber Storm, einer Art Planspiel der CISA, bei dem zahlreiche Unternehmen und Behörden fingierte Cyberattacken durchspielen, darunter besonders solche Bedrohungen, die nicht so bekannt sind und nicht so häufig vorkommen – wie bei SolarWinds.
Die CISA hat Cyber Storm zum ersten Mal 2006 veranstaltet, seither findet es alle zwei bis drei Jahre statt, im August 2020 zum siebten Mal. Rund 200 Unternehmen – unter ihnen auch Siemens – vom Automobilhersteller über Finanzinstitute bis zum Krankenhaus sowie staatliche Behörden wie Betreiber von Verkehrsinfrastrukturen – haben darin drei Angriffsszenarien durchgespielt. Ziel dieser dreitägigen Übung war, dass die Teilnehmer Bedrohungen schnell erkennen und ihre Expertise und somit ihre Stärken im Kampf gegen die Kriminellen bündeln. „Solche Übungen helfen, den Angreifern einen Schritt voraus zu sein“, sagt Benjamin Nelson, Teamleiter für Cyberabwehr und Bedrohungsanalyse im Siemens Cyber Defense Center in den USA. Schon bei der letzten Ausgabe 2018 war Nelsons Team mit dabei.
“Solche Übungen helfen, den Angreifern einen Schritt voraus zu sein!”
Siemens ist wichtiger Partner
Die Cyber Storm Planspiele sind mittlerweile ein fester Bestandteil in der Cyberabwehr der USA. Bei der ersten Veranstaltung 2006 nahmen 500 Personen aus fünf Nationen teil, 2020 waren über 2000 Teilnehmer aus 13 Nationen und mehr als 90 Industriepartner dabei. Die werden von der CISA eingeladen. „Wenn die Regierung einen bittet, mitzumachen, kann man natürlich nicht nein sagen“, sagt Benjamin Nelson mit einem Schmunzeln. Für die CISA ist Siemens ein wichtiger Partner, weil es in den USA der führende Anbieter für Automatisierung ist und viele Teile kritischer Infrastrukturen dort mit Steuerungen von Siemens laufen. Auch ist Siemens in etlichen Forschungsprojekten von Regierungsstellen und Hochschulen zur Cybersecurity und davon betroffenen Technologien involviert. „Für uns bietet Cyber Storm die Gelegenheit, unsere Beziehungen mit staatlichen Stellen, Partnern und Kunden zu vertiefen“, so Nelson. Und natürlich mache es Siemens-Produkte sicherer. „Durch das Verständnis der Worst-Case-Szenarien können sowohl Entwickler als auch Cybersicherheitsexperten enger zusammenarbeiten und bessere Produkte entwickeln.“
Globales Internet im Visier
Bei Cyber Storm 2020 hat die CISA drei Angriffsszenarien vorgegeben, darunter den Verlust eines Zertifikats zur Authentifizierung. Das ist ein Sicherheitsmerkmal, mit dem sich ein Gerät in einem Netzwerk eindeutig zu erkennen gibt, wie mit einem Wasserzeichen eines Ausweises, eine dritte Stelle, Certificate Authority genannt, garantiert die Echtheit des Zertifikats. Hin und wieder gelingt es Hackern dennoch, solche Zertifikate zu kopieren und sich vermeintlich berechtigt in einem Netzwerk auszuweisen, für das sie eigentlich keine Erlaubnis haben. Auch die beiden anderen Szenarien rüttelten an den Grundfesten des Internet. Im zweiten Szenario wurde das Domain Name System (DNS) kompromittiert, das jeder Webadresse eine IP-Adresse zuweist. Im dritten Szenario wurde das Border Gateway Protocol (BGP) attackiert, das die effizientesten Routen für Daten durchs Internet festlegt.
Die Attacken passierten nicht wirklich. Dass aber solche Worst-Case-Szenarien alles andere als weltfremd sind, zeigte kurz darauf der SolarWinds-Vorfall. Im Planspiel müssen die Teilnehmer die Szenarien abarbeiten und nachweisen, dass sie die richtigen Entscheidungen und Maßnahmen getroffen haben, um die Bedrohungen entweder zu blockieren oder zu entschärfen. Bei Siemens waren vier Analysten beteiligt, alle Experten für Cybersecurity. Diese „Spieler“ wussten, dass das Planspiel stattfindet, kannten aber den genauen Ablauf nicht. Der wurde von den „Planern“ der CISA und der beteiligten Unternehmen entwickelt, die die Spieler mit einer fingierten Bedrohung konfrontierten. Die Spieler mussten darauf so reagieren, dass der Vorfall nicht zu einer großen Cyberattacke eskaliert.
Kommunikation ist wichtig
„Die Bedrohungen von Cyber Storm sind sehr realitätsnah“, betont Abhishek Ramchandran. Für ihn waren die drei Tage im August ein voller Erfolg: „Unsere Analysten haben alle Herausforderungen erfolgreich gemeistert.“ So habe das Product CERT (Computer Emergency Response Team) ein Advisory erzeugt, das bei einem echten Angriff an betroffene Siemens-Kunden verschickt worden wäre mit dem Hinweis auf den Vorfall und mit einem Update der infizierten Software. Vor allem habe die Koordination zwischen den beteiligten Abteilungen sehr gut funktioniert. Laut CISA ist eine eingespielte Kommunikation zwischen betroffenen Akteuren wichtig für das Abwehren eines Cyberangriffs – das gilt nicht nur während einer akuten Attacke, sondern auch in den „ruhigen“ Phasen dazwischen, wo sich die Cybersecurity-Experten aus Unternehmen und Behörden laufend über die aktuelle Bedrohungslage austauschen.
Der Vorfall rund um SolarWinds hat gezeigt, wie notwendig regelmäßiges Üben ist, um komplexe Attacken von Angreifern wirkungsvoll abzuwehren. Auch an Cyber Storm 2022 werde Siemens deshalb wieder teilnehmen, voraussichtlich mit einem noch größeren Team, verspricht Abhishek Ramchandran. Wann dieses Event stattfindet? Dazu hält sich Ramchandran bedeckt. „Wenn Hacker das Datum wüssten, würden sie dies ausnutzen und verstärkt Angriffe fahren.“
Locked Shields – diese jährliche Cybersecurity-Übung, ausgerichtet vom Cooperative Cyber Defence Centre of Excellence (CCDCOE) der NATO, bietet militärischen Cybersicherheitsexperten die einmalige Gelegenheit, ihre Fähigkeiten auf den Prüfstand zu stellen. Es gilt, die Funktionstüchtigkeit von IT-Systemen und kritischer Infrastruktur angesichts massiver Sicherheitsangriffe aufrechtzuerhalten. Unter Beteiligung von mehr als 2.000 Experten aus nahezu 30 Nationen fand die Übung über 22 „Cyber Cities“ im fiktiven Land Berylia statt. Mit dabei: Siemens. So waren die virtuellen Städte etwa mit Energiemanagementsystemen von Siemens ausgestattet, darunter Fernwirkeinheiten (Remote Terminal Units), Schutzeinrichtungen und eine Energieleitstelle. Die kritische Infrastruktur wiederum bestand aus über 5.000 virtualisierten Systemen und realen physischen Schaltgeräten. Die Emulation begann mit einer sich schnell verschärfenden Sicherheits- und Betriebslage in Berylia, bei der eine Reihe feindlicher Ereignisse mit koordinierten Cyberattacken gegen wichtige militärische und zivile Systeme zusammenfielen. Das Ziel der Übung: die Betriebsfähigkeit der Systeme unter intensivem Druck aufrechtzuerhalten.
Die Cyber Cities wurden dabei von Blue Teams – also der „guten“ Seite – bestehend aus Cybersicherheitsexperten der NATO-Mitgliedsstaaten verteidigt. Die gegnerische Truppe setzte sich zusammen aus militärischen Kräften und Cybersicherheitsexperten von nationalen und privaten Einrichtungen, darunter auch Siemens-Experten. Für Siemens bietet diese Übung eine großartige Möglichkeit, seine Cybersicherheitskompetenz unter Beweis zu stellen, was unsere Ingenieurteams bei der Entwicklung sicherer Lösungen unterstützt. Die Cyberangriffe zeigten, dass die Verteidigung kritischer Infrastrukturen gegen äußerst raffinierte Angreifer ausgeklügelter Anstrengungen bedarf. Solche regelmäßigen Übungen mit Blue und Red Teams helfen allen Beteiligten ungemein, die Notwendigkeit eines robusten Sicherheitskonzepts zu verstehen und bei einem echten Cyberangriff möglichst gut vorbereitet und abwehrbereit zu sein.
14.05.2021
Bernd Müller
Abonnieren Sie unseren Newsletter
Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.
