4 „Hack the Port“-Lehren zur Cybersicherheit kritischer Infrastruktur

Auf der Konferenz „Hack the Port“, die im März in Fort Lauderdale (US-Bundesstaat Florida) stattfand, haben führende Köpfe auf dem Gebiet der Cybersicherheit und Security Practitioners über die neuen Bedrohungen für Häfen und die Möglichkeiten für einen besseren Schutz dieses für die nationale Infrastruktur so wichtigen Wirtschaftszweigs diskutiert. Die Veranstaltung stand unter dem Zeichen des Konflikts zwischen Russland und der Ukraine und der wiederholten Warnungen seitens der US-Regierung, dass es auch außerhalb des unmittelbaren Kriegsgebiets zu Cyberangriffen kommen kann, weshalb Eigentümer und Betreiber kritischer Infrastruktur aufgefordert sind, die Anstrengungen zum Schutz ihrer Systeme und Daten zu intensivieren.

Auf der „Hack the Port“ wurde klar, dass es einige wichtige Dinge gibt, die alle Eigentümer oder Betreiber kritischer Infrastruktur, gleich ob im öffentlichen Dienst oder im privaten Sektor, beachten müssen, um ihre Systeme und Daten zu schützen. Im Folgenden gehen wir auf die Hauptlehren aus dieser Konferenz etwas näher ein.

Auch Hacker:innen mit begrenzten Mitteln können viel Schaden anrichten

Heute kostet es nicht mehr viel, einen Angriff zu starten. Wir stellen immer öfter fest, dass Bedrohungsakteur:innen mit geringen Mitteln großen Schaden bei kritischer Infrastruktur anrichten können – jede Sicherheitsverletzung schlägt im Schnitt mit 4,24 Millionen USD zu Buche. So war z. B. der Hack, der zum Ausfall der größten Kraftstoffpipeline in den USA und damit verbunden zu Kraftstoffmangel an der gesamten Ostküste geführt hat, auf die Kompromittierung eines einzigen Passworts zurückzuführen. Dieses Passwort aus dem Darkweb und das Fehlen einer Mehrfaktorauthentifizierung erlaubte es den Hacker:innen, einfach auf das VPN des Unternehmens zuzugreifen. Hinzu kommen die Probleme durch die infolge der Pandemie und der Strandung des Containerschiffs im Suezkanal störanfälligen Lieferketten. All dies führt in einer sich verändernden Welt zu einer Dynamik, die Hacker:innen nur allzu bereitwillig für ihre Zwecke nutzen.

Eine der Lehren, die wir aus jedem Cybervorfall ziehen können, besteht darin, dass Daten die neue Waffe der Hacker:innen sind. Um die Aktivitäten dieser Angreifer:innen abzuwehren oder die Folgen ihrer Aktivitäten zu lindern, müssen Cyberbedrohungsexpert:innen selbst so viele Daten wie möglich sammeln, die sie dann analysieren und für Bekämpfungsmaßnahmen einsetzen bzw. als Threat Intelligence mit anderen teilen können. Mit dem Limitless XDR-Angebot von Elastic, das SIEM-, Endpoint- und Cloud-Security-Funktionen in einem bietet, stehen Cybersicherheitsexpert:innen Entdeckungsregeln, Endpoint-Code und andere Ressourcen von Millionen von Nutzer:innen der kostenlosen und offenen Plattform von Elastic zur Verfügung. Diese Ressourcen sind sofort einsetzbar und äußerst erschwinglich und können so sowohl von kleinen Unternehmen als auch von ganzen Teilstreitkräften genutzt werden. Neue Nutzer:innen profitieren auf dieselbe Weise, denn sie können Limitless XDR in Minutenschnelle in der Cloud nutzen – ohne dazu irgendwelche spezielle Hardware zu benötigen.

Ob verbunden oder nicht – Schutz ist Pflicht

Häfen und Überwachungssysteme für maritime Umgebungen nutzen, wie andere kritische Infrastruktur auch, zusätzlich zur Informationstechnologie (IT) Legacy-Operational-Technology(OT)-Netzwerke sowie Internet-of-Things(IoT)-Geräte, aber die Zahl der OT-Spezialist:innen im Unternehmen ist oft begrenzt. Allein im Jahr 2020 gab es 500 größere Angriffe auf OT-Netzwerke in kritischer Infrastruktur; diese Entwicklung ist besorgniserregend. Hinzu kommt, dass viele Überwachungssysteme für maritime Umgebungen in DIL-Umgebungen (Disconnected, Intermittent, Limited) laufen, das heißt, einmal auf See sind sie nicht verbunden. Einige dieser DIL-Systeme nutzen für die Verbindung mit der Zentrale Satelliten im erdnahen Orbit (Low Earth Orbit, LEO), was den Cyberfußabdruck nicht eben einfacher macht.

Ob verbunden oder nicht – es kommt darauf an, die Zusammensetzung der kritischen Infrastruktur zu kennen, damit man sie schützen kann. Veranstaltungen wie „Hack the Port“ sind wichtig, vermitteln sie doch einem breiteren Publikum einen Eindruck von den bestehenden Problemen. Früher waren diese bestenfalls den Brancheninsidern bekannt. Darüber hinaus bieten sie die Gelegenheit für Technologietransfer. So können Lösungen aus dem militärischen Bereich auch für die Beseitigung von Problemen der kritischen Infrastruktur genutzt werden. Zum Beispiel ist es mit Elastic möglich, Machine-Learning-Modelle für die lokale Ausführung auf DIL-Endpoints zu verwenden, statt einen Malware-Signatur-basierten Ansatz zu fahren, um so den dauerhaften Schutz der Endpoints sicherzustellen, wohingegen herkömmliche nicht verbundene Endpoints wegen ihrer veralteten Signaturen anfälliger für Risiken sind. Zudem ist es bei Verwendung konfigurierbarer Warteschlangen und einer „Distributed-by-Design“-Architektur möglich, Daten und Metriken in Warteschlangen im Edge-Bereich zu parken, solange keine Verbindung zum Netzwerk besteht. Sobald eine Kommunikation wieder möglich ist, werden die Daten nahtlos vom Endpoint an den Cluster gesendet. Damit wird sichergestellt, dass Kommunikationsprobleme nicht zwangsläufig in Datenverlust enden.

Cybersecurity-Compliance ist wichtig

Bei ihrem „Hack the Port“-Auftritt bezeichnete Jen Easterly, Direktorin der Critical Infrastructure Security Agency (CISA), Häfen als Schwachstellen („soft spots“) der kritischen Infrastruktur der USA. Man könne gar nicht genug darauf hinweisen, wie wichtig deren Schutz ist, denn über US-Häfen laufen jedes Jahr Waren im Wert von 5,4 Billionen USD – dies entspricht einem Viertel des US-amerikanischen Bruttoinlandsprodukts. Die CISA stellt Eigentümern und Betreibern kritischer Infrastruktur Threat Intelligence, Schulungen und Ressourcen zur Verfügung und ist eine treibende Kraft hinter dem Präsidialerlass zur Verbesserung der Cybersicherheit der Nation. Dieser Erlass nennt mehrere Standards und Anforderungen, die zivile Regierungsorgane auf Bundesebene in Zusammenarbeit mit dem privaten Sektor erfüllen müssen, um die Sicherheit im Cyberspace zu verbessern.

Die Standards und Anforderungen des Erlasses bieten ein stabiles Fundament für die Cybersicherheit der kritischen Infrastruktur, ganz gleich, ob die Eigentümer oder Betreiber an den Erlass gebunden sind oder nicht. Da wir bei Elastic wissen, dass sich diese Eigentümer und Betreiber in der Regel besser mit Maschinen und Logistik auskennen als mit Standards und Anforderungen, haben wir für Sie ein paar Informationen dazu zusammengestellt, welche Bereiche Sie sofort angehen sollten, um Ihre Systeme und Daten zu schützen – bei Elastic lässt sich all dies auf einer einzigen zentralen Plattform erledigen. Lesen Sie unser „Industry Brief“-Dokument, um zu erfahren, wie wir Unternehmen mit einem Zero-Trust-Ansatz bei der Erfüllung oder Übererfüllung der Compliance-Anforderungen bezüglich der Verwaltung von Ereignislogdaten, bei EDR (Endpoint Detection and Response) und beim sicheren Umstieg auf die Cloud helfen.

Die Personaldecke im Bereich Cybersicherheit muss gestärkt und diverser werden

Eine (ISC)²-Studie zeigt, dass es bei der Beseitigung des globalen Personalmangels im Bereich der Cybersicherheit Fortschritte gibt: Seit 2020 sind 700.000 neue Fachkräfte hinzugekommen. Allerdings wird auch davon ausgegangen, dass für einen effektiven Schutz der kritischen Assets von Unternehmen 65 % mehr Spezialist:innen benötigt werden. Insbesondere die Eigentümer und Betreiber kritischer Infrastruktur sollten kontinuierlich ihren Bedarf an Cybersicherheitsfachkräften im Auge behalten. Ressourcen von Organisationen wie dem Office of Personnel Management helfen Cybersicherheitsverantwortlichen, Rollen mit kritischen Bedarf auszumachen und aufzuzeigen, bei welchen Kompetenzen es besonders an Fachpersonal mangelt.

Die Eigentümer und Betreiber kritischer Infrastruktur müssen darüber hinaus in die Ausbildung der nächsten Generation von Cybersicherheitspersonal investieren, um für die nächste Generation von Cyberbedrohungen gewappnet zu sein. MISI, die Organisation, die „Hack the Port“ organisiert, ist sich dieser Tatsache sehr bewusst und nutzt Elastic Security-Lösungen, um diverse Talente anhand praxisnaher Cybersicherheitsszenarien entsprechend auszubilden. Elastic engagiert sich auch für mehr Diversität bei der Einstellung von Cybersicherheitspersonal und veranstaltet zusätzlich zum bestehenden Schulungsprogramm regelmäßig „Capture the Flag“-Events. Die Cyberskills, die bei diesen Programmen vermittelt werden, können auch bei neuen Aufgaben eingesetzt werden, was einer der vielen Vorteile einer kostenlosen und offenen Software ist.

Umsetzung der „Hack the Port“-Lehren

„Hack the Port“ ist nun Geschichte, aber Elastic steht bereit, Eigentümern und Betreibern maritimer und anderer kritischer Infrastruktur dabei zu helfen, die aus der Konferenz gezogenen Lehren für die Cybersicherheit in die Praxis umzusetzen. Sehen Sie sich unsere Limitless XDR-Demo an und kontaktieren Sie uns unter federal@elastic.co oder probieren Sie unser FedRAMP-autorisiertes Cloud-Angebot aus.

Zugehörige Blogposts:

• Forrester führt Elastic im „Endpoint Detection and Response Wave“-Bericht als „Strong Performer“
• A single platform for US Government security and logging compliance