Kritische Infrastrukturen sind aufgrund ihrer Komplexität, aber auch durch ihre Bedeutung für die Funktionsfähigkeit von Wirtschaft und Gesellschaft ein attraktives Ziel für kompetente Angreifende. So existieren mutmaßlich staatlich finanzierte Angreifergruppen die sich hauptsächlich auf die Kompromittierung kritischer Infrastruktur konzentrieren. Wie kann dem vorgebeugt werden?
Systematische Methodik zum Erkennen von Schwachstellen der Cybersecurity
Antworten auf diese Frage entwickelt das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO seit 1. Juni 2023 in dem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt AEROKI. Projektpartner sind neben dem kooperierenden Institut für Arbeitswissenschaft und Technologiemanagement IAT der Universität Stuttgart die Goethe Universität Frankfurt und die Fraport AG, die verschiedene kritische Infrastrukturen in sich vereint – vom Flug- und Terminalbetrieb über Energieversorgung bis hin zum Medical Center. Ziel des Projekts ist es, für solche komplexe Strukturen der Cybersicherheit effizient anwendbare Methoden und Werkzeuge zu entwickeln, die es ermöglichen, angesichts sich stetig verändernder Bedrohungsszenarien die eigene Sicherheitslage jederzeit umfassend bewerten zu können.
Kernstück des Projekts ist das sogenannte Risk Value Scoring. Hier laufen alle Informationen zusammen, um zu entscheiden, ob im Hinblick auf die aktuelle Bedrohungslage der Nutzen eines Systems das mit dem Betrieb verbundene Risiko übersteigt. Um Bedrohungen frühzeitig erkennen zu können, muss man zum einen die in der kritischen Infrastruktur betriebenen Systeme und Komponenten erfassen. Dazu gehört nicht nur die klassische Informations- und Kommunikationstechnologie (IT) sondern auch die Operational Technologie (OT). Dies ist Aufgabe des sogenannten Assetmanagements. Sprich alle Systeme, die mit dem Internet verbunden sind, müssen zunächst identifiziert und auf Sicherheitsfragestellungen geprüft werden. Zum anderen muss die aktuelle Bedrohungslage erfasst werden. Dazu gehören Informationsquellen wie offizielle Cyber-Sicherheitswarnungen vom Bundesamt für Sicherheit in der Informationstechnik, aber potenziell auch Chats in Sozialen Medien.
Wie sicher bestimmte Zulieferer von Software und Komponenten sind, ermittelt das Forschungsteam des Fraunhofer IAO basierend auf sogenannter Open Source Intelligence, also öffentlich frei verfügbarer Informationen. Die so im Projekt entwickelten Kennzahlsysteme fließen im Risk-Value-Scoring zusammen und können künftig dabei helfen, die Sicherheitslage automatisiert und aktuell im Blick zu haben, potenzielle Gefahrenstellen frühzeitig zu erkennen und gegebenenfalls zu beheben. »Dem wirtschaftlichen Druck auf bestehende Strukturen zur Aufrechterhaltung der IT-Sicherheit wird in AEROKI durch weitgehende Automatisierung dieser Komponenten Rechnung getragen«, versichert Projektleiter Dr. Christian Schunck, der sich am Fraunhofer IAO auf Cybersicherheitsvorfälle spezialisiert hat.
Eine übertragbare Analysemethodik