Kritische Infrastrukturen stehen unter Schutz
Die zunehmende Digitalisierung hat sich enorm positiv auf die Effizienz und Effektivität öffentlicher und privater Einrichtungen ausgewirkt. Gleichzeitig jedoch sind aufgrund dieser Zunahme auch die kritischen Infrastrukturen Europas anfälliger gegenüber den sich ständig weiterentwickelnden und immer raffinierteren Cyberbedrohungen geworden. Diese kritischen Infrastrukturen, deren Unterbrechung oder Zerstörung schwerwiegende negative Auswirkungen auf die Gesellschaft hätte, werden vermehrt als kritische Informationsinfrastrukturen bezeichnet und sind in den Bereichen Energie, Verkehr, Gesundheit und Verteidigung grundlegend wichtig. Die EU hat diese Tatsache zur Kenntnis genommen und wird Maßnahmen ergreifen, indem sie die Forschungsfinanzierung in diese Richtung aufstockt, so etwa im Rahmen des EU-finanzierten Projekts CyberSANE. Gut investierte Finanzmittel ergaben eine ganzheitliche, zentralisierte Plattform zum Management von Cybersicherheitsvorfällen bei kritischen Informationsinfrastrukturen, einschließlich Schutz, Erkennung, Reaktion und Wiederherstellung.
Eine einzige Anlaufstelle für die Sicherheitsvorfallbehandlung
Projektkoordinator Luis Ribeiro von PDMFC erläutert dazu: „Die CyberSANE-Plattform umfasst fünf modulare Werkzeuge mit einer zentralen Engine, welche die Kernplattform koordiniert. LiveNet dient der Überwachung, Analyse und Visualisierung des internen Live-Netzwerkverkehrs einer Einrichtung in Echtzeit. DarkNet überwacht das Deep Web einschließlich Darknet, um globale Schadsoftware-/Cybersicherheitsaktivitäten zu analysieren und zu bewerten. HybridNet erhält sowohl von LiveNet (intern) als auch von DarkNet (extern) Informationen über potenzielle Cyberbedrohungen, um die Sicherheitslage innerhalb einer Einrichtung zu analysieren und zu bewerten. ShareNet leitet vorfallsbezogene Informationen an Beteiligte und Interessengruppen weiter. PrivacyNet bietet u. a. Funktionen zum Schutz der Privatsphäre und zum Datenschutz.“ Die CyberSANE-Werkzeuge verfügen über Algorithmen zum Umgang mit Sicherheitsvorfällen, die mit der Taxonomie MITRE ATT&CK® abgestimmt sind. Die Instrumente können in verschiedene Cybersicherheits-Werkzeuge und -Geräte wie Firewalls sowie Systeme zum Erkennen unbefugten Eindringens und zur Verhinderung von Eindringversuchen integriert werden. Die Plattform fasst die aktuelle und die in der Vergangenheit herrschende Sicherheitssituation auf überschaubare Weise zusammen und stellt Dashboards auf hoher und niedriger Ebene bereit, damit die Beteiligten die aktuelle Situation in allen Phasen der Sicherheitsvorfallbehandlung schnell in den Griff bekommen. Mit trainierbaren KI-Modellen wird dazu beigetragen, falsch-positive Alarme zu reduzieren. Insgesamt „gestattet die CyberSANE-Plattform einen schnellen Informationsaustausch, die Harmonisierung von Informationssicherheitsmanagementsystemen mit Partnereinrichtungen und die Weitergabe von Informationen über Vorfälle, um neue Angriffe zu vermeiden“, erläutert Ribeiro.
Sicherheitsvorfallbehandlung: Validierung in der echten Welt
Erprobt wurde die CyberSANE-Plattform unter realen Bedingungen in den Bereichen Frachtcontainertransport, Sonnenenergieerzeugung, -speicherung und -verteilung sowie Echtzeitüberwachung und -verwaltung von Krankenhauspatientinnen und -patienten. Ein Blick auf eines der Pilotvorhaben veranschaulicht den Einsatz und Nutzen des Systems. Der Hafen von Valencia in Spanien ist in Bezug auf das Verkehrsaufkommen der sechstgrößte Hafen Europas und der wichtigste Import-, Export- und Umschlaghafen des Mittelmeerraums. Zahlreiche Dienstleistungen sind automatisiert. LiveNet entdeckte Schadsoftware-Installationen. DarkNet durchsuchte verwandte Begriffe nach für den Angriff relevanten Informationen. HybridNet erkannte einen Zugriff, der von einer unbekannten, verdächtigen IP-Adresse aus erfolgte. ShareNet leitete den Vorfall weiter, um den gleichen Angriff auf andere Infrastrukturen zu verhindern, und PrivacyNet führte Funktionen zur Datenanonymisierung durch.
Automatisierung und Integration mit großer Wirkung
„Das CyberSANE-System hat die Erwartungen hinsichtlich Automatisierung und Optimierung der Vorfallbehandlungsprozesse mittels Integration seiner Module und Werkzeuge übertroffen. Daraus ergeben sich zahlreiche Vorteile, etwa die Steigerung der Effizienz, die Verkürzung der Reaktionszeit auf Vorfälle und ein geringeres Risiko für Fehler durch den Menschen, die Verbesserung der Zusammenarbeit und eine bessere Entscheidungsfindung“, fügt Ribeiro hinzu. CyberSANE kann cloudbasiert, als Software-as-a-Service oder an Ort und Stelle mit einem monatlichen/jährlichen Abonnement oder einer unbefristeten Lizenz installiert werden. Das überaus ehrgeizige Projekt CyberSANE und seine Ergebnisse sind nun bereit, für die Sicherheit unserer kritischen Informationsinfrastrukturen zu sorgen und die europäische Gesellschaft störungsfrei funktionieren zu lassen.
Schlüsselbegriffe
CyberSANE, Cybersicherheit, kritische Informationsinfrastrukturen, Sicherheitsvorfallbehandlung, Automatisierung, kritische Infrastrukturen, KI, Dark Web, Darknet, MITRE ATT&CK®
