Sicherung der kritischen Infrastruktur Australiens

Seit mehr als einem Jahrzehnt nehmen Cyberangriffe auf kritische Infrastrukturen zu, da Kernsysteme wie die Stromerzeugung und -verteilung immer komplexer werden und zunehmend auf Netzwerke vernetzter Geräte angewiesen sind. Tatsächlich haben wir in den letzten 18 Monaten eine rasante Zunahme von Angriffen auf eine Vielzahl von Infrastrukturzielen beobachtet. 

Im vergangenen Geschäftsjahr wurde dem Australian Cyber Security Centre (ACSC) in Australien alle acht Minuten ein Cyberangriff gemeldet, wobei das Gesamtmeldevolumen gegenüber dem vorangegangenen Geschäftsjahr um fast 13 % gestiegen ist. Das ACSC erhielt über 67.500 Meldungen zu Cyberkriminalität – 25 % davon betrafen die kritische Infrastruktur oder wesentliche Dienste Australiens. 

Infografik | Jetzt herunterladen: Schutz der kritischen Infrastruktur Australiens

Die digitale Transformation, die im Bereich der kritischen Infrastruktur bereits im Gange war, hat sich während der Pandemie beschleunigt, was zu einer stärkeren Verschmelzung der ehemals getrennten Welten der Informationstechnologie (IT) und der Betriebstechnologie (OT) geführt hat. Dies hat wiederum die Angriffsfläche vergrößert und bedeutenden Bedrohungsakteuren – von denen viele von Nationalstaaten unterstützt werden – mehr Möglichkeiten für unbefugten Zugriff eröffnet.

Ransomware hat sich zur häufigsten Angriffsform auf den Sektor der kritischen Infrastruktur entwickelt, wo Betriebsstörungen verheerende Folgen haben können. Der Angriff auf Colonial Pipeline im Mai 2021, bei dem das Abrechnungssystem kompromittiert wurde, führte zu einem sechstägigen Betriebsausfall, der im Südosten der Vereinigten Staaten zu einer Welle von Panikkäufen, Hamsterkäufen und einer Kraftstoffknappheit führte.

Weltweit waren im Jahr 2021 80 % der Organisationen mit kritischer Infrastruktur von einem Ransomware-Angriff betroffen. Hinzu kam in diesem Jahr die bewaffnete Invasion der Ukraine durch die Russische Föderation: So meldeten beispielsweise 72 % der Entscheidungsträger im Bereich Cybersicherheit bei britischen Organisationen kritischer nationaler Infrastruktur einen Anstieg der Cyberangriffe seit Beginn des Konflikts. Anfang dieses Jahres rief die costa-ricanische Regierung den Notstand aus, nachdem Ransomware-Angriffe 27 costa-ricanische Institutionen getroffen hatten, was sich auf den Außenhandel und die Steuereinnahmen des Landes auswirkte.

Geschäftskritische SAP-Anwendungen, die in diesen Unternehmen für die Bereiche Enterprise Resource Planning (ERP), Supply Chain Management (SCM), Human Capital Management (HCM), Product Lifecycle Management (PLM), Customer Relationship Management (CRM) und andere IT-Systeme eingesetzt werden, sind zu einem Hauptziel für Angreifer geworden. Warum? Weil ein Einbruch in diese Anwendungen und deren Kompromittierung den Betrieb direkt zum Erliegen bringen oder schwer beeinträchtigen kann oder dazu genutzt werden kann, auf miteinander verbundene OT-Ressourcen und -Systeme zuzugreifen und diese zu übernehmen. 

Als Reaktion auf dieses Problem hat die australische Regierung die Cybersicherheitsverpflichtungen für den Sektor der kritischen Infrastruktur ausgeweitet und verschärft. Gemäß den jüngsten Änderungen des Gesetzes über die Sicherheit kritischer Infrastrukturen (SOCI) gelten die Cybersicherheitsverpflichtungen nun für elf Sektoren: Kommunikation, Datenspeicherung oder -verarbeitung, Finanzdienstleistungen und -märkte, Wasser- und Abwasserwirtschaft, Energie, Gesundheitswesen und Medizin, Hochschulbildung und Forschung, Lebensmittel und Lebensmittelhandel, Verkehr, Weltraumtechnologie sowie die Verteidigungsindustrie.

Die Änderungen des SOCI-Gesetzes sehen zudem verbindliche Sicherheitsverpflichtungen vor, die weit über das bisherige Maß hinausgehen. Daher ist es für jede unter dieses Gesetz fallende Organisation unerlässlich, nicht nur sicherzustellen, dass Sicherheitsmaßnahmen auf Anwendungsebene vorhanden sind, sondern diese auch in das Risikomanagementprogramm der Organisation zu integrieren. Die australische Regierung verlangt nun, dass Organisationen mit kritischer Infrastruktur über ein Programm zur Erkennung von Bedrohungen, zur Risikominderung, zur Minimierung von Auswirkungen sowie zur Governance und Aufsicht verfügen. Sie müssen zudem Schwachstellenanalysen durchführen und auf Anweisung Zugang zu Systeminformationen gewähren.

Als Experte für Cybersicherheit bei einer australischen Organisation für kritische Infrastrukturen ist es wichtig zu assess die Organisation nachweisen kann, dass sie ihren Sicherheitsverpflichtungen in Bezug auf ihre zentralen SAP-Geschäftsanwendungen nachkommt.

Ein Problem ist die Überwachung. Geschäftskritische SAP-Anwendungen werden in der Regel von einer Kombination aus internen Teams und externen Entwicklern sowie Dienstleistern gewartet und in einer hybriden Infrastruktur aus cloud, gehosteten und lokalen Systemen betrieben. Kritische SAP-Sicherheitslücken werden innerhalb von weniger als 72 Stunden ausgenutzt, und neue, ungeschützte SAP-Anwendungen, die in der cloud bereitgestellt werden, cloud in weniger als drei Stunden entdeckt und kompromittiert.

Die beiden entscheidenden Fragen lauten: 

1. Verfügt das Cybersicherheitsteam über Transparenz und control Schwachstellen und Risiken auf Anwendungsebene?
2. Gehen die derzeitigen Sicherheitsanbieter und -lösungen des Unternehmens tief genug in die Codebasis dieser kritischen SAP-Systeme hinein?

Für die meisten Unternehmen, mit denen wir sprechen, lautet die Antwort auf beide Fragen in der Regel „nein“. Die Erkennung, Meldung und das Management von Schwachstellen beschränken sich oft auf die Server- und Anwendungsebene und reichen nicht bis in den Code hinein. Die Sicherheitsmaßnahmen, die möglicherweise bei der ersten Bereitstellung der Anwendung vorhanden waren, wurden im Laufe der Zeit nicht unbedingt beibehalten, während der Code weiterentwickelt wurde. Dadurch ist die Anwendung potenziell Hunderten von Schwachstellen ausgesetzt. So wurden beispielsweise im Rahmen der Untersuchungen für unseren Threat Intelligence 2021 über 300 erfolgreiche Exploits beobachtet, die auf spezifische Schwachstellen in SAP-Systemen abzielten.

Im Rahmen des SOCI Act erfordern die neuen positiven Sicherheitsverpflichtungen jedoch mehr als nur Transparenz und Kontrolle über die SAP-Codebasis. Es ist zudem entscheidend, dass Unternehmen sowohl Risiken mindern als auch die Auswirkungen von Sicherheitsverletzungen minimieren. Dazu müssen Cybersicherheitsteams in der Lage sein, assess und Schwachstellen anhand ihrer Auswirkungen und Eintrittswahrscheinlichkeit zu assess , bewährte Vorgehensweisen zu empfehlen und Abhilfemaßnahmen zu priorisieren. Im Idealfall sollten sie auch in der Lage sein, diesen Prozess teilweise zu automatisieren, was zudem dazu beiträgt, die Vorgaben der australischen Regierung zur Bereitstellung von Sicherheitsinformationen zu erfüllen.

Die Einhaltung der australischen Rechtsvorschriften ist zwar wichtig, doch geht es um weit mehr als das. Der Schutz kritischer Infrastrukturen ist unerlässlich, um die Aufrechterhaltung grundlegender Dienstleistungen überall zu gewährleisten, und der Ausfall von Infrastrukturen infolge eines Cyberangriffs ist weltweit die größte Sorge führender Cybersicherheitsexperten. Erst wenn wir alle im Sicherheitsökosystem zusammenarbeiten und uns gegenseitig unterstützen, können wir wirklich etwas bewirken.

Um besser zu verstehen, wie Onapsis Sie bei der Einhaltung des SOCI-Gesetzes unterstützen kann, oder um sich selbst ein Bild von den Funktionen der Platform zu machen, werfen Sie einen Blick auf unsere Infografik oder vereinbaren Sie einen Termin mit unserem Team.

Unser Team aus Experten für Anwendungssicherheit wird am 21. und 22. Juli auf der „Mastering SAP“ in Melbourne vor Ort sein , um mit Ihnen zu besprechen, wie Sie diese Anforderungen erfüllen und Ihre geschäftskritischen Systeme schützen können. Treffen Sie uns dort!