Die Stadtwerke Emden haben sich einer umfassenden IT-Sicherheitsüberprüfung unterzogen.

Bild: iStock, yucelyilmaz

Sichere Vernetzung und Versorgung IT-Schwachstellen beseitigen

16.01.2020

Eine Stadt ohne Strom, ohne fließendes Wasser und ohne Heizung. Wie lange dauert es, bis die Lebensmittel verderben, der Straßenverkehr im Chaos versinkt und das Krankenhaus seine Patienten nicht mehr richtig versorgen kann? Würde ein Hacker die IT-Systeme eines Energieversorgers lahmlegen, wären dies schnell keine fiktiven Szenarien mehr. Daher warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits 2018 vor großangelegten Cyberangriffskampagnen auf deutsche Energieversorger. Um solche Störungen oder gar Ausfälle zu vermeiden, haben sich die Stadtwerke Emden dazu entschlossen, ihre IT-Infrastruktur mit umfassenden IT-Sicherheitsüberprüfungen unter die Lupe zu nehmen.

In der ostfriesischen Seehafenstadt Emden versorgen die lokalen Stadtwerke circa 51.000 Bürger mit Strom, Erdgas, Fernwärme und Wasser. Um eine kontinuierliche Energieversorgung zu gewährleisten, stehen rund 300 Anlagen zur Verfügung. Dabei setzen die Stadtwerke Emden im Rahmen der Initiative „Grünes Emden 2030“ vermehrt auf regenerative Energien. Verschiedene Anlagen wie Schaltanlagen, Reglerstationen und der Wasserturm sorgen für eine passgenaue Verteilung von Energie und Wasser. „Damit alles so zuverlässig fließt, investieren wir konstant in Ausbau, Pflege und Wartung der Netze. Dazu gehört für uns aber auch unser IT-Netz, denn ohne eine reibungslos funktionierende IT könnten wir unseren Betrieb nicht aufrecht-erhalten“, so der IT-Leiter der Stadtwerke Emden. „Zudem hat für uns der Schutz von Informationen – der unseres Unternehmens, aber auch der Schutz personenbezogener Daten unserer Kunden – höchste Priorität.“

Gesetzliche Sicherheitsanforderungen für Energieversorger

Bereits ein einziges Datenleck in der IT kann für einen Energieversorger weitreichende Folgen haben. Wirtschaftsspionage, Sabotage, Reputationsverlust und enorme finanzielle Schäden sind nur einige Beispiele der möglichen Konsequenzen. Kommt es aber zu einem Betriebsstillstand, wirkt sich dies auch unmittelbar auf den Industriesektor der Stadt aus. Aber entscheidend ist, dass bei einem solchen Blackout die lebensnotwendige Versorgung der Bürger nicht mehr gewährleistet ist. Daher zählen die Stadtwerke Emden nach der KRITIS-Verordnung des BSI zu den Kritischen Infrastrukturen.

Maßnahmen zur Absicherung der IT

Geht es um das Thema IT- und Informationssicherheit, fehlen Unternehmen meistens ausreichende Ressourcen in der IT-Abteilung. Somit mangelt es auch an Erfahrung und am entsprechenden Sicherheits-Know-how, um zu identifizieren, wo Gefahren lauern und wie eventuell vorhandene Schwachstellen nachhaltig beseitigt werden können.

Um ihre IT bestmöglich abzusichern, ergriffen die Stadtwerke Emden daher bereits frühzeitig entsprechende technische und organisatorische Maßnahmen (TOM). So wurde beispielsweise ein Patch Management eingeführt, um alle Systeme stets auf dem neuesten Stand der Sicherheits-Updates zu halten. Da die meisten Systeme allerdings in Zusammenarbeit mit anderen Dienstleistern eingerichtet wurden, muss der Energieversorger stets darauf vertrauen, dass auch diese Unternehmen angemessene Sicherheitsvorkehrungen treffen.

„Uns waren keine konkreten Schwachstellen in unseren IT-Systemen bekannt“, betont der IT-Leiter. „Wir entschieden uns dennoch für eine umfassende Sicherheitsüberprüfung, um durch einen unabhängigen Blick zu kontrollieren, ob unsere IT- und Informationssicherheit tatsächlich so gegeben war, wie wir dachten. Nach einer entsprechenden Recherche fiel unsere Wahl auf Allgeier Core, die ein vollständiges Portfolio an IT-Sicherheitsüberprüfungen bereitstellen.“

Spezielle IT-Sicherheitsüberprüfung

Zu Beginn des Projekts erörterten die IT-Sicherheitsexperten zusammen mit dem Team der Stadtwerke Emden, welche Arten von IT-Sicherheitsüberprüfungen für den Energieversorger relevant sind, um ausschließlich realistische Angriffsszenarien nachzubilden. Dabei entschieden sie sich für eine IT-Sicherheitsüberprüfung der über das Internet erreichbaren Dienste und Systeme der Stadtwerke Emden im Rahmen eines kombinierten Black- und White-Box-Audits. Das Ziel dieser Überprüfungen war, alle vorhandenen Möglichkeiten für Manipulationen in der Infrastruktur sowie für den unbemerkten Zugriff auf personenbezogene beziehungsweise vertrauliche Daten zu identifizieren.

Im Rahmen des Security Audits agierten die IT-Sicherheitsexperten wie echte Cyberkriminelle und ermittelten sukzessive die vorhandenen Sicherheitslücken der IT-Infrastruktur, um sie im Anschluss durch individuelle Angriffsszenarien detaillierter zu überprüfen sowie zu dokumentieren. Nach Absprache mit dem IT-Team der Stadtwerke Emden konzentrierten sich die Experten dabei insbesondere auf interne Netzwerk- und Serversysteme, Webapplikationen sowie Kommunikationsverfahren, da diese häufig gewählte Ziele von Angreifern sind. Zudem wurde ein automatisierter Port- und Schwachstellenscan ausgeführt, um erreichbare Dienste und Applikationen, eingesetzte Versionen und deren Aktualität sowie vorhandene Schwachstellen zu ermitteln und zu analysieren.

Mögliche Angriffspunkte ausmachen

Danach konzentrierten sich die Experten im Rahmen der Sicherheitsüberprüfung auch auf die Analyse von Metadaten in öffentlich zugänglichen Dokumenten, Bildern und Videodateien, Webseitenarchiven und Social-Media-Plattformen. Auch hier ging es darum, IT-Sicherheitsrelevante Informationen zu ermitteln, die von Angreifern missbraucht werden können.

Im nächsten Schritt des Security Audits bündelte das Expertenteam die gesammelten Informationen und analysierte die Wirkungszusammenhänge im Rahmen eines Profilings. So wurde eine erste Übersicht geschaffen und die IT-Sicherheitsüberprüfungen konnten in bestimmten Bereichen weiter vertieft werden. Dabei spielten insbesondere folgende Aspekte eine Rolle: Werden Webstandards wie HTML, CSS und Java Script korrekt eingehalten? Können implementierte Funktionen wie Kontaktformulare, Bestell- und Bezahlprozesse oder auch Content- Management-Systeme manipuliert werden? Und wie einfach kann auf nicht-öffentliche beziehungsweise interne Daten durch Directory Listing oder Mixed Content (http und https) zugegriffen werden? Am Beispiel von Mixed Content zeigt sich bereits grundsätzlich, wie einfach es für einen Cyberkriminellen ist, sich Zugriff zu verschaffen. Denn erfolgt die Kommunikation mit dem Webserver über eine unverschlüsselte Verbindung (http), kann ein Angreifer mit einer entsprechenden Position im Netzwerk hierdurch den Datenverkehr mitlesen, verändern, Benutzerdaten einsehen und sogar Benutzersitzungen übernehmen.

Bei den Stadtwerken Emden legten die Experten weiterführend den Fokus auf die Analyse von IT-Sicherheitslücken in den identifizierten Diensten sowie auf manuelle Überprüfungen von implementierten Funktionen und Modulen. Dabei wurde unter anderem deren Anfälligkeit für Cross-Site-Scripting (XSS) oder SQL-Injection untersucht.

Risikobewertung und Überprüfungsschwerpunkte

Die zuvor evaluierten Ergebnisse wurden schließlich zusammengeführt und nach Risikobewertung klassifiziert. „An dieser Stelle war für uns besonders interessant, wie eine Skizze unseres Netzwerks aus Sicht eines Angreifers aussah und inwiefern sich diese von unserer internen Sicht unterschied“, beschreibt der IT-Leiter. „Wir wurden während des gesamten Projekts in die Prozesse einbezogen und konnten uns jederzeit mit den Experten über die nächsten Schritte sowie weitere Überprüfungsschwerpunkte austauschen.“

Vom Beginn der Arbeiten bis zur Ergebnispräsentation wurde das Projekt innerhalb von 9 Arbeitstagen durchgeführt. Am Ende der Überprüfungen wurden den Verantwortlichen der Stadtwerke Emden in einer persönlichen Ergebnisbesprechung alle – nach Dringlichkeit priorisierten – Handlungsempfehlungen zur Beseitigung der identifizierten IT-Sicherheitslücken aufgezeigt. „Wir erhielten zudem einen zusammengefassten Bericht für unsere Geschäftsführung und einen weiteren detaillierten Bericht für unsere IT-Administratoren. So hatten wir die Möglichkeit, die besprochenen Punkte schnell umzusetzen und unsere Systeme hinsichtlich Sicherheit nachhaltig zu optimieren.“

Fazit

Durch umfassende IT-Sicherheitsüberprüfungen im Rahmen eines White- und Black-Box-Audits erhielten die Verantwortlichen in Emden ein valides Bild aller vorhandenen IT-Sicherheitslücken der überprüften Systeme sowie konkrete Handlungsempfehlungen, um die Lücken zu schließen und um auf diese Weise das IT-Sicherheitsniveau der Stadtwerke Emden nachhaltig zu optimieren. Nach den Gesprächen mit den Security-Experten ist den Verantwortlichen bewusst geworden, dass eine nachhaltige Absicherung der IT-Systeme nicht mit einer einmaligen IT-Sicherheitsüberprüfung gewährleistet werden kann: „Wir müssen unsere Systeme kontinuierlich auf den Prüfstand stellen und werden daher sicherlich auch zukünftig auf die umfassende Expertise von Allgeier Core setzen“, so das Fazit nach Ende der Zusammenarbeit mit den IT-Sicherheitsexperten.

Bildergalerie

  • Die Zentrale der Stadtwerke Emden.

    Bild: Stadtwerke Emden

Verwandte Artikel