IT-Sicherheit
Behörden Spiegel / November 2022
Seite 35
Rechenzentren im Blackout
Gefahr so hoch wie nie
Keine Sicherheitsmaßnahme, die das verhindern könnte
BSI-Lagebericht 2022
(BS/bhi) Der Strom fällt aus. Und kommt für 14 Tage nicht wieder. Der Blackout ist ein Albtraum-Szenario für die Kritische Infrastruktur (KRITIS). Für (BS/bhi) “Die Bedrohungslage im Cyber-Raum ist angespannt, dynaRechenzentren heißt es – ist der Strom weg, sind die Daten weg. Dennoch bereiten sich die meisten Rechenzentren nur auf kurze Stromausfälle vor. misch und vielfältig und damit so hoch wie nie.” So fasst Dr. Gerhard Schabhüser, der Vizepräsident des Bundesamts für Sicherheit in der die KRITIS-Betreiber über eine Informationstechnik (BSI), den Lagebericht der Cyber-SicherheitsRechenzentren sind große behörde zusammen. An allen Fronten ist es mehr geworden: mehr Risikoanalyse zu betrachten”. Stromverbraucher. Die Server Alle zwei Jahre sind KRITIS- Ransomware-Vorfälle, mehr bekannt gewordene Schwachstellen, mehr und zugehörigen KühleinheiBetreiber außerdem gesetzlich “Distributed Denial of Service”-Angriffe (DDoS). ten ziehen oft die Energie eines kleinen Stadtteils. Durch den anhaltenden Trend zur Cloud speichern zudem immer mehr Behörden, Unternehmen und Privatpersonen ihre Daten und Anwendungen in Rechenzentren statt auf dem eigenen Computer. Das macht die Serverfarmen allerdings zu einem neuralgischen Punkt der Cyber-Sicherheit. Vor allem physisch sind sie äußerst verletzlich. Doch nicht alle Rechenzentren gelten vor dem Gesetz als besonders schützenswerte KRITIS.
Was ist kritisch? “Betreiber von RechenzentrenAnlagen werden ab einem Schwellenwert von 3,5 Megawatt (MW) nach dem BSI-Gesetz (BSIG) als Kritische Infrastruktur reguliert”, teilt ein Sprecher des BSI mit. Solche Rechenzentren müssen besondere Sicherheitsauflagen erfüllen. Die Leistung von 3,5 MW entspricht der unteren Leistung eines Windkraftrades beziehungsweise von 10.000 Durchschnittshaushalten. Rechenzentren mit weniger Leistung sind zunächst einmal keine KRITIS. Es sei denn, sie sind Teil einer anderen Kritischen Infrastruktur, wie z. B. des Sektors Energieversorgung. Auch diese Rechenzentren unterlägen den BSIG-Pflichten, ergänzt Holger Berens. “Das reicht aus unserer Sicht allerdings nicht aus, da es eine Vielzahl von Rechenzentren gibt, die aus dem bisherigen Gesetzesraster fallen. Hier muss
Mit diesem Diesel-Notstromaggregat eines Rechenzentrums lässt sich ein Stromausfall überbrücken. Aber es besteht kein Gesetz, wonach Rechenzen trumsbetreiber genug Treibstoff für einen Blackout bereithalten müssen. Foto: BS/Natascha, stock.adobe.com
nachgebessert werden”, fordert der Vorstandsvorsitzende des Bundesverbands für den Schutz Kritischer Infrastrukturen (BSKI).
Schutzmaßnahmen Welche Schutzmaßnahmen muss ein Rechenzentrum aber ergreifen, wenn es zur KRITIS zählt? Im IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) stehen Vorgaben, wie Rechenzentrumsbetreiber sich auf Stromausfälle vorbereiten sollten. Zunächst empfehlen die Spezialistinnen und Spezialisten der CyberSicherheitsbehörde, dass die Rechenzentrumsbetreiber Netz ersatzanlagen (NEA) oder eine unterbrechungsfreie Stromversorgung (USV) bereithalten. Vor dem Ernstfall sollten die Verantwortlichen den Betrieb der NEA testen – unter Last. Entsprechend diesen Vorgaben betreibt zum Beispiel die Stadt Mannheim ihre zentralen IT-
Datenstrukturen. “Gegen kurze Stromausfälle und Spannungsschwankungen werden an den Anforderungen ausgerichtete sogenannte unterbrechungsfreie Stromversorgungen eingesetzt”, heißt es aus der Stadtverwaltung. “Für längere Ausfälle des Stromnetzes sind autarke, zuverlässige Netzersatzanlagen einsatzbereit, wodurch die zentralen IT-Daten vor Ort zur Verfügung stehen.”
Wie viel Sprit? Da stellt sich die Frage, für wie viele Tage Rechenzentren eigentlich Treibstoff für ihre NEA vorrätig halten müssen. “Der Zeitraum der Vorkehrungen ist gesetzlich nicht festgelegt und individuell durch den Betreiber zu berücksichtigen”, erklärt ein Sprecher des BSI. Die Betreiber könnten selbst Treibstoff bevorraten oder Versorgungsverträge mit Dienstleistern schließen. Ob eine Vorbereitung auf einen Blackout sinnvoll sei, sei “jeweils durch
verpflichtet, zu prüfen, ob ihr Rechenzentrum den Stand der Technik umsetzt. Geprüft werden auch die Maßnahmen, die die Stromversorgung gewährleisten. Den Bericht müssen KRITIS-Betreiber dem BSI anschließend zur Verfügung stellen. “Darin werden jedoch keine Details genannt, etwa zur Dauer der Kraftstoffbevorratung”, heißt es aus dem BSI.
Vollständiger Datenverlust Der Vorstandsvorsitzende des BSKI sieht klare Schwierigkeiten. “Wenn es wirklich zum Blackout käme, dann wären das nicht nur 40 min oder ein paar Stunden, die ich durch Notstromaggregate überbrücken kann”, betont Berens. “Was ist, wenn der Strom wirklich weg ist?” Rechenzentren – gerade die großen – schützten sich vor einem Datenverlust durch redundante Systeme. Oft gebe es dort mehrere parallele Stromversorgungen und kritische Daten seien in einem anderen Rechenzentrum gespiegelt. Doch bei einem echten Blackout sei das keine Hilfe, betont Berens. “Denn wenn der Strom weg ist, nützen mir Redundanzen nichts. Ich wüsste keine Sicherheitsmaßnahme, die einen vollständigen Datenverlust bei einem Blackout verhindern könnte. Es sei denn, man diversifiziert und hält ein Back-Up in einem anderen Rechenzentrum vor, dass mindestens ein paar hundert Kilometer entfernt ist.”
Vom 1. Juni 2021 bis zum 31. Mai 2022: Das ist der Berichtszeitraum des BSI-Lageberichts 2022. In diese Zeit fallen die schlimmsten Cyber-Sicherheitsvorfälle der letzten Jahre. Zuerst war da der Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld. Die komplette Kreisverwaltung wurde verschlüsselt und war monatelang arbeitsunfähig. Erst im Oktober wurde bekannt, dass dabei eine Umweltdatenbank unwiderruflich zerstört wurde. Im Lagebericht heißt es: “Ransomware-Angriffe stellen eine der größten Cyber-Bedrohungen für Staat, Wirtschaft und Gesellschaft dar.”
Mehr Schwachstellen Kurz vor Weihnachten 2021 wurde dann die Log4J-Schwachstelle bekannt. Über solche Schwachstellen hacken sich Kriminelle in fremde IT-Systeme. Die Log4J-Java-Bibliothek war als Open-Source-Software in vielen anderen Programmen verbaut. Daher war die Bedrohungslage außergewöhnlich hoch. Das BSI schaltete auf Warnstufe Rot. Im letzten Jahr wurden insgesamt zehn Prozent mehr Schwachstellen bekannt als im Jahr 2020. Diese Schwachstellen waren laut “Common Vulnerability Scoring”-System (CVSS) oft besonders kritisch. Laut BSI hat die Zunahme aber einen Grund. Im Berichtszeitraum hat das Cyber-Sicherheitsamt ein Mel-
deformular für Schwachstellen online gestellt. Dadurch konnten Sicherheitsforscher und Betroffene Schwachstellen leichter beim BSI melden. Über das Formular kam es zu 139 Meldungen, eine Zunahme um mehr als 400 Prozent im Vergleich zum Vorjahr (25 gemeldete Schwachstellen).
Angriff auf die Ukraine Schließlich überfiel Russland gegen Ende des Berichtszeitraums die Ukraine. In der Folge gab es Spill-over-Effekte und DDoSAttacken, mit denen sowohl vermutlich russische Angreifer als auch Hacktivisten versuchten, gegnerische Webseiten lahmzulegen. Doch schon zuvor hatten DDoS-Angriffe deutlich zugenommen. Das BSI zitiert Zahlen des Mitigationsdienstleisters Link11. Solche Dienstleister kümmern sich um die Abwehr dieser Cyber-Bedrohungen. Laut diesen Zahlen kam es schon im Jahr 2021 zu 41 Prozent mehr DDoSAngriffen als noch im Jahr davor.
APT-Angriffe Daneben berichtet das BSI über die neuen Entwicklungen im Bereich der Advanced Persistent Threats (APT). Bei diesen Angriffen suchen Hacker nach Zugängen zu Computer-Systemen, um über einen langen Zeitraum Informationen zu sammeln und Sabotage durchzuführen. Mittlerweile griffen die Täter verstärkt Firewalls und Router an.
Warum SecuSUITE for Samsung Knox?
Weil ich mit Sicherheit im Homeoffice arbeiten kann. Behörden brauchen virtuelle Desktop-Anwendungen, mit denen sie VS-NfD-sichere Arbeitsplätze auch außerhalb des Büros realisieren können. Das Homeoffice spielt in der Arbeitswelt eine immer wichtigere Rolle. SecuSUITE for Samsung Knox von Secusmart bietet Sicherheit auch außerhalb des Büros – zum Beispiel mit VS-NfD-sicheren KonferenzLösungen oder virtuellen Desktop-Anwendungen. Vertrauen auch Sie auf Secusmart. Für sicheres ultramobiles Arbeiten mit Smartphone, Tablet & Co.
Sichere Daten, Telefonie und Apps bis zur Geheimhaltungsstufe VS-NfD
Sicheres ultramobiles Arbeiten im Homeoffice und Trennung von privaten und dienstlichen Apps
Aktuellste Tablets und Smartphones mit Samsung Knox
www.secusmart.com
22-9898_Home_Office_Behoerdernspiegel_285x200mm.indd 1
26.10.22 11:08
