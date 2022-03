Die Cybersecurity and Infrastructure Security Agency (CISA) und das FBI "sind sich möglicher Bedrohungen für US-amerikanische und internationale Satellitenkommunikationsnetze" bewusst, schreiben die beiden US-Behörden in einer gemeinsamen, Ende der Woche herausgegebenen Warnung. Darin heißt es: Ein erfolgreiches Eindringen in solche kritischen Infrastrukturen (Kritis) "könnte ein Risiko für die Kunden" der Netzbetreiber darstellen.

Schwelle zur Meldung von Cyberangriff deutlich senken

In Anbetracht der "aktuellen geopolitischen Lage" forderte die CISA zugleich mit ihrer Initiative "Shields Up" alle Organisationen auf, die Schwelle für die Meldung und Weitergabe von Hinweisen auf bösartige Cyber-Aktivitäten deutlich zu senken. Man werde in Folge zusammen mit dem FBI die Warnung aktualisieren, "sobald neue Informationen vorliegen". So könnten Netzbetreiber und ihre Kunden "zusätzliche, für ihre Umgebungen relevante Maßnahmen zur Risikominderung ergreifen".

CISA und FBI fordern Kritis-Betreiber und Anbieter sowie Nutzer von Satellitennetzwerken zudem auf, die in dem Hinweis beschriebenen Maßnahmen zur Stärkung der Cybersicherheit zu überprüfen und umzusetzen. Diese sollen die Eingangs- und Ausgangspunkte der Ausrüstung gesondert überwachen, um "anomalen Datenverkehr" zu erkennen. Dabei könnte es sich etwa um das Vorhandensein unsicherer Instrumente für den Fernzugriff wie Telnet, FTP, SSH und VNC (Virtual Network Computing) gehen, die die Kommunikation zu und von Satelliten-Terminals ermöglichen.

Generell sollte der Netzwerkverkehr zu anderen unerwarteten Segmenten genauso im Auge behalten werden wie die unbefugte Nutzung von lokalen oder Backup-Konten, raten die Behörden. Hinweise auf einen möglichen Cyberangriff könne auch überraschender Traffic aus dem Internet zu Satellitennetzwerken mit geschlossenen Gruppen liefern. Ferner sollten "Brute-Force-Anmeldeversuche" detektiert werden.

Gefahr für Institutionen an abgelegenen Orten

Dazu kommen allgemeine IT-Sicherheitshinweise. Zum Einsatz kommen sollen demnach etwa sichere Authentifikationsmethoden, nicht jedoch standardmäßige Login-Daten und schwache Passwörter. Vertrauensbeziehungen im IT-Ökosystem sollten überprüft, eine "unabhängige" starke Verschlüsselung über alle Kommunikationsverbindungen hinweg verwendet werden. Entscheidend seien ferner Notfallpläne.

Spezifische Sektoren, die besonders bedroht sein könnten, nennen die CISA und das FBI nicht. Generell ist die Nutzung der Satellitenkommunikation in den USA weit verbreitet. Schätzungsweise acht Millionen US-Amerikaner sind für ihren Internetzugang auf solche Netzwerke angewiesen. Der IT-Sicherheitsexperte Ruben Santamarta erklärte gegenüber dem Online-Magazin TechCrunch, dass zahlreiche Branchen und Bereiche diese Kommunikationsinfrastrukturen verwendeten. Dazu gehörten die öffentliche Verwaltung, die Luftfahrt, die Medien und das Militär sowie Gas- und Elektrizitätswerke, die sich an abgelegenen Orten befinden.

Erste Angriffe in Europa bereits beobachtet

Die Cyberattacke auf den Anbieter Viasat und sein KA-Sat-Netz für Satelliteninternet im Februar parallel zum bewaffneten Überfall Russlands auf die Ukraine legte die Terminals zehntausender Kunden in Europa lahm. Dieser Vorfall zeigt für Santamarta, welcher Schaden sich anrichten lasse. So wurde etwa auch in Deutschland der Betrieb von rund 5800 Windkraftanlagen eingeschränkt.

Die genauen Umstände des "Cyberereignisses" sind nach wie vor unklar. Westliche Geheimdienste haben Berichten zufolge eine Untersuchung eingeleitet. Experten wie Santamarta gehen davon aus, dass die Störungen in mehreren europäischen Ländern einschließlich Ukraine nur durch einen Angriff auf das zentrale Network Operation Center (NOC) von Viasat zu erklären ist. Den Angreifern ist es so vermutlich gelungen, ein schadhaftes Firmware-Update auf den Terminals zu installieren.

Sicherheitsforscher zur aktiven Unterstützung aufgefordert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte in einem heise online vorliegenden "Sonderlagebericht" zur Ukraine-Krise Ende Februar zunächst nur mit, ihm sei bekannt, "dass es bei einem Betreiber satellitengestützter Kommunikation zu einer Störung gekommen ist". Dadurch könnten "einige Windenergieanlagen" derzeit nicht richtig gewartet werden. "Auswirkungen auf die Stromnetzstabilität sind allerdings aufgrund redundanter Kommunikationsmöglichkeiten der zuständigen Netzbetreiber derzeit nicht zu erwarten."

Weitere Analysen zur Ursache werden laut dem BSI "durch das betroffene Unternehmen im engen Austausch mit den zuständigen Behörden vorgenommen". Parallel habe das Kommando Cyber- und Informationsraum der Bundeswehr Sicherheitsforscher über Twitter dazu aufgerufen, sich an der Absicherung von Kritis, Presse, Organisationen und Behörden zu beteiligen, Schwachstellen zu suchen und diese an die nationalen CERTs (Computer Emergency Response Teams) zu melden. "Cybern" sei kein Spiel, heißt es in dem Tweet.

(bme)