Gesellschaftliche Verantwortung, Open Source und Fachkräftemangel Sind unsere kritischen Infrastrukturen (KRITIS) ausreichend gegen Cyber-Angriffe geschützt?

Von Sascha Lindemann

Anbieter zum Thema

Insbesondere angesichts des Kriegs in der Ukraine und mehr oder weniger offenen Drohungen gehen (westliche) Länder, die die Ukraine unterstützen, mehren sich die Befürchtungen, kritische Infrastrukturen könnten durch Cyber-Angriffe schwerwiegend beeinträchtigt oder gar außer Kraft gesetzt werden (s. Kasten). Die Bedrohungsszenarien wirken immer bedrohlicher und reichen von Angriffen auf Unterseekabel, bis hin zur Lahmlegung von Energieversorgern, Ausschalten von Rechenzentren.

Wie steht es um die Sicherheit von KRITIS-Unternehmen, insbesondere nachdem Beginn des russischen Angriffs auf die Ukraine?
Wie steht es um die Sicherheit von KRITIS-Unternehmen, insbesondere nachdem Beginn des russischen Angriffs auf die Ukraine?
(Bild: EtiAmmos - stock.adobe.com )

Für DataCenter-Insider hat Sascha Lindemann ein Gespräch zur den aktuellen Herausforderungen für KRITIS-Unternehmen mit zwei ausgewiesenen Experten geführt: Dr. Marius Feldman und Holger Berens. Feldmann ist COO der Cloud&Heat Technologies GmbH und CEO der Secustack GmbH. Berens ist Vorstandsvorsitzender des Bundesverband für den Schutz Kritischer Infrastrukturen e. V. (BSKI)

Wie eine kürzlich veröffentlichte Studie von Cisco gezeigt hat, ist etwa die Hälfte der eingesetzten Sicherheitstechnologien in deutschen Unternehmen veraltet und auf Cyber-Vorfälle schlecht vorbereitet. Doch wie sieht es, auch angesichts des Russland-Ukraine-Konflikts, bei den Betreibern kritischer Infrastrukturen (KRITIS) aus, die die Grundversorgung der Bevölkerung gewährleisten? Welchen Sicherheitsstandards unterliegen sie?

„Selbst die Studierenden, die ich an der Hochschule unterrichte, haben teilweise mit rund 18 Jahren keinerlei Bewusstsein, was sie da im Netz machen und die sind demnächst dann in den verantwortlichen Stellen. Genau das ist ein Riesenproblem.“
„Selbst die Studierenden, die ich an der Hochschule unterrichte, haben teilweise mit rund 18 Jahren keinerlei Bewusstsein, was sie da im Netz machen und die sind demnächst dann in den verantwortlichen Stellen. Genau das ist ein Riesenproblem.“
(Bild: Bundesverband für den Schutz Kritischer Infrastrukturen e. V. (BSKI) )

Holger Berens: Normale wirtschaftliche Unternehmen denken bei der Planung der Sicherheits- und Management-Systeme primär betriebswirtschaftlich. Sie führen eine Risiko-Analyse durch und evaluieren die Eintrittswahrscheinlichkeit für ein bestimmtes Bedrohungsszenario und welche Auswirkungen es für das Unternehmen selbst gibt.

KRITIS-Betreiber wiederum müssen in ihren Sicherheitserwägungen die Auswirkungen auf die Versorgung der Bevölkerung vordergründig einbeziehen. Daraus resultieren deutlich höhere Sicherheitsstandards und tiefergreifende Maßnahmen, um (cyber-)sicher aufgestellt zu sein. Bei den entsprechenden Investitionen, die unter das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“ fallen, reicht eine Prüfung nach betriebswirtschaftlichen Vorgaben nicht aus.

Bei kritischen Infrastrukturen müssen mehrere Säulen beachtet werden: Dazu gehören organisatorische Maßnahmen wie das unter das Risk Management fallende Business Continuity Management, um gravierende Risiken für eine Organisation frühzeitig zu erkennen und dagegenzusetzen. Weiter braucht es „State of the Art“-Technik, um die IT und OT zu sichern und zu schützen. Und all das müssen die KRITIS-Betreiber auch überprüfen und gesetzeskonform zertifizieren lassen.

Das klingt und ist in der Theorie äußerst komplex. Wie läuft denn die Umsetzung in der Praxis, sind die KRITIS-Betreiber wirklich so gut vorbereitet?

Marius Feldmann: Die Betreiber nehmen die Sicherheitsthematik angesichts der Tragweite bei Versagen beziehungsweise Nachlässigkeit sehr ernst. Die IT-Sicherheit ist aber auch nicht einfach ein Zustand, den man final erreicht. Vielmehr ist es ein dauerhafter Prozess, zu dem ein dauerhafter Kompetenzaufbau gehört – gemeinsam mit den Akteuren vor Ort.

Neuralgische Punkte gibt es mitunter dennoch auch da, wo man es vielleicht nicht (mehr) erwartet. Am Ende ist selbst ein harmloser, umherfliegender Luftballon in der Lage, beispielsweise ein Umspannwerk und damit die Stromversorgung einer ganzen Region außer Gefecht zu setzen, wie es in Dresden 2021 passiert ist.

Holger Berens: Ein weiteres Beispiel aus der Praxis: Ich führe hin und wieder im Auftrag von Unternehmen gezielte Schwachstellenanalysen durch, einmal bei einem KRITIS-Rechenzentrum, also einem Unternehmen, das BSI-Vorgaben und -Zertifikaten mit allem Pipapo unterliegt. Da ging es um die Frage der physischen Sicherheit, denn was wir nicht vergessen dürfen: Je höher Unternehmen die Sicherheitshürden für Cyber-Kriminelle setzen und so potenzielle Cyber-Angriffe erschweren, desto eher gehen die Angreifer wieder den einfacheren Weg, nämlich physisch, vor Ort.

Daher habe ich bei besagtem Rechenzentrum einen physischen Penetrationstest gemacht. Sie können sich das als Sicherheitssystem mit verschiedenen Ebenen vorstellen, ähnlich einem Zwiebelschalenprinzip, bei dem man sich von außen immer weiter zum Inneren des Rechenzentrums vorarbeiten muss:

1. Ich habe mir im Vorfeld einige Daten und Mitarbeiternamen des Unternehmens über Business-Netzwerke eingeholt. Vor Ort habe ich zunächst den Pförtner gefragt, ob ich zur Toilette gehen kann, was mir nicht verwehrt wurde – und schon hatte ich die erste Hürde überwunden, ohne jegliche sichtbare Mitarbeiterkennung.

2. Als Nächstes bin ich über ein Drehkreuz geklettert, was den Zutritt an sich nur mit einer Chipkarte gewährt. An der Stelle kamen sogar noch Mitarbeitende und fragten, ob das System wieder kaputt sei.

3. Im Anschluss bin ich, vorbei an Büros, Schreibtischen und verlassenen Computern, ohne Probleme bis in den Hochsicherheitsbereich gelangt.

4. An der Tür eines Serverraums angekommen, hinterließ ich eine große Tasche, die ich die ganze Zeit dabei hatte. Da hätte eine Sprengvorrichtung oder wer weiß was drin sein können.

Sie sehen also: Cyber-Zertifizierungen und Co. bringen herzlich wenig, wenn die physische Sicherheit nicht gewährleistet ist. So viel zum Thema ganzheitliche Sicherheit einer kritischen Infrastruktur. Doch ist KRITIs-Unternehmen nicht gleich KRITIS-Unternehmen: Ein Rechenzentrum ist ein geschlossenes System. Es hat daher mit ganz anderen Sicherheitsvoraussetzungen oder Maßnahmen zu tun als ein offenes System, wie es der Schienenverkehr ist oder eben ein Netzbetreiber wie in diesem Fall. Das besagte Unternehmen hat nach der Schwachstellenanalyse nicht schlecht gestaunt und selbstverständlich entsprechende Präventivmaßnahmen umgesetzt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Marius Feldmann: Ganz genau. Es geht auch immer darum, typische Schutzziele, also Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, zu adressieren. Die Krux ist oftmals: Man denkt zu sehr zustandsorientiert und ruht sich auf dem – aktuell – sicheren Stand aus, anstatt die Sicherheit als steten Prozess zu begreifen.

Es geht weniger darum, dass man jetzt alles auf dem Radar hat, sondern dass man angemessen und schnell reagieren kann, wenn irgendwo die ersten Schutzwälle überbrückt werden. Und hier ist definitiv noch Luft nach oben.

Auch Sie haben ein Beispiel parat?

Marius Feldmann: Ein simples Beispiel aus der Praxis: Im KRITIS-Bereich liegen die Kompetenzen zur Reaktion mitunter bei mehreren externen Dienstleistern – und eben nicht in-house oder bei einzelnen Partnern. Das ist dann eine schwierige Voraussetzung, um wirklich effizient reagieren zu können.

Hinzu kommt die Menge der kollaborierenden Dienstleister beziehungsweise Akteure. Wenn viele Dinge parallel abgestimmt und umgesetzt werden müssen, gehen die Prozesse zulasten der Geschwindigkeit und Qualität der Reaktion. Ergänzend müssen hier auch präventive Detection Systems implementiert, reaktive Maßnahmen durchdacht und aufgesetzt werden. Auch hier besteht definitiv Nachholbedarf.

In den vergangenen Monaten mehren sich die Fälle angegriffener IT-Dienstleister und Energieversorger. Teilweise sind jedoch nur einzelne Bereiche betroffen, so zum Beispiel die Website, aber nicht die Energieversorgung selbst. Sind diese Bereiche grundsätzlich immer getrennt und gut genug geschützt?

Holger Berens: Grundsätzlich lautet hier die Devise: Netzwerktrennung, Segmentierung, Segregation, vorausgesetzt, alles wird in-house gemacht. Wenn die Website angegriffen wird, ist dieses Netz kompromittiert, und ggegebenenfalls werden personenbezogene Daten der User entwendet, was natürlich aus Sicht der Datenschutzrechte nicht hinnehmbar ist. Es hat aber keine Auswirkungen auf die Energieversorgung selbst, weil die Angreifer über diese Schwachstelle keinen Zugriff auf das Netz erlangen.

Ein weiteres Stichwort: Identity- and Access Management (IAM); Zero Trust ist im Moment in aller Munde. Man kann drüber streiten, ob das lediglich ein Buzzword ist, aber selbstverständlich brauchen wir ein vernünftiges IAM-System. Zero Trust kann der Weg dahin sein.

Die Thematik ist bei Betreibern und Verantwortlichen zum Glück schon weitgehend angekommen. Wichtig ist aber auch, dass das nach unten in die Belegschaft getragen und dort für Sensibilisierung gesorgt wird. Es geht aber auch nach oben in die Geschäftsführung hinein, die unter Umständen selbst Kompetenzlücken aufweist.

Mitunter bleibt das Bewusstsein leider auf der B-Führungsebene, wo man sich beim Budget Management an der Geschäftsführung manchmal die Zähne ausbeißt. Bei kritischen Infrastrukturen greift hier zum Glück das BSI-Gesetz – die Betreiber sind zu Cyber-Sicherheits-Maßnahmen verpflichtet. Das ist für die Verantwortlichen der Hebel bei der Budgetplanung, um entsprechende Überzeugungsarbeit bei der Geschäftsführung zu leisten. Dies wiederum fehlt bei den „normalen“ Unternehmen.

Marius Feldmann: Genau. Bei der Abwägung, ob man eine Maßnahme einführt, geht es darum, den Aufwand ins Verhältnis zu den weitreichenden Folgen eines Ausfalls zu setzen und nicht bloß um kurzzeitiges auf Sicht fahren.

Lassen Sie uns gerne über den Trend Micro- beziehungsweise Edge-Rechenzentren sprechen. Wie können hier Sicherheitsmaßnahmen umgesetzt werden, wenn sie nicht direkt von KRITIS-Unternehmen betrieben werden?

Dr. Marius Feldmann: „Das Entscheidende ist, dass wir hier wirklich in großen zeitlichen Dimensionen denken.“
Dr. Marius Feldmann: „Das Entscheidende ist, dass wir hier wirklich in großen zeitlichen Dimensionen denken.“
(Bild: Cloud&Heat Technologies )

Marius Feldmann: Ein Rechenzentrum ist ja nicht per se kritische Infrastruktur. Laut KRITIS-Verordnung 2021 (1.5) müssen hierfür bestimmte Voraussetzungen erfüllt sein: Die Leistung ist von 5 Megawatt (MW) auf 3,5 MW reduziert worden, dazu gibt es noch weitere Kennzahlen wie physische Instanzen (10.000) und virtuelle Instanzen (15.000). Wobei auch noch nicht klar ist, wie Verbünde gewertet werden.

Reicht bereits eine Zusammenschaltung von Rechenzentren? Dann könnte es durchaus sein, dass eine Edge-Infrastruktur unter besonderen Bedingungen eben auch durch das Erreichen von in Summe 3,5 MW als KRITIS bewertet würde.

Da ist noch vieles im Graubereich und sicher noch ein intensiver Austausch mit dem BSI nötig. Das kann auch signifikante Implikationen haben, wenn ein Unternehmen viele kleine Einheiten im Bereich Edge-Infrastrukturen aufbaut, also ob eine zentrale Steuerung erfolgt, ein zentrales Management vorliegt usw.

Holger Berens: Das Edge-Beispiel veranschaulicht sehr gut, dass sich eben nicht nur die Bedrohungen ständig ändern, sondern auch die Technik, und die gesetzlichen Regularien. Hier kommen branchenspezifische Anforderungen hinzu. Wir haben auch kritische Infrastrukturen, die im regulierten Markt sind, wo wir nicht nur das BSI haben, sondern beispielsweise auch die BaFin, die im Bereich der BAIT (bankaufsichtliche Anforderungen an die IT) und in der VAIT (versicherungsaufsichtliche Anforderungen an die IT) dezidierte, in manchen Punkten sogar etwas rückständige Vorgaben für die Nutzung von Cloud-Dienstleistungen machen.

Auch hier ist die Technik wieder wesentlich schneller als zum Beispiel die Aufsichtsbehörde des Finanzsektors. Das verursacht definitiv auch Probleme, gerade wenn man im Finanzbereich eine Cloud sicher aufsetzen möchte. Denken Sie mal an die ganzen Neo-Banken, da haben jetzt einige angesichts zu einfacher Konto-Anmeldungen richtig Probleme mit der BaFin wegen möglicher Geldwäsche.

Schritthalten mit der Technik ist ein gutes Stichwort. Welche Rolle spielt hier der IT-Nachwuchs und der oft zitierte Wissensaustausch?

Fachkräftemangel und Open Source

Marius Feldmann: Das ist ein ganz zentraler Aspekt. Die technische Entwicklung schreitet so schnell voran, dass man regulatorisch und in der Aufsicht kaum noch hinterherkommt. Personalmangel verschärft hier zudem die Diskrepanz zwischen der Notwendigkeit, Lösungen mit Entwicklern und IT-Fachkräften bereitzustellen und gleichzeitig die Sicherheitsanforderungen des BSI und anderer Stellen zu erfüllen.

Es gilt, den Motivationsfaktor zu steigern, an interessanten neuen Technologien und Infrastruktur-Lösungen mitzuwirken. Meiner Auffassung nach sollte man auch auf KRITIS-Seite mehr in solche Projekte mit reingehen und aktiv zusammen mit Open Source Communities entsprechende Lösungen ausgestalten.

Holger Berens: Das kann ich voll und ganz unterschreiben. Wir brauchen die Branchenkenntnisse in der Entwicklung, insbesondere auch Verantwortliche im Bereich MaRisk (Mindestanforderungen an das Risiko-Management), die beispielsweise auch aus Sicht eines Wirtschaftsprüfers herangehen und ein internes Kontrollsystem (IKS) etablieren. Das läuft meistens noch aneinander vorbei und das ist ein Problem.

Marius Feldmann: Dieses Domänenwissen hat man derzeit nicht oder zumindest nur im geringen Maße in der technischen Entwicklung. Wir müssen die verschiedenen Welten perspektivisch zusammenzubringen.

Kurzfristige Betrachtungen führen häufig zu schnellen Entscheidungen, aber wir brauchen vielmehr eine langfristige Betrachtung der Dinge. Also einerseits schnelle Lösungen entwickeln, auf der anderen Seite aber das zu einem Dauerthema machen und eben auch langfristige volkswirtschaftliche, gemeinwohlorientierte Perspektiven dabei einnehmen. Da haben wir sicher über die letzten Jahre auch wertvolle Zeit verloren. Ich bin jedoch der Meinung, dass es noch nicht zu spät ist, um Boden gutzumachen.

Wo liegt für Sie noch etwas im Argen, welche Stellschrauben müssen angezogen werden?

Holger Berens: Es gibt drei Aspekte, die ich als Vertreter des Bundesverbands für den Schutz Kritischer Infrastrukturen (BSKI) auch immer wieder in die Community beziehungsweise Branche einbringe.

Erstens: Cyber-Sicherheit verkürzt den Blickwinkel zulasten der Sicherheit vor Ort, das heißt: Wir dürfen auch die physischen Sektoren nicht vergessen, Stichwort: Ganzheitliches Sicherheitskonzept.

Zweitens: Wir haben lokale und regionale Versorger, etwa für Wasser und Energie, die ebenfalls wesentlich sind für die Versorgung der Bevölkerung, die aber nicht unter das IT-Sicherheitsgesetz fallen. Hier wünsche ich mir von Seiten des Gesetzgebers eine wesentlich sinnvollere KRITIS-Strategie, gerade für kleinere Unternehmen.

Und der dritte Punkt: Wir brauchen mehr Fachkräfte. Wir müssen sehen, dass wir schon in der Ausbildung und im Studium anfangen, entsprechende Querkompetenzen zu bilden. Unser Bundesverband startet in Kürze die Initiative „BSKI-Kaninchen“, um bei Kindern das Bewusstsein zu schaffen, wie sie sich sicher im Netz bewegen können. Selbst die Studierenden, die ich an der Hochschule unterrichte, haben teilweise mit rund 18 Jahren keinerlei Bewusstsein, was sie da im Netz machen und die sind demnächst dann in den verantwortlichen Stellen. Genau das ist ein Riesenproblem.

Marius Feldmann: Dem kann ich nur zustimmen. Ich persönlich habe einen Gesamtappell: Wichtig bei der Thematik Cyber-Sicherheit ist die Perspektive, dass wir keine akuten Probleme lösen, sondern dass die Probleme dauerhaft sind. Das Entscheidende ist, dass wir hier wirklich in großen zeitlichen Dimensionen denken.

Dann entstehen wirklich gute Lösungen. Und da ist die Politik gefragt, aber auch die KRITIS-Betreiber, die Mitarbeitenden und perspektivisch die Fachkräfte von morgen.

Ergänzendes zum Thema
NATO baut Cyber Rapid Response Capability auf

Am 29. Juni 2022 hat die NATO in ihrer Gipfelerklärung den Aufbau einer „Cyber Rapid Response Capability“ bekannt gegeben. Alon Schwartz, Cyber Security Researcher, Logpoint Global Services, kommentiert:

„Nach dem Einmarsch Russlands in die Ukraine unternimmt die NATO nun einen entscheidenden Schritt zur Bildung der Fähigkeit, schnell auf Cyber-Bedrohungen reagieren zu können. Cyber-Angriffe umfassen weit mehr als den Diebstahl von Kryptowährungen oder das Ausspähen sensibler Informationen - sie sind echte Waffen. Internationale Anstrengungen dieser Größenordnung sind nötig, um die Sicherheitslage so zu verbessern, dass wir auf neue Bedrohungen vorbereitet sind.

Der Aufbau eines Teams, das bei Bedrohungen im Cyber-Raum schnell reagiert, ist ein Prozess. Es dauert seine Zeit, bis ein solches Team einsatzbereit ist und seine Wirkung entfalten kann. Vor diesem Hintergrund ist es unwahrscheinlich, dass die Ukraine in dem seit fast sechs Monaten andauernden Krieg mit Russland von der neuen Truppe profitieren kann.

Andererseits hat Russland mehrfach erklärt, dass der Krieg nicht mit der Ukraine aufhört. Es ist nicht abzusehen, was als Nächstes passieren wird, daher ist es sinnvoll, sich auf zunehmende Cyber-Angriffe durch Russland - oder andere Akteure, die eine Bedrohung für das NATO-Bündnis darstellen - vorzubereiten.

Die NATO erklärt, dass die Cyber Response Capability über robuste nationale Fähigkeiten verfügen wird, es ist jedoch noch unbekannt, wie diese aussehen werden. Es ist davon auszugehen, dass der Plan darin besteht, standardisierte Sicherheitskontrollen zu schaffen und gemeinsam zu nutzen, nachrichtendienstliche Erkenntnisse über Bedrohungen zu verbreiten und bei Untersuchungen und forensischen Analysen zusammenzuarbeiten. Das ist wahrscheinlich die einzige Möglichkeit, sich auf die ständig wachsende Bedrohung durch Cyber-Angriffe einzustellen, die auch die physische Welt betreffen.“

Artikelfiles und Artikellinks

(ID:48475433)