Es fehlt an Risikobewusstsein, Geld und Mitarbeitern Wie gefährdet sind KRITIS-Unternehmen durch Cyber-Angriffe tatsächlich?

Hat der aktuelle russische Angriffskrieg gegen die Ukraine die IT-Sicherheitssituation bei den deutschen Betreibern kritischer Infrastruktur verschlechtert? Tun Regierung und Unternehmen genug zu ihrem Schutz? Und wie ist das Thema derzeit in Politik und Verwaltung aufgehängt? Mit solchen Fragen hat sich ein Panel im Presseclub München befasst.

Anbieter zum Thema

Rosenberger-OSI GmbH & Co. OHG

AixpertSoft GmbH

Fujitsu Technology Solutions GmbH

Deep Instinct (UK) Limited

Stadtwerke München GmbH

IT-Sicherheit ist in aller Munde. Immer wieder wird auf die Gefahr von durch Hackern verursachten Stromausfällen hingewiesen. Wie sieht es angesichts dessen mit der IT-Sicherheit bei den Unternehmen der kritischen Infrastruktur aus?

Darüber haben im Münchner Presseclub jüngst sachkundige Spezialisten und Praktiker diskutiert. Die Moderation hat Oliver Rolofs, Consultant sowie Mitgründer und Managing Partner bei Connecting Trust übernommen.

Mehr Angriffe bereits seit 2014

Zunächst beruhigend: Der aktuell tobende Ukraine-Krieg hat bislang keine hohe Welle neuer Cyber-Angriffe auf die Betreiber kritischer Infrastrukturen ausgelöst. Reinhard Brandl, digitalpolitischer Sprecher der CDU/CSU-Fraktion im Bundestag, wegen positiven COVID-Befundes nur per Video zugeschaltet: „Es gibt derzeit kein sprunghaftes Wachstum bei den Angriffen.“

Dann kommt die Relativierung: Vielmehr registriere man bereits seit 2014, als die ukrainische Halbinsel Krim von Russland annektiert wurde, spürbar mehr Cyber-Angriffe mit vermutlich russischer Quelle. In der Ukraine sehe das anders aus.

Dort hatten Hacker kürzlich beispielsweise bereits das Stromnetz für 1,5 Millionen Menschen für mehrere Stunden abgeschaltet. Auf Deutschland gebe es bisher keine gezielten Angriffe, sagt Brandl. „Allerdings gibt es Kollateralschäden. Beispielsweise wurde ein Satellitensystem angegriffen, das auch deutsche Windparkbetreiber bedient.“

Beim russischen Energieriesen Rosneft, der in Deutschland drei Raffinerien betreibt, gelang es der Hackergruppe Anonymus, Daten zu entwenden, die dann online gestellt wurden. Das zeige, dass politisches Hacking durchaus passiere.

Softwarebaukasten für Angriffe auf Stromnetze entdeckt

Außerdem habe man erst kürzlich in den USA den Software-Baukasten „Pipe Dream“ entdeckt, ein System, mit dem sich bösartige Applikationen für Attacken auf Strom- und andere Infrastrukturen unkompliziert zusammenstricken lassen. „Diese Software war anscheinend bislang nicht im Einsatz, wird aber wohl verwendet werden“, meint Brandl.

Dieses Gesamtbild bestätigte auch ein Vertreter des bayerischen Cyber-Allianz-Zentrums im Bayerischen Landesamt für Verfassungsschutz. „Wir waren angesichts des Ukraine-Krieges von vielen Cyber- und IT-Angriffen auf Deutschland ausgegangen. Bisher gab es Angriffe vieler Kleingruppen aus dem Hackermilieu, doch jetzt sehen wir zum ersten Mal Anzeichen, dass diese mit Nachrichtendiensten in Verbindung stehen.“ Das Zentrum versende regelmäßig entsprechende Warnmeldungen an Unternehmen, Forschung und staatliche Institutionen. Die meisten erfolgreichen Angriffe seien aber auf Social Engineering und fehlende Vorsicht zurückzuführen.

Der Bund soll bei großen Cyber-Angriffen eingreifen

Reichen die bisherigen Vorkehrungen? Daran gibt es erhebliche Zweifel. Deutschland leide, so Brandl, an einem fehlenden rechtlichen Rahmen für eine bundesweit aktive Cyber-Abwehr. Damit, so stellte Brandl klar, ist nicht das heiß diskutierte Backhacking gemeint, sondern vor allem die Unterbindung laufender Angriffe sowie herauszufinden, wer eigentlich für einen Angriff verantwortlich sei.

„Derzeit ist bei einem groß angelegten Cyber-Angriff die Polizei des jeweiligen Bundeslandes zuständig und damit überfordert“, erklärt Brandl. Wie er betont, denke so auch Bundesinnenministerin Nancy Faeser. Nötig sei es, dass der Bund bei großen Cyber-Angriffen für die Abwehr zentral zuständig sei.

Allerdings benötige das wegen der derzeitigen föderalen Verfassungsbestimmungen eine Grundgesetzänderung. Die kann bekanntlich nur mit Zwei-Drittel-Mehrheit beschlossen werden. Es stimmt hoffnungsfroh, dass Innenministerium und Opposition hier augenscheinlich an einem Strang ziehen.

Software: Security-by-Design-Gesetz sinnvoll

Sinnvoll sei, so Martin Braun, Geschäftsführer des Allgäuer Beratungsunternehmens Cybersecurity-Manufaktur außerdem ein Security-by-Design-Gesetz, das Unternehmen zwinge, Sicherheit von vorn herein in die Software hineinzuschreiben. Zudem fehle es auch an Mitteln, so Brandl. So würden die 100 Milliarden Euro, die Kanzler Scholz für Verteidigungszwecke zugesagt hat, wohl kaum in Cyber-Sicherheit fließen.

Über die IT-Sicherheitssituation eines großen kommunalen IT-Infrastrukturdienstleisters berichtete Dr. Jörg Ochs, Leiter Informationstechnik bei den Stadtwerken München. Dort sind etwa 50 Mitarbeiter mit dem Thema Sicherheit befasst.

Stadtwerke München nutzen Security-by-Design-Ansätze

Die 800 Software-Entwickler des Unternehmens sind dazu angehalten, Sicherheitsfunktionen direkt in die Software einzubauen. Außerdem gibt es interessante Projekte: So arbeitet das Unternehmen daran, eine preisgekrönte KI-gestützte Software, die Leckagen in Wassernetzen akustisch erkennt, jetzt auf Stromnetze anzupassen.

Im Übrigen bemühe man sich, sich technisch auf Angriffe auf oder über die Infrastruktur vorzubereiten. So habe man 2015 im Gefolge der Krim-Annektion zusammen mit dem TÜV Süd einen Wasserversorger IT-technisch simuliert und innerhalb der Installation diverse Honeypots aufgebaut, also scheinbar lohnende Angriffsziele. Tatsächlich seinen Angreifer der Prozessebene erstaunlich nahe gerückt.

In München lebt es sich ausfallsicher

Trotz alledem können sich Münchner übrigens laut Ochs übrigens relativ sicher fühlen: Das öffentliche Wassernetz brauche wegen des Gefälles zwischen den Wassergewinnungsgebieten im Voralpenland und München keine Pumpen. Das Fernwärmenetz sei personell und technisch im Notfall auf Handbetrieb ausgelegt.

Das Stromnetz der Stadt, meist das größte Sorgenkind im Infrastrukturbereich, dürfe, so Ochs, bei großflächigen Netzstörungen abgetrennt und als Insel betrieben werden. So würde der Strom nach etwa sechs Stunden auch bei überregionalen Störfällen wieder fließen. Und das Gasnetz? Das verfüge über einen der Stadt gehörenden Speicher, der immerhin Gas für einen Monat bereithält.

Das Management nimmt Sicherheit oft nicht wichtig genug

So günstig wie in München sind die Verhältnisse allerdings längst nicht überall. Martin Braun, Geschäftsführer des Allgäuer Beratungsunternehmens Cybersecurity-Manufaktur, berät viele kleinere Gemeinden und Unternehmen auch aus dem KRITIS-Bereich zu Cyber-Sicherheitsthemen. Grundsätzlich fehle es in vielen Unternehmen und öffentlichen Institutionen an Risikobewusstsein, Geld und Mitarbeitern, um Cyber-Sicherheit zu implementieren.

Das Erkennen von Schwachstellen dauere zu lange und das Management sei überfordert – beispielsweise sei es die Aufgabe von Fachbereichsleitern oder dem höheren Management, Wertschöpfungspotentiale und damit die wirklich kritischen Prozesse zu erkennen. Daran fehle es aber häufig.

KI in der IT-Sicherheit

Das bestätigte auch Ralph Kreter, deutscher Geschäftsführer des IT-Sicherheitsspezialisten Deep Instinct, der eine KI-basierte IT-Sicherheitslösung anbietet. „Technische Investitionen allein nutzen nichts“, meint er.

Leider verteidigten sich viele Unternehmen noch mit den selben Mitteln wie vor 20 Jahren. Besonders gefährdet seien Mittelständler, aber auch Krankenhäuser. Andererseits seien kleine Unternehmen teilweise auch im Vorteil, dort herrsche noch eine „hands-on-Mentalität“ oder man nutze gute externe Dienstleister.

Behördenwirrwarr und Überregulierung schaden der Sicherheit

Als wenig förderlich wird auch das Behördenwirrwarr empfunden. In Deutschland kümmern sich mittlerweile mehrere Dutzend teils miteinander konkurrierende Instanzen auf Bundes- und Länderebene um das Thema. Ochs: „Die Behörden machen sich teilweise sogar Konkurrenz.“ Außerdem neige man in Deutschland zur Überregulierung, etwa im Datenschutz.

Dazu brachte er ein Beispiel. So wolle sein Unternehmen nun die digitale Unterschrift realisieren. Doch die etablierte und fachlich anerkannte Software „Adobe Sign“ dürfe man in Deutschland nicht verwenden, weil dabei Daten in ausländischen Rechenzentren gespeichert werden. Ochs: „Stattdessen müssen wir nun aus Compliance-Gründen eigene Software programmieren.“

Personalakquise mit unkonventionellen Mitteln

Was die knappe Personalsituation im IT-Bereich angeht, empfiehlt Ochs, unkonventionelle Wege zu gehen: etwa Bootcamps für Quereinsteiger durchzuführen In seinem Unternehmen läuft gerade eines für das Thema SAP. „Wir hoffen ab August 15 von 20 Teilnehmern und Teilnehmerinnen als Festangestellte übernehmen zu können“, sagt er.

Die IT-technische Ausbildung müsse sich stärker an den Anforderungen orientieren, richtete sich Braun an die Industrie- und Handelskammern. „Es gibt neben den fachinformatischen Berufen Systeminformatiker und Anwendungsentwickler noch immer keine Spezialisierung für Sicherheit – die Systeminformatiker befassen sich zudem noch immer vor allem mit Netzkabeln.“ Auch Brauns Unternehmen bildet für seine Kunden gezielt aus und weiter.

Regelmäßig üben wie bei der Freiwilligen Feuerwehr

Es gibt also viele Baustellen. Doch wäre es vielleicht schon ein guter Anfang, so zu beginnen, wie Kreter vorschlägt: „Jede Freiwillige Feuerwehr übt regelmäßig, um gewappnet zu sein. So sollte es auch bei der Cybersecurity laufen.“

(ID:48291056)