"Die Sicherheitslage ist angespannt," kommentiert Kay Tidten, Fachgebietsleiter IT-Sicherheit beim Bundesverband für Energie- und Wasserwirtschaft, auf einer Presseveranstaltung zu kritischen Infrastrukturen (KRITIS). Die Angreifer seien zunehmend professionell und hätten Zugriff auf beachtliche Ressourcen. Das liege auch daran, dass es sich nicht nur um Kriminelle, sondern auch um staatlich gelenkte Hacker handle. Als vorherrschende Angriffsarten nennt er Krypto-Trojaner (Ransomware) und Social Engineering.
Insbesondere Ransomware sei zu einem lukrativen Geschäftsmodell geworden, ergänzt Michael George, Leiter Cyber-Allianz beim Landesamt für Verfassungsschutz. "Daten sind wertvoll und das haben auch ganz gewöhnliche Cyberkriminelle mitbekommen," führt er aus. Daher steige die Bedrohungslage analog zur Vernetzung und Digitalisierung - auch jenseits politisch motivierter Angriffe.
Kommt der Blackout? - Jein
Auf die Frage von Moderator Oliver Rolofs, ob angesichts dieser Vorzeichen das Horrorszenario eines totalen Blackouts wahrscheinlich sei, lautete die Antwort: Jein. Die Vernetzung kritischer Infrastrukturen in Deutschland sei zwar so intensiv, dass die Angriffsfläche relativ groß sei, so George. Allerdings sei die Interdependenz der einzelnen Systeme noch nicht so ausgeprägt, dass ein gehacktes Versorgungsunternehmen einen Kaskadeneffekt nach sich ziehen würde.
Dennoch dürfe das Risiko nicht unterschätzt werden. Jeder intelligente Stromzähler in den Haushalten sei ein potenzielles Einfallstor und die Systeme müssten daher bestmöglich geschützt werden. Da eine hundertprozentige Absicherung aber nicht möglich sei, rät George dazu, die Resilienz für den Fall eines erfolgreichen Angriffs zu erhöhen. Die konsequente Entkoppelung kritischer Systeme sei eine Möglichkeit, "wobei dadurch natürlich gewollte Lücken in der Infrastruktur entstehen, die Arbeitsprozesse komplizierter und langsamer machen," spricht George aus eigener Erfahrung. Beim Verfassungsschutz seien externe und interne Netze komplett getrennt wegen der hochsensiblen internen Informationen.
Kay Tidten sieht es in diesem Zusammenhang als positiv, dass hierzulande alle Energienetzbetreiber - auch die kleinen - als kritisch eingestuft seien und damit denselben strengen Sicherheitsvorgaben entsprechen müssten. Ob dadurch der Sicherheitsstandard bei kommunalen Versorgern ebenso hoch sei, wie bei E.on, RWE, ENBW und Co., hänge jedoch von den verfügbaren Ressourcen ab. Eine enge Zusammenarbeit und Vernetzung der Unternehmen untereinander sei enorm wichtig, um die begrenzten Mittel für die Bekämpfung aktueller Bedrohungen bündeln zu können.
Zu scheu und zu misstrauisch
Bezüglich der Zusammenarbeit sieht Verfassungsschützer George jedoch ein Problem: Unternehmen scheuten sich, bei IT-Zwischenfällen Rat von außen zu suchen. "Es kostet die Verantwortlichen Überwindung," konstatiert er und führt aus, dass beispielsweise börsennotierte Unternehmen Angst vor einem Kurstabsturz hätten und daher bemüht seien, das Datenleck oder den Angriff zu verheimlichen.
Dabei könnten der Verfassungsschutz und andere Organisationen helfen, einen Wissensaustausch zu etablieren - auch unter Wahrung der Anonymität. Ähnlich, wie es auch schon Googles "Security Prinzessin" Parisa Tabriz auf der Black Hat USA 2018 forderte, sprechen sich George und Tidten für eine enge und rege Zusammenarbeit der Unternehmen aus. Nur so könne langfristig das Sicherheitsniveau angehoben werden.
Um das zu realisieren, müssen die Betroffenen jedoch vertrauen zu ihrem jeweiligen Ansprechpartner haben - sei es nun im Verband oder an einer öffentlichen Stelle. "Bei Cybersecurity geht es um das Innerste," stellt George fest. Daher müsse ein Vertrauensanker geschaffen werden und das gehe nur im persönlichen Gespräch. Ein Austausch gelinge bisher aber allenfalls auf Länderebene, staatliche Stellen auf Bundesebene ständen im Ruf schwerfällig und unnahbar zu sein. Tidten sieht zudem eine Herausforderung in den unklaren Zuständigkeiten der Staatsorgane, die im schlimmsten Fall zu einem Kompetenzgerangel führen könnten.
Der Mensch ist ein Unsicherheitsfaktor
Überwinden sich Unternehmen und suchen Rat, so offenbart sich eine weitere Herausforderung: der unterschiedliche Reifegrad der Cyberabwehr. Dieser ist laut George "teils desolat, teils aber auch sehr gut." Vor allem im Mittelstand liege manches im Argen. Große Konzerne agierten professioneller, auch weil sie professioneller darangingen, gesetzliche Vorgaben einzuhalten.
Sicherheit ist laut Tidten, anders als die Digitalisierung, kein gesellschaftliches Thema. Es gebe eine Verständnislücke zwischen der Einführung neuer Technologie und den nötigen Security-Maßnahmen.
Nach George kommt es nicht zuletzt auf menschliches Verhalten an. Ein Großteil der geglückten Angriffe seien auf Social Engineering zurückzuführen. Phishing-E-Mails und C-Level-Fraud seien prominente Einfallstore, da durch die zunehmende Vernetzung aller Lebensbereiche die menschliche Schnittstelle prominenter auf dem Radar der Aggressoren erscheine.
Darum sieht der Verfassungsschützer den Menschen als einen essenziellen Teil des "Dreiklangs" für eine gute IT-Sicherheitsstrategie, bestehend aus IT, Prozessen und Mitarbeitern. Wenn auch nur einer dieser drei Faktoren schlecht aufgestellt sei, öffne ein Unternehmen Angreifern Tür und Tor.
Bezüglich der Mitarbeiter sollten Unternehmen mit Informationsveranstaltungen und Schulungen für die nötige Sensibilität gegenüber möglichen Angriffen sorgen. Ein wachsamer Mitarbeiter, dem die Ausmaße eines versehentlichen Klicks auf eine Phishing-Mail bekannt sind, werde sich höchstwahrscheinlich eher an die geltenden Vorgaben und Prozesse halten.
Besagte Prozesse sollten demnach auch klar definiert und eindeutig sein. C-Level-Fraud könne beispielsweise schon durch die simple Einhaltung der doppelten Freigabe aller Transaktionen durch zwei unterschiedliche Führungskräfte unterbunden werden.
In Sachen IT sei ein guter Grundschutz nach BSI unabdingbar. Von dieser soliden Grundlage aus könne dann weiter ausgebaut werden. Dabei sollte vom traditionellen Vorgehen, den Hacker unbedingt aus dem Netzwerk auszusperren, abgerückt werden. "Wenn wir immer höhere Mauern bauen, bauen die Hacker noch höhere Leitern. Das ist ein Wettrennen, das wir nicht gewinnen können," stellt George fest.
Die Angreifer hätten alle Zeit der Welt, den Perimeter zu durchdringen, während die Unternehmen im Gegenzug keine Zeit hätten, darauf zu reagieren. Stattdessen sollte eher auf Mechanismen gesetzt werden, um Angreifer schnell zu entdecken und unschädlich zu machen. Um kritische Schäden zu verhindern führt er noch einmal die Trennung sensibler Infrastrukturen vom Rest des Netzwerks an und unterstreicht erneut die Wichtigkeit der übergreifenden Zusammenarbeit der Unternehmen.
Um dies noch zu untermauern, verweist George darauf, dass der Verfassungsschutz kürzlich einem Münchner Automobilbauer bei einem Angriff völlig neuen Typs geholfen habe. Die Erkenntnisse wurden dann anonymisiert an andere Hersteller weitergegeben und damit sei das generelle Sicherheitsniveau in der Branche angehoben worden, da sich alle dagegen schützen konnten. "So etwas spricht sich herum," schließt George. "Damit wird das Vertrauen in die Zusammenarbeit untereinander und mit Organisationen wie dem Verfassungsschutz ausgebaut und gestärkt."
D'Artagnan statt Hiob
Das Bedrohungspotenzial im KRITIS-Sektor steigt zunehmend durch neue Angriffsvektoren aufgrund der fortschreitenden Digitalisierung, der Gefahr durch politisch motivierte, staatlich gelenkte Großattacken sowie die Angreifbarkeit über die "Schwachstelle Mensch". Das bedeutet aus Sicht der Experten aber keineswegs, dass man kapitulieren müsse.
Offenheit und Zusammenarbeit könne helfen, um den Gefahren die Stirn zu bieten - und das gilt branchen-, sektoren- und auch länderübergreifend. Wenn Behörden, Unternehmen und Organisationen nach dem Musketier-Prinzip "Einer für alle, alle für einen" agieren, kann der Blackout, den derzeit alle für möglich halten, vielleicht doch noch verhindert werden.