Kritische Infrastruktur : Das Internet als Kritische Infrastruktur

Unsere Welten und unsere Identitäten – virtueller und physischer Art – verschmelzen immer mehr. Laut Statista nutzt mittlerweile mit 67 Millionen Nutzern die absolute Mehrheit der Deutschen täglich das Internet, um zu kommunizieren, sich mit Konsumgütern zu versorgen und sich zu informieren. Wer also versucht, eine strikte Trennung zwischen dem Internet und der „echten Welt“ beizubehalten, agiert an der Wirklichkeit vorbei. Zweifelsohne hat das Internet sich in unseren Leben in vielen Bereichen als Kritische Infrastruktur etabliert. Entsprechend ist der Schutz unserer digitalen Infrastrukturen wichtiger denn je.

Umso besorgniserregender ist es, dass die Cyberbedrohungslage, laut dem jüngsten Bericht des BSI, so hoch ist wie nie zuvor. Dabei hat sich eine Art von Cyberangriff in den vergangenen Jahren so gefährlich schnell weiterentwickelt, dass sie im kommenden Jahr zur größten Bedrohung für Unternehmen avancieren könnte: Ransomware-Attacken. Der geschätzte Schaden durch Ransomware hat sich von etwa 5,3 Milliarden Euro im Jahr 2019 auf 24,3 Milliarden im Jahr 2021 fast verfünffacht . Nahezu täglich berichten die Nachrichten von neuen Ransomware-Angriffen, bei denen für das Geschäft essenzielle Daten von Cyberkriminellen verschlüsselt und nur gegen Lösegeld wieder freigegeben werden.

Vertraue niemandem, nicht einmal dir selbst: Das Zero-Trust-Modell

Nicht selten verschaffen sich Kriminelle über Laptops von Mitarbeitenden Zugang zu einem Unternehmenssystem. Einmal drin, werden Daten so verschlüsselt, dass sie für das Unternehmen nicht mehr nutzbar sind. Und auch wenn Informationssicherheitsspezialisten noch rechtzeitig reagieren und den befallenen Rechner schnell vom System trennen können, müssen alle Server und Systeme genau auf sogenannte Backdoors (also Hintertüren) untersucht werden. Diese werden von Angreifenden im System hinterlassen, um sich den erneuten Zugang zu vereinfachen.

Ein erprobtes Mittel, um solche Angriffe zu verhindern, sind Informationssicherheitsmanagement-Systeme (ISMS), die mit einer stringenten Zero-Trust-Strategie aufgeladen sind. Während die ISMS dafür zuständig sind, einen Basis-Schutz zu gewährleisten und die gängigen Einfallstore von Cyberkriminellen zu schließen, soll Zero-Trust die Konsequenzen von menschlichen Fehlern abmildern. In der Tat sind ISMS für Unternehmen und Institutionen der Kritischen Infrastruktur bereits vorgeschrieben und nach internen Schätzungen bei msg nutzen sie bereits 60 bis 70 Prozent der Unternehmen in Deutschland. Gefahr erkannt, Gefahr gebannt? Nicht ganz.

Identitäten und Social-Engineering

Wo Menschen arbeiten, entstehen Fehler. Das gilt erst recht, wenn sie sich durch ausgeklügeltes Social-Engineering von Kriminellen in falscher Sicherheit wähnen oder unter Druck gesetzt fühlen. Hier beginnt der Schutz von herkömmlichen Sicherheitsmaßnahmen zu bröckeln. Rufen Cyberkriminelle etwa bei Mitarbeitenden eines Unternehmens an und geben sich als Systemadministratoren aus, ist es durchaus denkbar, dass die Mitarbeitenden sich aus freien Stücken authentifizieren und den Cyberkriminellen Informationen oder Daten liefern, die ihnen schließlich das Eindringen in die Systeme des Unternehmens ermöglichen. Umfassende Awareness-Maßnahmen, die Mitarbeitende für solche Gefahren sensibilisieren sowie weiterführende Zero-Trust-Maßnahmen sind also unabdingbar.

Noch eine Frage bleibt offen: Wie sollen Unternehmen agieren, wenn Kriminelle sich den Zugang zu den Systemen nicht durch Hacking, sondern auf direktem Weg erschleichen? Eine valide Gefahr, für die sich insbesondere Unternehmen und Institutionen der Kritischen Infrastruktur wappnen müssen, sind Kriminelle, die über eine Anstellung ihren Weg ins Unternehmen finden. So wird ihnen ein scheinbar legitimer Zugang zu den IT-Systemen gewährt, den sie nach Belieben ausnutzen können. Es ist gut möglich, dass Angriffe dieser Art in der angespannten globalen Lage künftig noch weiter zunehmen werden. Unternehmen und Behörden werden Bewerberinnen und Bewerber also noch gründlicher durchleuchten müssen, um sich vor Attacken zu schützen, die nach erfolgter Anstellung aus dem eigenen Hause kommen könnten.

Allein chancenlos: Unternehmen benötigen staatliche Hilfe

Wichtig ist, dass der Staat beginnt, unsere Datenautobahnen zu pflegen. Zwar sind bereits einige Gesetze in Kraft oder in der Ausarbeitung, die Unternehmen dazu zwingen, ihre digitale Infrastruktur besser zu schützen. Es gibt allerdings auch Attacken, gegen die einzelne Unternehmen oft schlicht machtlos sind. Dazu gehören DDoS-Angriffe, die Unternehmen schon häufig massive wirtschaftliche Schäden zugefügt haben. Hier wäre die staatlich wirkende Kraft vonnöten, um solchen Angriffen, die sich steigender Beliebtheit erfreuen und auch 2023 weiter für Aufruhr sorgen werden, an zentralen Stellen, nämlich den Datenautobahnen, zu vereiteln. Dabei könnte es sich zum Beispiel um eine Verpflichtung für Betreiber der Datenautobahnen handeln, Vorkehrungen zu treffen um Angriffe wie DDoS an den zentralen Netzknoten oder Übergängen zu verhindern und zwar ohne Mehrkosten für die angeschlossenen Unternehmen oder Organisationen.

Mit dem Cyber Resilience Act sowie dem angekündigten Kritis-Dachgesetz gehen EU und Deutschland wichtige Schritte auf dem Weg zu mehr Cybersicherheit. Doch im kommenden Jahr werden Unternehmen und Institutionen ihre eigene Datensicherheit mit Argusaugen beobachten müssen, um die anstehenden Turbulenzen zu überstehen.

Jens Westphal ist Bereichsleiter bei MSG Security Advisors und unter anderem in den Feldern Public Sector und Kritische Infrastrukturen tätig.