Kolumne : Mehr Resilienz für Deutschlands IT-Systeme

Wenn über Gefährdungen im Cyberraum und entsprechende Sicherheitsmaßnahmen gesprochen wird, fällt in der Policy-Welt neben dem bekannten „Cybersicherheit“ immer öfter ein anderer Begriff. In Deutschland und auch anderswo ist zunehmend von „Cyberresilienz“ die Rede, häufig wird der Begriff auch synonym verwendet. Passender wäre es jedoch, von der Resilienz digitaler Infrastrukturen oder der Resilienz von IT-Systemen zu sprechen. Damit wird der Begriff auch inhaltlich abgegrenzt von anderen Themenfeldern, wie zum Beispiel der gesellschaftlichen Resilienz gegenüber Desinformationskampagnen. Was aber versteht man unter der Resilienz von IT-Systemen?

Widerstandskraft von IT-Systemen

Der Duden beschreibt Resilienz als „psychische Widerstandskraft; Fähigkeit, schwierige Lebenssituationen ohne anhaltende Beeinträchtigung zu überstehen“. Das allgemeine Konzept der Resilienz findet in verschiedenen Bereichen Anwendung, zum Beispiel in der Biologie oder, wie im Duden angedeutet, in der Psychologie. Auch für IT-Systeme wurde das Konzept der Resilienz angepasst. Eine überzeugende Definition kommt vom nationalen Institut für Normen und Technologie der USA NIST: „The ability to anticipate [vorhersagen], withstand [widerstehen], recover [erholen] from, and adapt [anpassen] to adverse conditions, stresses, attacks, or compromises on systems that use or are enabled by cyber resources.“ Während es bei IT-Sicherheit eher darum geht, ein Schadensereignis – durch Resistenz – zu verhindern, geht es bei Resilienz darum, den eintretenden Schaden so klein wie möglich zu halten. Damit folgt es dem Assume-Breach-Mantra: Die Frage ist nicht, ob ein IT-System kompromittiert wird, sondern wann. Darauf gilt es vorbereitet zu sein.

Ein Schadensereignis vorhersagen

Wer strategische Vorausschau betreibt, kann Meta-Veränderungen in der Gefährdungslandschaft voraussagen. Konkreter geschieht dies durch die Beobachtung und Analyse von Trends und Veränderungen am Lagebild. Auf operativer Ebene sind es die Cybersicherheitsbehörden und Nachrichtendienste — unter anderem aufgrund ihrer Aktivitäten im Ausland – oder IT-(Sicherheits)firmen, die Schadensereignisse verfolgen und gegebenenfalls sogar vorhersehen (können). Im Idealfall können sie potenzielle Ziele warnen und ihre Erkenntnisse teilen, bevor das Schadensereignis eintritt.

Dem Schadensereignis widerstehen

Widerstandskraft, oder Resilienz, heißt hier nicht, keinen Schaden davonzutragen, sondern dessen negative Auswirkungen so gering wie möglich zu halten und abzumildern. Dies kann sowohl präventiv geschehen, unter anderem durch Netzwerksegmentierungen, als auch detektiv, zum Beispiel durch Einbruchserkennungssysteme (IDS), sowie reaktiv, unter anderem durch Vorfallsreaktionspläne und -mechanismen (Incident Response). Dabei können sowohl technische Maßnahmen zum Einsatz kommen als auch analoge Mechanismen wie „Notfalllisten und Stift”, wenn die IT-Systeme nicht mehr funktionieren. Denn: Resilienzmaßnahmen sind domänenübergreifend und finden nicht nur in IT-Systemen Anwendung.

Idealerweise wird trotz Kompromittierung so kein Schaden angerichtet, aber auch die Verringerung des Schadens ist schon ein Erfolg. Ziel ist es vor allem, die kritischen Prozesse – zum Beispiel bei Krankenhäusern den operativen Betrieb – so weit wie möglich zu gewährleisten.

Erholung vom Schadensereignis

Die Erholung vom Schadensereignis bezeichnet die Wiederherstellung der Funktionsfähigkeit informationstechnischer Systeme – angefangen mit denen, die die kritischen Prozesse gewährleisten. Dabei können zum Beispiel Backups zum Einsatz kommen, oder (geo-)redundante Infrastrukturen aktiviert werden, die diese Funktionen übernehmen („Digitaler Zwilling”). Die Bereinigung der IT-Systeme von der Kompromittierung ist auch ein Teil der Erholung vom Schadensereignis.

Anpassung der IT-Systeme

Der letzte Schritt in der Kette der Resilienz ist die Anpassung der Systeme. Hierbei handelt es sich darum, dass Maßnahmen ergriffen werden, um diesen oder ähnlichen Kompromittierungen in Zukunft besser standhalten zu können. Das beinhaltet zum Beispiel das Patchen der Schwachstellen, die ausgenutzt wurden, oder die Verbesserung der Maßnahmen zum Vorhersehen, Widerstehen und Erholen von entsprechenden Schadensereignissen. Grundlage für solche Anpassungen können Evaluationen sein, aus denen sich auch Best-Practices ableiten lassen, die mit anderen Akteuren geteilt werden können.

Resilienz ist gefährdungsagnostisch

Warum sollte man den Fokus auf Resilienz legen? Zum einen, um vorbereitet zu sein für den Fall, dass ein IT-Sicherheitsvorfall nicht durch IT-Sicherheitsmaßnahmen verhindert werden kann. Resilienzmaßnahmen können dann ergänzend dafür sorgen, den Schaden zu begrenzen und den operativen Betrieb so schnell wie möglich wiederherzustellen.

Zum anderen sind Resilienzmaßnahmen größtenteils gefährdungsagnostisch, das heißt, sie wirken nicht nur gegen eine bestimmte, sondern gegen eine Reihe von Gefährdungen: Kriminalität, Spionage und Sabotage im Cyberraum, aber auch Stromausfall, Überflutungen und militärische Operationen.

Der russische Angriffskrieg auf die Ukraine hat noch einmal eindrucksvoll gezeigt, wie wichtig es ist, die Resilienz von IT-Systemen zu erhöhen. Die russische Eroberung von ukrainischen Rechenzentren zum Beispiel hat die Resilienz von Firmen und Behörden vor eine Herausforderung gestellt. Gleichzeitig haben redundante Satellitenverbindungen die Kommunikationsfähigkeit der ukrainischen Sicherheitsbehörden und Streitkräfte erhalten und gewährleistet; und die ukrainische Regierung ist auf die mögliche Fortführung ihrer Regierungsarbeit außerhalb des Landes mithilfe von Datenkopien vorbereitet gewesen. Diese Maßnahmen greifen auch dann, wenn sich eine volatile Gefährdungslage rapide ändert.

Nicht neu, aber von strategischer Relevanz für die (Außen-)Politik

Auf operativer Ebene ist Resilienz weder außerhalb noch innerhalb der Cyberdomäne wirklich neu. Große Teile davon könnten auch unter Business-Continuity-Management verbucht werden.

Wo das Konzept aber immer wichtiger wird, ist die Policy-Ebene, gerade wenn es um das Agenda-Setting und die Prioritätensetzung geht. Hier täte Deutschland gut daran, eine resilienz-fokussierte Haltung in die Nationale Sicherheitsstrategie aufzunehmen. Denn: die Verringerung von Schäden und das Aufrechterhalten des operativen Betriebs sollte auch im Cyberraum Vorrang vor Gegenschlägen und Vergeltung haben. Zusätzlich ermöglicht eine resilienz-orientierte Herangehensweise es den Staaten, die ihre Digitalisierung gerade stark vorantreiben, diese widerstandsfähiger und damit auch nachhaltiger zu gestalten. Je mehr Staaten ihren Fokus auf Resilienz im Cyberraum legen, umso sicherer und stabiler wird er für alle.

Gut zu wissen: Staatliche Resilienz-Zuständigkeiten in Deutschland

Vorhersage

Für die strategische Vorausschau ist in Deutschland die Bundesakademie für Sicherheitspolitik (BAKS) mit ihrem Kompetenzzentrum Strategische Vorausschau eine zentrale Anlaufstelle.Auf staatlicher Seite kommen die Lagebilder, es gibt kein konsolidiertes Lagebild, für den Cyberraum vor allem von:Bundesamt für Verfassungsschutz (BfV): Abschnitt im Verfassungsschutzbericht
Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Lage der IT-Sicherheit in Deutschland
Bundeskriminalamt (BKA): Bundeslagebild CybercrimDer nachrichtendienstliche Vorhersage-Erkenntnisgewinn ist primär in der Zuständigkeit des Bundesnachrichtendienstes (BND) und seinem SIGINT Support to Cyber Defense-Programm.

Widerstehen und Erholen

Für die zusammengefassten Bereiche „dem Schaden widerstehen“ und „vom Schaden erholen“ gibt es auf Bund- und Länderebene eine ganze Reihe von Akteuren, die subsidiären Schutz und Hilfe anbieten. Die originäre Zuständigkeit obliegt natürlich dem jeweils betroffenen IT-Betrieb.

Primärer Ansprechpartner für die Bundesebene und Kritische Infrastrukturen ist das Bundesamt für Sicherheit in der Informationstechnik, unter anderem mit seinem Nationalen IT-Lagezentrum, dem CERT-Bund, seinen Mobile Incident Response Teams (MIRTs). Auf Länderebene sind die Zuständigkeiten heterogen. Dort, wo es, wie in Bayern, ein Landesamt für Sicherheit in der Informationstechnik (LSI), oder, wie in Hessen, beim Hessen3C ein MIRT gibt, wäre dies die erste Anlaufstelle. Da es sich bei Vorfällen oft um Kriminalität handelt, spielen hier auch die Zentralen Ansprechstellen Cybercrime der Polizeien eine zentrale Rolle. Die Zuständigkeiten hängen aber stark von der jeweiligen Cybersicherheitsarchitektur des Landes ab. Wie beim Vorfall im Landkreis Anhalt-Bitterfeld deutlich wurde, kommen je nach Situation auch andere Akteure, wie zum Beispiel die Bundeswehr, in Frage.

Anpassung

Auf strategischer Ebene gibt es in Deutschland kein Gremium, welches aktuell die Aufarbeitung von Vorfällen und daraus abgeleitet entsprechenden (Policy-)Erkenntnisgewinn generiert, wie das zum Beispiel in den USA mit dem Cyber Safety Review Board der Fall ist.

Auf operativer Ebene sollen herausgehobene Vorfälle gemeinsam im Nationalen Cyber-Abwehrzentrum aufgearbeitet werden. Es gibt jedoch keine belastbaren, öffentlich-verfügbaren Informationen, die einen besseren Einblick erlauben.

Für die Vorgaben zur Anpassung der IT-Systeme als Erkenntnis aus Vorfällen, zum Beispiel durch die Erarbeitung von Best Practices und Learnings ist vermutlich am ehesten das BSI mit seinen Technischen Richtlinien, Leitfäden und Mindeststandards die beste Anlaufstelle.

Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung e. V.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Error 404 – Politikwechsel nicht gefunden