Ein wenig gespenstisch war die Situation in Deutschland schon, als hätten wir nicht verstanden, wie verwundbar so ein hochindustrialisiertes Land mit seinen Versorgungsinfrastrukturen eigentlich ist: Obwohl der nachhaltige Schutz dieses essenziellen Parts unserer Gesellschaft seit jeher auch eine zentrale politische Aufgabe darstellt, beginnen wir erst jetzt damit, die Betreiber von sogenannten Kritischen Infrastrukturen (Kritis) zum Einsatz von Systemen zur Angriffserkennung zu verpflichten. Diese Auflage „für eine moderne Cyber-Sicherheit“ findet sich in dem neuen IT-Sicherheitsgesetz (IT-SiG 2.0) und soll ab dem 1. Mai 2023 gelten. Damit findet eine längst überfällige Anpassung an die stark veränderte globale Gefahrenlage nun auch in Deutschland statt.
Dass es hier vorrangig um „Cybersicherheit“ geht, erklärt sich aus dem Umstand, dass nahezu alle, selbst auf den ersten Blick analog erscheinende Infrastrukturen wie das Gesundheitswesen oder der Lebensmittelhandel, digital organisiert werden, also immer auch Daten-Infrastrukturen sind. Das hier zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert sie als kritisch, weil sie systemrelevant sind: Mit ihrem Ausfall oder auch nur ihrer Beeinträchtigung „würden nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten“. Die „Kritikalität von Infrastrukturen“ liegt in den zu befürchtenden schwerwiegenden Störungen in der Versorgungslage Deutschlands.
Mit dem russischen Angriffskrieg hat ein neues Kapitel in der Cybersicherheit begonnen
Vor diesem Hintergrund sollte sich die Dringlichkeit von „Systemen zur Angriffserkennung“, von denen das IT-SiG 2.0 nun erstmals in § 8a (1a) spricht, eigentlich von selbst erschließen. Mit anderen Worten: In Deutschland haben wir bisher unverschämtes Glück gehabt. Denn nicht erst mit dem 24. Februar 2022, dem russischen Überfall auf die Ukraine, hat ein neues Kapitel in der Geschichte der Cybersicherheit begonnen. Russland verfolgt schon lange eine hybride Kriegsführung, für die nicht nur konventionelle, sondern auch digitale Angriffsmethoden immer wichtiger werden. Tatsächlich haben Cyberangriffe gegen Kritische Infrastrukturen in den vergangenen Monaten zugenommen. Eine durchaus komplexe Gemengelage, wie der nähere Blick zeigt.
Machten solche Attacken zuvor noch 20 Prozent aller von Staaten verübten Cyberangriffe aus, so legte der Anteil nach unseren Beobachtungen zuletzt auf 40 Prozent zu. Dieser Anstieg lässt sich zu großen Teilen mit Russlands Strategie erklären, die ukrainische Infrastruktur zu beschädigen, sowie auf Verbündete der Ukraine abzuzielen. Dabei wird vor allem versucht, IT- und Cloud-Dienstleister zu kompromittieren, um auf indirektem Wege an deren Kunden heranzukommen, dazu gehören neben Regierungen und Behörden die gesamte öffentliche Hand. 90 Prozent der russischen Angriffe, die wir beobachten konnten, hatten Nato-Länder zum Ziel, 48 Prozent davon richteten sich gegen die dortigen IT-Unternehmen. Wie sehen die Attacken nun im Einzelnen aus?
Nach unseren Beobachtungen verteilen sich Cyberangriffe gegen Kritis folgendermaßen: Der am stärksten betroffene Sektor ist mit 22 Prozent die Informationstechnik und Telekommunikation, gefolgt von Thinktanks und NGOs (17 Prozent), Universitäten und Labore (14 Prozent), Regierung und Behörden (10 Prozent), Finanzen (5 Prozent), Medien (4 Prozent) sowie Gesundheit und Transport (je 2 Prozent). Insgesamt beobachten wir, dass Cyberakteure nicht nur mehr, sondern auch immer dreister werden. Zum einen, weil die Gemengelage in der geopolitischen Ordnung nach dem Kalten Krieg sehr viel agiler geworden ist, zum anderen, weil sich die technischen Möglichkeiten zur Cyberkriegsführung rasant verbessert haben.
Wachsende Zahl von Cyber-Attacken vonseiten autoritärer Regime bedroht die Öffentlichkeit
Zur Wahrheit gehört allerdings auch, dass Russland nicht das einzige Land ist, das politische und physische Aggressionen mit digitaler Kriegsführung kombiniert. Schauen wir nur einmal über Europa hinaus, dann beobachten wir eine wachsende Zahl von Cyberattacken vonseiten autoritärer Regime, es sind staatliche Akteure vor allem aus China, Iran und Nordkorea. Sie nutzen, was auch Cyberkriminelle verwenden – das Waffenarsenal reicht von DDoS-Attacken über Phishing-Angriffe und Ransomware-Attacken bis zur Ausnutzung von Zero-Day-Schwachstellen. Diese Angriffe vermischen sich übrigens zunehmend mit „Influence Operations“ staatlich kontrollierter Medien und ihrer Ableger, um ihre propagandistischen Narrative und Fake News in den Umlauf zu bringen.
Was ist jetzt zu tun? Der Staat kann nicht allein einen vollständigen Schutz der Infrastrukturen gewährleisten, vielmehr müssen alle Seiten ihre Sicherheit neu denken. Das BSI verpflichtet Kritis-Unternehmen bestimmte Anforderungen zu erfüllen. Dazu gehört, dass ihre IT-Sicherheitsstandards dem „Stand der Technik“ entsprechen müssen. Doch Obacht: Wir haben derzeit einen Mangel an IT-Sicherheitsexpert:innen – das führt zu massiven Problemen bei der Umsetzung dieser Standards sowohl im privaten wie auch im öffentlichen Sektor. Mit dem Mangel geht eine fehlende Risikokultur einher, ein weiteres Großproblem: Das Fehlverhalten von Mitarbeiter:innen ist immer noch das größte Einfallstor für Cyberangriffe in allen Industrien.
Da wir es heute zunehmend mit komplexen Cloud-Infrastrukturen zu tun haben, benötigen wir für die geforderte Angriffserkennung geeignete Systemlösungen. Laut BSI geht es hier zum einen um eine fortlaufende Auswertung von sicherheitsrelevanten Ereignissen; zum anderen um Maßnahmen zur Verhinderung von Störungen infolge von Angriffen. Dafür gibt es längst bewährte, auch KI-gestützte Lösungen – sie wären geeignet, den erwähnten Fachkräftemangel zumindest in Maßen durch Automatisierung auszugleichen. Vor uns liegt eine große Herausforderung: Über ein Jahrzehnt der Versäumnisse und des Leichtsinns liegt hinter uns. Wir haben keine Zeit mehr zu verlieren und unser Glück wahrlich lange genug strapaziert.
Stratos Komotoglou ist Cybersicherheitsexperte bei Microsoft Deutschland
