Am vergangenen Freitag starteten 8,5 Millionen Computer durch ein fehlerhaftes Update in eine Endlosschleife. Ihr Ausfall beeinträchtigte bodenseitig die Flugabwicklung, schränkte Logistikunternehmen ein und bremste den Zahlungsverkehr aus. Der verursachende Softwarehersteller entschuldigt sich für die Unannehmlichkeiten und präsentiert zeitnah einen Bugfix.
Alleine die Arbeitskosten für die Schadensbeseitigung dürften in die Milliarden gehen, der Kollateralschaden in der Wirtschaft und bei den Endkunden liegt noch deutlich darüber. Für das Softwareunternehmen beschränkt sich das Haftungsrisiko lediglich auf die Lizenzkosten und den Aufwand für das Programmieren und Veröffentlichen eines Bugfixes.
Nehmen wir einen Perspektivwechsel vor: Seit 2015 sind ausgewählte Verkehrs- und Logistikunternehmen sowie Infrastrukturbetreiber als versorgungskritisch nach dem IT-Sicherheitsgesetz (IT-SiG) eingestuft und unterliegen damit besonderen Auflagen für den Betrieb ihrer IT-Systeme sowie regelmäßigen Berichtspflichten. Wer als versorgungskritisches Unternehmen gilt, ergibt sich aus den Schwellenwerten der KRITIS-Verordnung. Das sind große ÖPNV-Unternehmen und Logistiker ebenso wie Eisenbahnverkehrsunternehmen, Häfen und Flughäfen.
KRITIS: Aufwendiges Prüf- und Berichtswesen
Durch Definition und Absenkung der Schwellenwerte für versorgungskritische Anlagen und Infrastrukturen sind so zwischen 2017 und 2023 immer mehr Unternehmen in den Anwendungsbereich des IT-SiG gelangt. Das aufwendige Prüf- und Berichtswesen bindet Personal, zunächst einmal ohne einen Sicherheitsgewinn. Bei Verletzung der Berichtspflichten oder Nichtumsetzung vorgeschriebener KRITIS-Maßnahmen nach dem Stand der Technik drohen Bußgelder in Millionenhöhe. Mit der NIS2-Richtlinie werden höhere Bußgelder fällig, mit bis zu zwei Prozent vom weltweiten Umsatz.
Die Mobilitäts- und Logistikbranche nimmt das Thema Cybersicherheit sehr ernst. Aus eigenem Interesse setzen die Unternehmen auf den Einsatz zertifizierter Hard- und Software und regelmäßige Audits. Ihre Unternehmen unterliegen zudem bereits umfassenden Haftungsvorschriften als Hersteller und Betreiber. Mit dem IT-SiG wurde ein einheitliches Sicherheitskennzeichen für Hard- und Software eingeführt, das – ebenso wie andere cybersicherheitsrelevante Zertifikate – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und vergeben wird.
Nach Vorstellung der Branche sollte die Zertifizierung eigentlich dem Prinzip „Security-by-Design“ folgen und einen Werkzeugkasten bereitstellen. Im Idealfall würde sich die Branche aus dem Baukasten zertifizierter Lösungen bedienen. Der Nachweis des durchgängigen Einsatzes dieser Baukastenelemente würde dann in den meisten Fällen ausreichen, um die gesetzlichen Auflagen zu erfüllen. Soweit der Wunsch der KRITIS-Unternehmen und die Theorie.
Zahnloser Tiger der Zertifizierung
Die Praxis sieht anders aus: Das Unternehmen, das für die massiven Störungen der kritischen Infrastrukturen und anderer Unternehmen am 19. Juli 2024 verantwortlich war, wurde im April 2022 vom BSI für seine Softwarekomponente zertifiziert. Nach dem Vorfall droht dem Unternehmen allenfalls ein Entzug der Zertifizierung mit der Aufforderung zur erneuten Zulassung.
Das Beispiel macht das Ungleichgewicht der Kräfte im KRITIS-Bereich deutlich und zeigt, wie zahnlos der Tiger der Zertifizierung ist. Damit das Prinzip von Security-by-Design wirkt, brauchen wir über die reine Zertifizierung hinaus eine klare Regelung zur Herstellerhaftung von Cybersicherheitshard- und software, verbunden mit einer regelmäßigen Qualitätskontrolle und Pönalisierung.
Die betroffene Verkehrs- und Logistikwirtschaft wird nach dem Vorfall vom Wochenende ihre IT überprüfen, denn sie riskiert eine hohe Pönale, wenn sie nicht tätig wird. Im Fall von Crowdstrike bleibt die Mobilitäts- und Logistikwirtschaft auf den Folgekosten sitzen und trägt allein die Risiken. Im Gesetzesrahmen für KRITIS verankerte Haftungsregelungen würden für zertifizierte Anbieter wie Crowdstrike den Druck erhöhen, ihre cyberkritischen und systemrelevanten IT-Komponenten und deren Updates künftig vor dem Rollout nachweisbar und noch genauer zu testen. Und die Einsatzbereitschaft bei den Kunden erhöhen. Das wiederum bedeutet mehr Cybersicherheit für alle.