Technik

Kritische Infrastruktur sicher? "Raketen sind effektiver als Cyberattacken"

Cyberwar.jpg

Russische Hacker spionieren oder erpressen in erster Linie, Angriffe auf kritische Infrastrukturen sind möglich, aber nicht sehr wahrscheinlich.

(Foto: imago images/Jochen Tack)

Seit Russland in die Ukraine einmarschiert ist, wächst die Angst vor Cyberattacken auf deutsche kritische Infrastruktur. IT-Sicherheitsexperte Manuel Atug von der unabhängigen AG KRITIS erklärt, warum dies aktuell eher unwahrscheinlich ist und wie gut Betreiber für den Ernstfall vorbereitet sind.

ntv.de: Wie hoch schätzen sie die Gefahr eines russischen Cyberangriffs derzeit ein?

Manuel Atug: Also die Gefahr ist jetzt aufgrund des Krieges schon erhöht, aber sie ist zumindest nicht katastrophal. Das BSI schätzt das aktuell in einer Alarmstufe Orange und nicht Alarmstufe Rot ein. Und das ist es auch: Erhöhte Wachsamkeit und ein genaues Augenmerk sind relevant, aber definitiv keine Panik angebracht.

Das eine ist, warum sollte Putin ein Nato-Land angreifen? Gut, wegen der Sanktionen. Vielleicht würde das rechtfertigen, dass er einen gezielten Cyberangriff durchführt. Wenn ja, worauf? Die höchste Wahrscheinlichkeit, wenn man wirklich jemand stören will, ist eine kritische Infrastruktur anzugreifen und die Produktion langanhaltend, nachhaltig außer Betrieb zu nehmen oder eine Störung zu verursachen, sodass kein Strom, kein Wasser fließt.

Aber wenn das passiert, und zwar langanhaltend, dann gibt es garantiert auch Todesfälle. Und dann wird man relativ nahe bei der Situation sein, dass man einen Nato-Bündnisfall nach Artikel 5 damit verursacht. Ein Cyberangriff kann das bewirken, wird von den Juristen erklärt.

2020_08_HiSolutions-24.jpg

Manuel Atug ist Gründer und Sprecher der unabhängigen AG KRITIS. Der Diplom-Informatiker ist seit über 23 Jahren in der Informationssicherheit tätig und befasst sich ehrenamtlich mit den Themen KRITIS, Hackback, Ethik und Katastrophenschutz.

(Foto: Katrin Chodor Photography)

Ich bin kein Jurist, aber das ist durchaus nachvollziehbar. Und dass Putin jetzt in der aktuellen Phase wegen Sanktionen wirklich so gegen Deutschland vorgeht und sich dabei nach Artikel 5 eine Erweiterung des Krieges mit der Nato einheimst, klingt erst mal nicht so realistisch. Kleinere Störungen oder Ausfälle oder wirtschaftliche Probleme? Ja, das könnte schon eher sein.

Aber was soll ihm das bringen, außer ein bisschen rumnörgeln und stören? Da hat er ja viel bessere Hebel, wenn er Gegensanktionen startet. Also alles in allem bedeutet das, ja, man muss aufpassen, aber es ist nicht kritisch. Und ganz salopp gesagt: Die Dinge, die man jetzt tun muss, an Awareness, an Aufmerksamkeit, an Absicherung, an Prüfung, das sind auch die, die man hätte vorher machen müssen, aus ganz anderen Risiken, die viel immanenter aktuell sind.

Wie gut wären wir denn auf Angriffe vorbereitet?

Also in den kritischen Infrastrukturen gibt es die ganze Bandbreite von schlecht aufgestellt bis gut aufgestellt. Von daher nein, wir sind nicht ausreichend vorbereitet gegen jegliche Bedrohungen und Gefährdungen von kritischen Infrastrukturen.

Wenn man grundsätzlich die Frage stellt, ob eine kritische Infrastruktur so gestört werden kann, dass sie ausfällt und die Versorgung nicht mehr für die gesamte Bevölkerung gegeben ist, ist das definitiv der Fall. Man muss aber zwei Szenarien unterscheiden. Das eine ist, gibt es eine wirtschaftliche Störung wie bei Ransomware-Angriffen, die oftmals dazu führen, dass man Lösegeld zahlen muss oder nicht mehr so richtig arbeiten kann? Sehr oft ist das der Fall. Andersherum ist es aber sehr, sehr selten der Fall, dass dann kein Strom oder kein Wasser mehr fließt.

Das heißt, das sind wirtschaftliche Angriffe, mit denen Cyberkriminelle Geld verdienen wollen. Aber eine echte Störung der Infrastruktur-Versorgungsleistungen war da nicht sehr oft langanhaltend gegeben. Eine Stunde Ausfall kann man immer kompensieren, das ist nicht die Frage. Bei kleineren und mittleren Betrieben, die oft angegriffen werden, sieht es anders aus. Da wird auf Dauer die Produktion gestört und man wird dann eben erpresst.

Und das andere Szenario?

Das sind gezielte Cyberangriffe auf die kritische Infrastruktur. Diese durchzuführen ist extrem schwer, auch bei den schlecht aufgestellten Betreibern. Denn die haben vielleicht schlechte IT-Sicherheit, und das ist auch aus der Sicht der DSGVO, also personenbezogene Daten oder Geschäftsgeheimnisse et cetera grundsätzlich gruseliger. Aber es ist unheimlich schwer, die Produktion wirklich langanhaltend und nachhaltig ausfallen zu lassen.

Wenn man offensive Angriffe fährt - und dabei ist es egal, ob das Russland macht, die Ukraine, Deutschland, die USA oder wer auch immer - ist die Gefahr von Kollateralschäden sehr immanent: durch die Vernetzung, durch die Kettenreaktion, durch die Lieferketten und teilweise die Verbindungen und Abhängigkeiten, die man gar nicht auf dem Schirm hat.

Man weiß nicht, wenn man eine Störung versucht zu verursachen, wo man dann noch eine Störung als Kollateralschaden mitbewirkt. Es ist so komplex, das kann man in der Regel nicht vollständig vorher begutachten und abwägen. Das muss man bedenken, wenn man sagt, wir wollen die Bundeswehr ertüchtigen, wir wollen offensive Cyberabwehr oder Hackbacks.

Es könnte beispielsweise dazu kommen, dass wir durch Bündnispartner, die versuchen, in Russland irgendetwas wegzucybern, wirklich einen Versorgungsausfall in Deutschland haben, weil Kollateralschäden uns die Struktur unter den Füßen weghauen. Das ist die echte Bedrohung, abgesehen von Naturkatastrophen wie im Ahrtal, wo die Bahn beispielsweise noch bis 2025 brauchen wird, um die Infrastruktur wieder aufzubauen. Das sind Totalausfälle. Da hilft auch nicht, ob wir zurückcybern wollen. Das ist alles eine große schöne Powerpoint-Schlacht von Leuten, die vom "Cyberkrieg" erzählen.

Sind da konventionelle Bombenangriffe nicht effektiver?

Das ist, was Putin in der Ukraine gemacht hat. Er hat nicht den Cyberkrieg geführt, alles lahmgelegt und ist dann mit seinen Truppen da hin und hat's übernommen, sondern zu Beginn kam fast gar nichts an offensiven Cyber-Operationen. Und jetzt hat er Bomben, Waffen und Raketen vor Ort und beschießt damit unter anderem die Bevölkerung und tötet Menschen, aber beschießt eben auch kritische Infrastruktur.

Nehmen wir mal das Szenario Wasserwerk. Wenn sie eine Bombe darauf werfen, ist die Wahrscheinlichkeit sehr hoch, dass es so beschädigt wird, dass es nicht mehr produziert. Der psychologische Faktor kommt hinzu, das Militär nennt das Destabilisierung der Bevölkerung von innen. Sie sieht, dass das Wasserwerk beschädigt ist, kein Wasser mehr fließt und Menschen dabei umgekommen sind.

Wenn sie das alles durch einen Cyber-Hack in der Ukraine als Russland gemacht hätten, und es würde wirklich funktionieren und wir klammern all diese Risiken, Probleme und geringfügige Chancen aus. Da steht dann immer noch ein Wasserwerk. Und wenn man dann sagt, ja, Putin hat das weggecybert, dann denken die Leute erst mal, na ja, das Ding funktioniert ja grundsätzlich noch. Meinen Rechner zu Hause muss ich ja auch gefühlt zweimal am Tag neu starten, weil er nicht funktioniert. Also wo ist der Effekt?

Wenn man das ins Verhältnis setzt, sieht man, dass Raketen und Bomben einfach deutlich effektiver sind und leider auch viel wirksamer. So traurig es ist. Und Putin hat ja gezeigt, dass er eine Kriegsstrategie des 19. Jahrhunderts fährt und in der wirkt so was sehr gut.

Wie gefährlich sind die Aktionen von unabhängigen Hackergruppen?

Erstmal muss man sagen, dass sich zum ersten Mal so richtig nicht-staatliche Akteure und Zivilisten in ein Kriegsgeschehen einmischen - aktiv. Militär und Geheimdienste nutzen den Cyberraum vor allem zur Informationsgewinnung, für taktische Vorteile, gegebenenfalls die Strategie des Gegners ausspionieren oder der Akteure, die da auch noch aktiv sind.

Wer im Cyberraum für eine Aktion verantwortlich ist, ist oft schwer zu bestimmen. Es mag aussehen, wie eine Aktion von einer kriminellen Ransomware-Bande, vielleicht steckt tatsächlich aber der Geheimdienst dahinter. Das kann man erst mit Sicherheit beurteilen, wenn man eine Analyse oder eine forensische Bewertung durchgeführt hat und die Attribution eindeutig zuordnet

Attribution ist aber im Cyberraum ungefähr so komplex wie in der Realität. Wenn Sie als Kriminalbeamter in einem Todesfall ermitteln, brauchen Sie dafür manchmal Monate oder Jahre. Manchmal kommen Sie zu keinem Ergebnis oder sogar zu einer falschen Beurteilung. Genau dasselbe geschieht im Cyberraum auch.

Sind das überhaupt homogene Gruppen?

Wir haben beispielsweise die Ransomware-Bande Conti, die gesagt hat, wir stehen hinter Russland. Wer Russland angreift, dessen Infrastruktur wird von uns attackiert. Das ist eine sehr klare Ansage und man ordnet die Gruppe auch eher dem russischen Geheimdienst zu.

Das Blatt hat sich aber ein paar Tage später in dubioser Art gewendet. Einer der Akteure der Conti-Gruppe ist offenbar ukrainischen Ursprungs und fand dieses Statement gar nicht gut und hat einen Leak von über zwei Gigabyte gemacht, wo interne Gespräche, Abstimmungen, Vorgehensweisen, Prozesse, alles über die Gruppe drinsteht. Unter anderem kam so raus, dass Conti umgerechnet mehr als 2 Milliarden Dollar an aktuellem Wert in Bitcoin eingenommen hat.

Diese Gruppen sind also so aufgestellt, dass die einen Mitglieder offenbar sehr Geheimdienst-nah zu sein scheinen, andere aber das krasse Gegenteil sind. Das spricht dafür, dass sie sich selber nicht über den Weg trauen. Es sind Kriminelle, die unterschiedliche Interessen haben. Das einzige, was sie geeint hat, war, dass sie bereit sind, in einer organisierten Kriminalität zusammen zu agieren und Geld zu machen.

Wie sehen die Waffenarsenale der Hacker aus, haben sie mehr Zero-Day-Lücken als das Militär?

Man kann Zero-Day-Lücken natürlich nutzen, aber sie sind teuer und man kann sie nur einmal einsetzen. Danach sind sie öffentlich und damit sozusagen verbrannt. Möglicherweise glaubt man auch nur, andere würden diese nicht kennen, aber in Wirklichkeit ist das gar nicht so.

Tatsächlich relevant sind Sicherheits-Schwachstellen die bei kritischen Infrastrukturen etwa in den letzten drei Jahre veröffentlicht wurden. Denn oft genug schaffen sie auch mit einer drei Jahre alten Sicherheitslücke einen Zugriff auf eine solche Infrastruktur, weil die Betreiber nicht alles immer patchen. Das hat verschiedene Ursachen, aber die gibt es.

Vergangenes Jahr haben wir ja mit den Microsoft Exchange-Schwachstellen Hafnium im März beziehungsweise Log4J im Dezember Sicherheitslücken gesehen, die das BSI beide Male bis zur Alarmstufe Rot eskaliert hat. Alle haben persönlich Anschreiben bekommen und immer noch sind mehrere hundert bis mehrere tausend Systeme in Deutschland noch nicht gepatcht, obwohl diese Bedrohung so krass immanent ist.

Also man hat als Geheimdienst oder Cyberkrimineller eine große Auswahl. Das aber in der Filigraintät der Parameter so weit voranzutreiben, dass es wirklich einen langanhaltenden Infrastruktur-Ausfall gibt, der nicht behebbar ist, ist alles andere als trivial.

Ein Beispiel ist die US-Colonial-Pipeline. Die war ja außer Betrieb und man hat die ganze Ostküste nicht versorgen können. Aber nicht, weil die Produktion gestört war, sondern weil die Abrechnung verschlüsselt wurde und nicht mehr ging. Die haben halt gesagt, bevor wir das umsonst rausgeben, weil wir nicht abrechnen können, sperren wir den Hahn. Der Staat hätte aber jederzeit im Rahmen einer Nationale Krise sagen können, wir übernehmen das, zahlen euch ein paar Milliarden, dreht auf!

Welche Maßnahmen sollten Unternehmen kurzfristig umsetzen?

Genau diese langweiligen Basics sind maßgeblich und nicht ein neues Super-Sicherheits-Erkennung-Produkt, das Angriffe mit KI und Blockchain erkennt. Man braucht grundsätzlich erst mal funktionierende Antiviren-Software und eine Firewall bei der ich sogar sagen kann welche Firewall-Regel was tut.

Konten dürfen nur von Mitarbeiterinnen und Mitarbeitern existieren, die auch wirklich noch hier tätig sind, alle anderen müssen gelöscht werden. Bei denen, die in Elternzeit oder wie auch immer im Sabbatical sind, müssen sie deaktiviert werden. Denn deren Konten können dann nicht missbraucht werden.

Sollte man bei der Digitalisierung vielleicht etwas auf die Bremse treten?

Es kommt darauf an. Wenn man digitalisiert um des Digitalisierns Willen, ohne Kopf, Verstand, Strategie und Sicherheit, dann lieber nicht. Also nehmen wir mal das schöne Beispiel Wasserwerke. Der einzige Grund, der Sinn machen sollte zu digitalisieren, ist, wenn durch die nicht digitalen Prozesse, Automatisierung oder Abläufe die Versorgungssicherheit für die Bevölkerung nicht mehr gesichert werden kann, weil man nicht mehr die Menge produziert, die produziert werden muss, um alle zu versorgen.

Wenn ich diese Schwelle erreiche, brauche ich eine sogenannte Prozess-Automatisierung und Industriesteueranlagen. Die sind dann digitalisiert und damit kann ich dann diese Menge wieder versorgen. Das machen beispielsweise die Stadtwerke in Berlin, die ohne Digitalisierung nicht genug Frischwasser aufbereiten und gewinnen könnten, um die Bevölkerung zu versorgen.

Wenn ich diesen Bedarf nicht habe, muss ich auch nicht in der Produktion digitalisieren. Außer ich gehe hin und sage, wenn ich Digitalisierung und Sicherheit implementierte, ist es immer noch günstiger, als die ganzen Leute vorzuhalten, die ansonsten dafür nötig sind. In der Regel ist es aber eher so, dass durch Digitalisierung Personal und damit Kosten eingespart werden sollen, aber nicht gleichzeitig in die Sicherheit investiert wird. Digitalisierung muss man wie alles andere auch mit Sinn und Verstand machen.

Mit Manuel Atug sprach Klaus Wedekind

Quelle: ntv.de

ntv.de Dienste
Software
Social Networks
Newsletter
Ich möchte gerne Nachrichten und redaktionelle Artikel von der n-tv Nachrichtenfernsehen GmbH per E-Mail erhalten.
Nicht mehr anzeigen