Droht Deutschland ein Blackout?
Mit zunehmender Vernetzung und Digitalisierung sind die kritischen Infrastrukturen (Kritis) in Deutschland gefährdet.
Ransomware, Social Engineering und Cyberwar beschäftigen IT-Security-Verantwortliche in Unternehmen und Behörden. Dabei geht es auch um die Frage, ob kritische Intrastrukturen hierzulande gefährdet sind. Droht ein Blackout?
Kay Tidten, Fachgebietsleiter IT-Sicherheit beim Bundesverband der Energieund Wasserwirtschaft, hält die Sicherheitslage für „angespannt“. Auf einer Presseveranstaltung sagte er, die Angreifer würden professioneller und hätten Zugriff auf beachtliche Ressourcen. Das liege auch daran, dass es sich nicht nur um einfache Kriminelle, sondern auch um staatlich gelenkte Hacker handle. Als vorherrschende Angriffsarten nannte er KryptoTrojaner (Ransomware) und Social Engineering.
Vor allem Ransomware sei zu einem lukrativen Geschäftsmodell geworden, ergänzte Michael George, Leiter des Cyber-Allianz-Zentrums (CAZ) beim Bayerischen Landesamt für Verfassungsschutz. Auf die Frage, ob das Horrorszenario eines totalen Blackouts wahrscheinlich sei, lautete seine Antwort: Jein. Kritische Infrastrukturen in Deutschland seien zwar so intensiv vernetzt, dass die Angriffsfläche relativ groß sei. Andererseits hingen aber die Systeme gegenseitig nicht so voneinander ab, dass etwa ein gehacktes Versorgungsunternehmen einen Kaskadeneffekt nach sich ziehen würde.
Stromzähler sind potenzielle Einfallstore
Dennoch bleibt ein beträchtliches Risiko, das mit zunehmender Digitalisierung wächst. Jeder intelligente Stromzähler in privaten Haushalten ist aus Sicht der Energieversorger ein potenzielles Einfallstor. Da eine hundertprozentige Absicherung der EnergieversorgerSysteme nicht möglich sei, rät George, die Resilienz für den Fall eines erfolgreichen Angriffs zu erhöhen. Dafür sei die konsequente Entkoppelung kritischer Systeme eine Möglichkeit, „wobei dadurch natürlich Lücken in der Infrastruktur entstehen, die Arbeitsprozesse komplizierter und langsamer machen“. Beim Verfassungsschutz etwa seien externe und interne Netze wegen der hochsensiblen internen Informationen komplett voneinander getrennt.
Tidten hob positiv hervor, dass hierzulande alle Energienetzbetreiber, auch die kleinen, als kritisch eingestuft seien und damit den gleichen strengen Sicherheitsvorgaben genügen müssten. Ob ihr Sicherheitsstandard ähnlich hoch sei wie der von Eon, RWE, EnBW und Co., hänge jedoch von den verfügbaren Ressourcen ab.
Generell sieht Verfassungsschützer George in der mangelnden Kooperationsbereitschaft von Unternehmen ein Problem: Sie scheuten sich, bei IT-Zwischenfällen Rat von außen zu suchen. „Es kostet die Verantwortlichen Überwindung“, konstatierte er und führte aus, dass beispielsweise börsennotierte Unternehmen Angst vor einem Kurseinbruch hätten und daher bemüht seien, Datenlecks oder Angriffe zu verheimlichen.
Dabei könnten der Verfassungsschutz und andere Organisationen helfen, einen Wissensaustausch zu etablieren – auch unter Wahrung der Anonymität. Durch eine enge und offene Zusammenarbeit lasse sich das Sicherheitsniveau langfristig anheben. Dazu müssten die Betroffenen Vertrauen zu ihrem jeweiligen Ansprechpartner haben, sei es nun im Verband oder an einer öffentlichen Stelle. Ein Austausch gelinge bisher aber allenfalls auf Länderebene, staatliche Stellen auf Bundesebene ständen im Ruf, schwerfällig und unnahbar zu sein. Tidten sieht zudem eine Herausforderung in den unklaren Zuständigkeiten der Staatsorgane, die im schlimmsten Fall zu einem Kompetenzgerangel führen könnten.
Überwinden sich Unternehmen und suchen Rat, so offenbart sich eine weitere Herausforderung: der unterschiedliche Reifegrad der Cyber-Abwehr. Dieser ist laut George „teils desolat, teils aber auch sehr gut“. Im Mittelstand liege manches im Argen, große Konzerne seien viel besser gerüstet.
Dauerthema Social Engineering
George betonte, dass ein Großteil der geglückten Angriffe auf Social-Engineering-Attacken zurückzuführen sei. Phishing-E-Mails und C-Level-Fraud seien häufige Einfallstore. Mit Informationsveranstaltungen und Schulungen könnten Unternehmen für die nötige Sensibilität sorgen. Ein wachsamer Mitarbeiter, dem die möglichen Folgen eines versehentlichen Klicks auf eine Phishing-Mail bekannt sei, werde sich höchstwahrscheinlich eher an die geltenden Vorgaben und Prozesse halten.