Zur Themenübersicht

Nur eine Stunde vor dem Überfall russischer Truppen auf die Ukraine verschaffte sich am 24. Februar 2022 eine Wiper-Malware privilegierten Zugang zum europäischen Satellitennetzwerks KA-SAT und überschrieb wichtige Daten im Speicher der Modems mit destruktiven Anweisungen. Eine mangelhaft konfigurierte VPN-Anwendung des Satellitennetzwerk-Betreibers Viasat machte es möglich und setzte zehntausende von Terminals europaweit außer Betrieb. Auch wenn dieser, mutmaßlich vom russischen Militärgeheimdienst GRU initiierte Cyberangriff ukrainischer KRITIS galt, betraf er auch andere Viasat-Kunden und setzte z.B. die auf KA-SAT 9A basierende Fernwartung von 5.800 deutschen ENERCON-Windrädern außer Kraft. ^[1]

Schon lange vor dem Angriffskrieg mit konventionellen Waffen, zeichnete sich der zuspitzende Konflikt zwischen Russland und der Ukraine durch regelmäßig wiederkehrende russische Cyberattacken auf die ukrainische KRITIS ab. Im Dezember 2016 gelang russischen Hackern ein Blackout in mehr als 100 ukrainischen Städten, in denen stundelang die Stromversorgung unterbrochen wurde.^[2] Die russische Ransomware NotPetya verschlüsselte 2017 nicht nur unzählige Daten, sondern überschrieb existentielle Komponenten unwiderruflich und verursachte so weltweit die Unterbrechung von Supply Chains. ^[3]

Das aktuelle Kriegsgeschehen ist jedoch mit vorherigen Cyber-Attacken nicht zu vergleichen. „Neu ist, dass wir bisher noch keine militärische Cyberdoktrin gesehen haben, bei der Cyberangriffe zusammen mit traditioneller militärischer Gewalt gegen einen gleichrangigen oder nahezu gleichrangigen Gegner eingesetzt werden", sagte Alexi Drew, Sicherheitsexpertin des Thinktanks RAND Europe.^[4]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die Lage als abstrakt erhöht ein und „…ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen“. Insbesondere DDoS-Angriffe wurden verstärkt verzeichnet. Konkrete Maßnahmenempfehlungen im Hinblick auf die aktuelle Lage in der Ukraine werden durch das BSI wie folgt definiert. Unternehmen und Organisationen sollten:

• Angriffsflächen minimieren (veröffentlichte 0-Day Schwachstellen Patches 24/7 installieren, Installation der Sicherheitspatches auf alle externen Systeme, Härtung aller Systeme mit Zugriffsmöglichkeit von außen - VPN, RDP, OWA, Exchange-Online, Extranet-Portale- über MFA, unterschiedliche Credentials für Admin-Konten, Erschwerung von Lateral Movement)
• Übergreifende und infrastrukturelle Maßnahmen ergreifen (Erreichbarkeiten/Verfügbarkeiten des Personals prüfen und ggf. Notfallteams aufstellen, interne BCM-Notfallpläne ohne externe Dienstleistungen erarbeiten)
• Detektion verstärken (IT-Sicherheits-Logging und -Monitoring der externen Systeme)
• Lageangepasste Reaktionsmaßnahmen (Backups erstellen und prüfen, Recovery vorbereiten und testen)
• Planung der Aufwuchs- und Durchhaltefähigkeit bei verschärfter Bedrohungslage (erhöhte Funktionsbereitschaft bei erhöhter Bedrohungslage für IT-Betrieb, SOC und CERT) ^[5]

Noch konzentrieren sich Ransomware-Attacken meist auf kriminelle Erpressungen einzelner Systeme. 42% der deutschen Unternehmen zahlen die geforderte Summe. „Die Zahlung von Lösegeld ist für das einzelne Unternehmen nicht nur finanziell günstiger, sie lässt sich über sogenannte Cyber-Versicherungen mittlerweile auch recht bequem im Jahresbudget einplanen“, schreiben 20 deutsche IT-Sicherheitsforscherinnen und -forscher in ihrem Brandbrief vom 27.06.2022, in dem sie die Bundesregierung auffordern, stärker gegen Ransomware vorzugehen.

Ein politisch motivierter Cyberangriff auf Ministerien, Versorger oder große Unternehmen würde weit größere Dimensionen annehmen: Er würde wahrscheinlich so angelegt sein, dass ganze Infrastruktur-Ketten und auch mehr als nur ein Land betroffen wären. Dann kann der Cyberangriff schnell zu einen NATO-Bündnisfall werden. 2014 beschloss die Nato, dass virtuelle Attacken, genau wie die konventionelle Kriegsführung, den Artikel 5 des Nato-Vertrages auslösen können. Ab welcher Größenordnung ein solcher Bündnisfall aber eintreten würde, ist bislang nicht definiert. ^[6]

Den rechtlichen Rahmen für den Schutz der kritischen Infrastrukturen in Deutschland bilden das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV).

Das IT-Sicherheitsgesetz 2.0 (auch Zweites IT-Sicherheitsgesetz), welches im Mai 2021 in Kraft trat, erweitert die KRITIS um „Unternehmen im besonderen öffentlichen Interesse“. Hierzu zählen Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung herstellen oder entwickeln, Unternehmen, die der Störfall-Verordnung unterliegen, sowie Unternehmen, z.B. Zulieferer, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören. Diese werden verpflichtet, mindestens alle zwei Jahre dem BSI eine Selbsterklärung zur IT-Sicherheit vorzulegen und bei Bedarf notwendige Informationen einschließlich personenbezogener Daten weiterzureichen. Zusätzlich werden sie ab Mai 2023 dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen.

Für diese Unternehmen gilt es ihre „digitalen Hausaufgaben“ zu machen und zu prüfen, inwieweit sie in den neu definierten Geltungsbereich des IT-Sicherheitsgesetzes 2.0 fallen und ob weitere Schritte notwendig sind, um die dort beschriebenen Sicherheitsanforderungen zu erfüllen.

Wie ernst die Bundesregierung die derzeitige generelle Bedrohungslage nimmt, zeigt das aktuelle Statement von Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf der Potsdamer Konferenz für Nationale Cybersicherheit im Juni 2022: „Schon im vergangenen Jahr zur Vorstellung des Lageberichts zur Cybersicherheit 2021, noch mit Bundesinnenminister Horst Seehofer, habe ich gesagt, wir haben Alarmstufe Rot in einigen Teilbereichen.“ ^[7]

Bislang sind systemrelevante Cyberattacken in Deutschland ausgeblieben. Doch Security Awareness allein wird vermutlich zukünftig nicht reichen. Bundesinnenministerin Nancy Faeser fasste die zukünftigen Anforderungen im April 2022 bei ihrer Vorstellung des digitalpolitischen Programms bis 2025 wie folgt zusammen: „Wir sehen angesichts des russischen Angriffskriegs gegen die Ukraine, wie sehr die äußere und die innere Sicherheit miteinander zusammenhängen. Das gilt gerade für die Cybersicherheit. Die Zeitenwende, die wir erleben, erfordert deutliche Investitionen in unsere Cyber- und Informationssicherheit. Das hat besondere Priorität für uns. Wir modernisieren die nationale Cybersicherheitsarchitektur und bauen das Bundesamt für Informationssicherheit zur Zentralstelle aus. Die Cyberbefugnisse der Sicherheitsbehörden werden wir weiterentwickeln."^[8]

Wichtige Eckpunkte für die nächsten drei Jahre werden u.a. die Modernisierung der nationalen Cybersicherheitsarchitektur, die Weiterentwicklung der Cybersicherheitsstrategie und des Informationssicherheitsrechts, sowie die Neuausrichtung und Weiterentwicklung der Cyberbefugnisse und Cyberfähigkeiten (einschl. ZITiS) der Sicherheitsbehörden des Bundes im Rahmen einer eigenständigen Cyberagenda sein.

Für diese drei Jahre und natürlich darüber hinaus gilt auch deshalb weiterhin die alte Regel: vorbereitet sein und üben, üben, üben…

Wer IT-Systeme betreibt, braucht ein funktionierendes Informationssicherheitsmanagementsystem inkl. einem, den eigenen Geschäftsprozessen angepasstes, Business Continuity Management. Welches aber nicht nur auf dem Papier bestehen darf, es muss regelmäßig, inklusive Rückspielen von Daten und Systemprogrammen, durchgängig verprobt werden. Das Ganze unter möglichst realen Bedingungen, z.B. am Wochenende und ohne Vorwarnung für die Belegschaft.

 Quellen:

^[1] https://futurezone.at/netzpolitik/windrad-enercon-cyberangriff-ka-sat-ukraine-russland-krieg/401926093#: abgerufen am 27.06.2022)

^[2] https://www.businessinsider.de/wirtschaft/hundertausende-ohne-strom-hacker-bringen-kraftwerke-in-der-ukraine-zum-zusammenbruch-2016-1/ (abgerufen am 27.06. 2022)

^[3] https://www.welt.de/wirtschaft/article185510234/Notpetya-Dieser-Fall-entscheidet-ob-Hacken-eine-Kriegswaffe-ist.html (abgerufen am 27.06.2022)

^[4] https://www.zeit.de/digital/2022-03/cyberkrieg-russland-hacker-nato-buendnisfall (abgerufen am 27.06.2022)

^[5] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Vorfaelle/Ukraine-Krise/Massnahmenempfehlungen_BSI_Ukraine.pdf?__blob=publicationFile&v=1 (abgefragt am 27.06.2022)

^[6] https://www.zeit.de/digital/2022-03/cyberkrieg-russland-hacker-nato-buendnisfall (abgefragt am 27.06.2022)

^[7]https://utf.rdir.de/form.action?agnCI=1024&agnFN=fullview&agnUID=nc.E.B.QA.DRBw.DoG.CEo3m.A.crS8UbO97ynEcKlysSLBOd20LMoO14yq253H2ILY9CX60ivuZP2T2TfYG44AY8A4jsVppfPxmBAOONISXjI8BQ (abgerufen am 27.06.2022)

^[8] https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2022/04/digitalprogramm.html (abgerufen am 06.07.2022)