Interview mit Manuel Atug, AG Kritis
Grundschutz statt „Cyberwar“-Gerede
Fortsetzung des Artikels von Teil 1
Erhöhte Bedrohungslage
LANline: Rechnen Sie selbst damit, dass es im Umfeld des Krieges vermehrt Cyberangriffe auf Kritis-Umgebungen geben könnte?
Manuel Atug: Es besteht eine erhöhte Bedrohungslage, ja klar. Aber das ist aktuell keine fatale Lage. Das BSI existiert seit über 30 Jahren und hat in dieser Zeit dreimal die Alarmstufe rot ausgesprochen: einmal vor vielen Jahren, zweimal letztes Jahr, und zwar im März wegen der Hafnium-Problematik aufgrund der Exchange-Lücken und im Dezember wegen der Log4j-Lücke. Also einmal wegen Enterprise-Software von Microsoft, einmal wegen Open-Source-Software. Beides kommt in vielen kritischen Infrastrukturen, aber auch in der Wirtschaft überall zum Einsatz und hat dadurch sehr viele Organisationen bedroht. Aktuell (das Interview fand am 10. März statt, d.Red.) hat das BSI aufgrund des Kriegs die Alarmstufe orange ausgesprochen. Das BSI sagt, es gibt erhöhte Aktivitäten, und der Verfassungsschutz warnt, es könnten Hochschutzziele angegriffen werden. Aber andersherum gefragt: Wann sind diese denn nicht das Ziel? Was hat sich da geändert? Kritische Infrastruktur ist kritisch und die Bevölkerung muss ständig versorgt werden können, unabhängig davon, welche Gefährdungslage gerade herrscht – sei es wegen eines Kriegs, Hochwasser, Ransomware-Angriffen oder Hackern, die glauben, sie müssten jetzt etwas „ganz Patriotisches“ machen. Wenn das Wasser nicht mehr aus dem Hahn fließt, ist der Bevölkerung egal, wieso das Wasser ausbleibt. Im Krisen-Management will man nicht „in die Lage“ kommen, und tritt sie ein, man muss ganz schnell „vor die Lage“ kommen. Das geht am besten, indem man präventiv die geeigneten Maßnahmen ergreift.
LANline: Zu welchen Maßnahmen raten Sie Kritis-Betreibern, um ihre IT-Sicherheit jetzt zu erhöhen?
Manuel Atug: Hier geht es um die langweiligen Basics wie Backups und die Fragen, wie schnell sich Daten wiederherstellen lassen und ob man das Wiedereinspielen von Backups schon mal ausprobiert hat. Es geht um die Frage, ob Backups auch offline vorliegen, denn wenn sie online sind, wird Ransomware sie mitverschlüsseln. Und es geht zum Beispiel darum, Firewall-Regeln jedes halbe Jahr zu überprüfen, zu aktualisieren und zu dokumentieren.
LANline: Da reden wir also von ganz banalen BSI-Grundschutz-Maßnahmen ...
Manuel Atug: Ja, genau. Wer diese Maßnahmen vor dem Krieg noch nicht umgesetzt hatte, hätte sich damals schon an die Nase fassen müssen. Wer jetzt immer noch nicht aktiv wird, handelt aus meiner Sicht schon fast grob fahrlässig.
LANline: Wird der Krieg in der Ukraine sozusagen als „Fukushima-Moment“ für die IT-Sicherheit bei diesen Kritis-Betreibern fungieren können?
Manuel Atug: Nein, die bisher schlecht aufgestellten werden weiter Dienst nach Vorschrift machen. Meine persönliche Einschätzung: Hier wird keiner so richtig wach. Manche wurden schon zweimal von Ransomware befallen, weil sie nach dem ersten Befall die Ursachen nicht bearbeitet haben. Manche haben zum Beispiel Defizite im IT-Sicherheitsbetrieb aufgrund von Stellenmangel bemerkt, dann aber doch nicht mehr Stellen ausgeschrieben. Militärberater, Rüstungskonzerne und IT-Sicherheitsanbieter, die moralisch falsch abgebogen sind, werden jetzt cyberoffensive Maßnahmen und mehr offensives Hacking empfehlen. Wir müssen allerdings Cyberresilienz erzielen. Und das schafft man nicht durch offensive Maßnahmen, sondern durch Grundschutz, Redundanzen und Fallbacks. Hinzu kommt: Viele Organisationen, zum Beispiel kleinere Wasserwerke, stürzen sich in komplexe Digitalisierungsprojekte, ohne aber ein konkretes Ziel zu haben. Der einzig legitime Grund, warum ein Wasserwerk seine Abläufe digitalisieren sollte, ist der, dass es ohne Digitalisierung und IT-gestützten Betrieb nicht mehr die Versorgung aller Bürger*innen sicherstellen kann. Wenn das ohne Digitalisierung geht, warum sollte ein Wasserwerk sich dann all die Fragen und Probleme der IT-Sicherheit ins Haus holen? Da ist dann weder etwas gespart noch etwas gewonnen.
LANline: Es geht heute nicht mehr nur um Kraftwerke mit „Air-gapped“-Steuerung, sondern – zum Glück – zunehmend auch um Privathaushalte und Bürgerinitiativen, die Strom aus Photovoltaik und Windkraftanlagen einspeisen. Dies alles will gesteuert, auf 50Hz gehalten und – Stichwort Smart Grid – intelligent ausbalanciert sein. Da geht es also um IT, nicht OT. In welchem Maße vergrößert dies die Angriffsfläche auf die Stromversorgung und verschärft damit deren Bedrohungslage?
Manuel Atug: Mit mehr Stromanbietern, die ihre Infrastruktur beispielsweise mit Smart-Meter-Komponenten und Remote Access für das Monitoring digitalisiert haben, bietet sich natürlich ein weiterer Angriffsvektor, dadurch steigt das Risiko. Aber auch dafür gibt es geeignete Gegenmaßnahmen. Bei Windrädern mit Fernadministration über Glasfaser und Satellit zum Beispiel existiert ein Fail-Safe-Modus. Bei Ausfall der Verbindung produzieren die Windkraftanlagen dann „einfach vor sich hin“, wie beim Ausfall von Viasats KA-SAT-Netzwerk neulich. Dann muss eben ein Techniker hinfahren und die Modems austauschen. Eine mögliche Risikoreduktion wäre dann, dass Forschung in und Einsatz von Akkus vorgenommen würde, sodass überall ein Pufferspeicher für drei Tage verfügbar ist. Also: Ja, es gibt mehr Angriffsfläche, deshalb braucht man eben den Gesamtblick auf die neue Riskolage und muss die Gegenmaßnahmen gleich mitkonzipieren. Dabei sollte man besser auf bewährte Technik setzen als auf neumodische Dinge wie etwa die Blockchain.
LANline: Herr Atug, vielen Dank für das Gespräch.
- Grundschutz statt „Cyberwar“-Gerede
- Erhöhte Bedrohungslage
Lesen Sie mehr zum Thema
