So geht wirksamer Schutz vor Cyberattacken
1. Oktober 2022Berlins Chefdiplomatin redete nicht um den heißen Brei herum. Um sicherzustellen, so Annalena Baerbock, dass nach einem größeren Cyberangriff "unser Schienenverkehr weiter funktioniert, medizinische Behandlungen nach wie vor möglich sind und die Polizei weiter arbeiten kann", müsse Deutschland seine Cybersicherheit erheblich ausbauen. "Dafür brauchen wir eine stärkere und widerstandsfähigere Infrastruktur", sagte die deutsche Außenministerin jüngst gegenüber Regierungsvertretern aus aller Welt bei einer Konferenz in Potsdam.
Ihre Warnung unterstrich, was Experten bei dem Treffen als beunruhigende Entwicklung ausmachten: Rund um den Globus berichten Staaten über vermehrte Cyberangriffe auf ihre kritische Infrastruktur wie etwa die Energie- und Wasserversorgung oder Behörden - Einrichtungen, die so lebenswichtig für die Sicherheit und Wirtschaft eines Landes sind, dass ohne sie alles zusammenbrechen könnte.
Im August legten zum Beispiel Hacker die IT-Infrastruktur Montenegros lahm. Im Juli ließen Angreifer die Regierungshomepage in Albanien abstürzen. Und im Frühjahr blockierte eine Ransomware-Bande die Computersysteme von fast drei Dutzend Regierungsbehörden in Costa Rica - das Land musste als erstes in der Geschichte aufgrund einer Cyberattacke den nationalen Notstand ausrufen.
Hinter den meisten Angriffen stecken Kriminelle, die Milliarden damit verdienen, eine IT-Struktur als Geisel zu nehmen und Lösegeld dafür zu verlangen, dass sie den Zugang zu den Computernetzwerken wieder freigeben. Aber auch Staaten, so warnte die deutsche Außenministerin Baerbock, nutzen Cyberangriffe immer öfter als mächtiges Werkzeug, um in militärischen Konflikten ihren Feind zu schwächen: "Cybertechnologie ist mittlerweile Teil der modernen Kriegsführung geworden - wie sich in Russlands Angriffskrieg gegen die Ukraine zeigt."
Lehren aus dem Krieg in der Ukraine
Die Erfahrung des belagerten Landes illustriert, wie Cyberangriffe als militärische Waffe eingesetzt werden. Als Russland im Februar einmarschierte, stieg gleichzeitig die Zahl der Hackerangriffe auf Ziele in der Ukraine oder mit Verbindungen zur Ukraine sprunghaft an, so Oleksandr Potii vom State Service of Special Communication and Information Protection, dem ukrainischen Sicherheits- und Geheimdienst.
Ukrainische Behörden haben diese Attacken später zu staatlichen Akteuren mit Verbindungen nach Moskau zurückverfolgt, so Potii. "Einige der Angriffe wurden von Cyberkriminellen ausgeführt, aber von Spezialeinheiten koordiniert." Wenn diese Hacker kritische Infrastruktur angriffen, sei ihr Hauptziel gewesen, so viel Schaden wie möglich anzurichten, um Chaos zu säen.
Das zeigt auch ein Vorfall, der die US-amerikanische Satellitenfirma Viasat einschloss. Kurz bevor russische Panzer in die Ukraine rollten, haben Cyberangreifer mit großem Aufwand einige der Sattelitenverbindungen der Firma gekappt, die das ukrainische Militär nutzte, um seine Truppen zu kommandieren - ein herber Rückschlag für das Land in den Anfangsstunden des Krieges.
Der Vorfall gilt als der bisher größte öffentliche bekannte Cyberangriff auf die kritische Infrastruktur der Ukraine seit Februar. Allerdings habe sein Land, betont Potii, seitdem mehrere Versuche abgewehrt. Obgleich ukrainische Behörden derzeit relativ wenige Cyberattacken registrierten, vermuten sie, dass Russland weitere Angriffe auf die kritische Infrastruktur vorbereite. Und pro-russische Hacker nähmen auch andere westliche Länder in den Blick, warnt der IT-Sicherheitsexperte. "Wir teilen den gleichen Feind. Und dieser Feind ist zum nächsten Angriff bereit."
Gegenwehr gegen Cyberangriffe
Wie also macht ein Staat seine kritische Infrastruktur widerstandsfähiger gegen Cyberattacken? Mit einem mehrspurigen Konzept, raten Experten.
Einerseits müssen Regierungen ihre Systeme besser davor schützen, in die Hände von Hackern zu fallen, wie die Beispiele Albanien, Montenegro und Costa Rica zeigen. Darum lässt die deutsche Regierung derzeit die Sicherheitsvorkehrungen für ihre Kommunikationskanäle generalüberholen. Deutschland errichtet auch ein Datenzentrum außerhalb des Landes, um dort Sicherheitskopien kritischer Daten aufzubewahren, für den Fall, dass Eindringlinge es schaffen sollten, die IT-Systeme in ihre Macht zu bekommen.
Doch solche öffentlichen Anstrengungen reichen nur bis zu einem gewissen Punkt - nicht zuletzt weil weltweit die meiste kritische Infrastruktur im Besitz und Betrieb von Privatunternehmen ist, wie die Attacke auf die Satellitenfirma Viasat zeigt.
Deutschland und die anderen EU-Mitgliedsländer erarbeiten darum neue Regeln, um Energieversorger, Telefongesellschaften und andere Anbieter zu zwingen, ihre Systeme mit einem bestimmten Standard zu schützen. Und die USA haben im Frühjahr ein Gesetz erlassen, nach dem Anbieter die Behörden umgehend von einer Cyberattacke unterrichten müssen.
Jenseits juristischer Regelungen ist außerdem die enge Zusammenarbeit zwischen privaten Technologiefirmen und staatlichen Behörden unerlässlich, sagt Kemba Walden vom Büro für Nationale Informationssicherheit im Präsidialamt der USA.
Ohne Kooperation keine Cybersicherheit
IT-Sicherheitsexperten stimmen auch darin überein, dass gleichgesinnte Staaten die internationale Zusammenarbeit im Cyberspace verstärken müssen. "Wir schaffen das nicht alleine", sagt Christian-Marc Lifländer, Leiter des Bereichs Cyberverteidigung der NATO. "Wir besitzen alle unterschiedliche Puzzleteile, darum ist das Teilen von Kenntnissen und Geheimdienstinformation der Schlüssel."
Bisher zögern Strafverfolgungsbehörden meist, Informationen über Cyberbedrohungen auszutauschen. Da sei noch Luft nach oben, gibt Sinan Selen, der Vizepräsident des Bundesamtes für Verfassungsschutz, zu.
Aber die jüngste Zunahme von Cybervorfällen ebenso wie die sich weltweit verschlechternde Sicherheitslage veranlassen die Behörden, mehr Informationen auszutauschen, erklärt Manuel Atug von der AG Kritis, einer unabhängigen Gruppe deutscher Expertinnen und Experten für kritische Infrastruktur. Das sei einerseits eine gute Entwicklung, so Atug. Gleichzeitig warnt er, es brauche einen ganzheitlicheren Ansatz, um kritische Infrastruktur wirklich widerstandsfähig gegen Cyberattacken zu machen.
Jahrzehntelang habe Deutschland die Gelegenheit verpasst, das öffentliche Bewusstsein für Cybersicherheit zu schärfen und eine neue Generation von Experten auszubilden. Atug schlägt zum Beispiel vor, Cybersicherheit und Programmierkenntnisse endlich in den Schulen zu unterrichten.
Diese Defizite seien ihrer Regierung bewusst, signalisierte Außenministerin Annalena Baerbock in Potsdam. Als sie Anfang September in Kiew gewesen sei, habe sie die ukrainische Behörde für Cybersicherheit besucht. Sie sei in einen Raum mit Studierenden im Alter von 16 bis 22 Jahren geführt worden. "Und denen habe ich gesagt: Ihr seid die wahren Expertinnen und Experten", so Baerbock. So sollten auch Deutschland und andere europäische Länder das Problem angehen. "Wir brauchen mehr Mut, mehr frische Ideen und eben das Denken 'out of the box'."
Adaption aus dem Englischen: Beate Hinrichs