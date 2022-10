Herr Wiesner, lässt sich anhand von Daten belegen oder zumindest schätzen, welches Ausmaß Hackerangriffe auf die kritische Infrastruktur in Deutschland haben?

Nein, es gibt keine verlässlichen Zahlen zu Teilbereichen. Nach Schätzungen ist der deutschen Wirtschaft insgesamt zuletzt ein jährlicher finanzieller Schaden von mehr als 200 Milliarden Euro durch Diebstahl von IT-Ausrüstung, Spionage und Sabotage entstanden. Das bezieht sich aber nicht nur auf die kritische Infrastruktur, sondern auf alle Branchen.

Das IT-Sicherheitsgesetz unterteilt die kritische Infrastruktur nach Sektoren wie etwa Energieversorgung, Informationstechnik und Telekommunikation oder Verkehr. Gibt es da bevorzugte Ziele?

Das kann man so nicht sagen. Wir reden in der Regel von Erpressung durch kriminelle Banden, die es gar nicht unbedingt auf kritische Infrastruktur abgesehen haben. Es gibt aber schon die gefühlte Tendenz, dass diese vermehrt angegriffen wird, weil man einen hohen Schaden verursachen kann und die Betroffenen dann vielleicht eher gewillt sind, Lösegelder zu zahlen. Aktuell bekommen wir aktuell viele Vorfälle aus dem Energiesektor mit.

„Dunkelziffer ist bestimmt höher“

Woran liegt das?

Es liegt daran, dass diese Attacken im Gegensatz zu anderen über die Medien öffentlich werden. Das geschieht immer dann, wenn die Unternehmen ihre Arbeit in Teilbereichen wie etwa dem Kundenservice oder der Kommunikation über ihre Internetseite einstellen müssen. Insgesamt ist die Dunkelziffer bestimmt höher.

Kann man ein Muster beschreiben, nach dem die Täter vorgehen?

Ja, ein klassisches. Zuerst kommt ein Initialangriff mit dem Ziel, Zugriff auf interne IT-Systeme zu erlangen. Das geschieht entweder über sogenannte Phishing-Mails, mit denen man Zugangsdaten von Mitarbeitern abgreifen will. Oder die Angreifer finden Sicherheitslücken in den Systemen, durch die sie dann eindringen. Danach verschlüsseln sie Daten oder drohen mit der Veröffentlichung etwa von sensiblen Kundendaten und verlangen entsprechend Lösegeld.

Zur Person Der 46-jährige Michael Wiesner berät seit mehr als 25 Jahren Unternehmen und Dienstleister in Sachen Informations- und Cybersicherheit. Dabei führt er unter anderem auch Penetrationstests durch, also simulierte Hackerangriffe. Wiesner ist einer von vier Sprechern der unabhängigen und ehrenamtlich aktiven Arbeitsgruppe Kritische Infrastrukturen (AG Kritis). Ziel des mehr als 40 Mitglieder zählenden Zusammenschlusses von Experten ist es, die Versorgungssicherheit der Bevölkerung zu erhöhen. Als kritische Infrastrukturen bezeichnet man Systeme, die wesentliche Bedeutung für die Aufrechterhaltung gesellschaftlicher Funktionen haben – etwa Energie- und Wassrversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation oder Einrichtungen des Gesundheitswesens.

Das nennt man dann Erpressung. Welche Rolle spielt Sabotage?

Sie ist mit dem Beginn des Kriegs in der Ukraine stark ins Blickfeld gerückt. Es gab ja unterschiedliche Sabotageakte etwa bei der Gaspipeline Nordstream oder bei der Bahn, die manche Russland zuschreiben. Aber nichts Genaues weiß man nicht. Generell sind Cyberangriffe schon lange standardmäßig Mittel in kriegerischen Auseinandersetzungen, das ist nichts Neues. Das Thema zieht aber gerade mehr Aufmerksamkeit auf sich als früher.

Was steckt dahinter?

Man will mit Cyberangriffen die Bevölkerung verunsichern und Ängste schüren, indem man zeigt, was man alles so machen kann. Werden zum Beispiel in Westeuropa Stromversorger angegriffen, wird mit Sicherheit diskutiert, wie hoch die Gefahr eines Blackouts ist. Man muss sagen: Das Ausmaß ist bisher überschaubar. In Russland gibt es staatlich organisierte Hacker, aber eben auch organisierte Banden, die auf Erpressung aus sind.

„Es handelt sich meistens um weltweit organisierte Netzwerke“

Gibt es auffällige Herkunftsregionen, aus denen die Täter stammen?

Es handelt sich meistens um weltweit organisierte Netzwerke. Aber wichtig ist: Wenn Lösegeld gefordert wird, kann auch ein staatlicher Angreifer dahinter stecken, denn auch solche Attacken sind zur Destabilisierung geeignet.

Sind die IT-Systeme der kritischen Infrastruktur ausreichend geschützt?

Sicherlich nicht in jeder Instanz. Wir sehen beispielsweise bei der Energieversorgung ein Problem, das sich jetzt auch in Hannover wieder gezeigt hat. Die Leitwarten, also die Netze und die Kraftwerke, sind in der Regel sehr gut gesichert und müssen auch von der übrigen IT abgetrennt sein – das schreibt der Gesetzgeber so vor. Das gilt nicht in gleichem Maß für den Verwaltungs- oder Kundenservicebereich. Eine Gefahr entsteht durch den Trend zur Automatisierung von Abläufen. Wenn dadurch Schnittstellen zwischen beiden Bereichen entstehen, die nicht richtig abgesichert werden, können diese zum Einfallstor für Angreifer werden. Und hier gibt es leider oft eine große Diskrepanz zwischen Vorschriften und Praxis, denn was auf dem Papier steht, muss in der Realität noch lange nicht sicher sein.

Betrifft das auch die Stromversorger?

Grundsätzlich ja, jedoch gelten für diese bereits seit längerem schärfere Bestimmungen, so dass sie in der Regel besser geschützt sind. Anders ist das bei den Wasserversorgern. Da gibt es viele kleinere, die gar nicht reguliert sind.

„Sicherheitsgesetz muss auch für kleinere Unternehmen gelten“

Sind Änderung in der Gesetzgebung erforderlich?

Nach unserer Meinung ja. Wir fordern, dass das IT-Sicherheitsgesetz auch für kleinere Unternehmen der kritischen Infrastruktur gilt. Und es muss sogenannte Kaskadeneffekte einbeziehen. Bisher werden einzelne Sektoren isoliert betrachtet. Wenn aber beispielsweise der Strom ausfällt, sind davon auch andere Bereiche der Infrastruktur betroffen. Bei der letzten Gesetzesänderung im Mai vergangenen Jahres wurden wir angehört und haben das auch so vorgetragen, aber es ist nicht berücksichtigt worden.

Werden Cyberangriffe ihrer Einschätzung nach in Zukunft noch zunehmen?

Ja. Dienstleistungen und Anlagen werden immer abhängiger von IT und damit komplexer. Komplexität ist erfahrungsgemäß der Feind von Sicherheit. Trotz dieser Herausforderung machen viele ihre Hausaufgaben nicht.