Interview „Es geht nicht darum, dass die russischen Hacker so viel besser wären“

Von Sebastian Human

Der Russland-Ukraine-Krieg beschränkt sich nicht auf konventionelle Kampfhandlungen. Im Zuge einer hybriden Kriegsführung gehören auch Cyberangriffe zum Kriegsgeschehen. Was bedeutet das für die deutsche Infrastruktur, speziell im KRITIS-Bereich?

Anbieter zum Thema

Vor dem Hintergrund des Ukraine-Kriegs teilt Securityexperte Markus Robin im Interview seine Einschätzung zur aktuellen Bedrohungslage der deutschen KRITIS-Landschaft.
Vor dem Hintergrund des Ukraine-Kriegs teilt Securityexperte Markus Robin im Interview seine Einschätzung zur aktuellen Bedrohungslage der deutschen KRITIS-Landschaft.
(Bild: gemeinfrei/Foto Wilke / Pixabay )

Der Krieg zwischen Russland und der Ukraine wütet nicht nur auf den physischen Schlachtfeldern. Bereits im Vorfeld der Angriffe mit konventionellen Waffensystemen gab es Berichte über Cyberangriffe auf ukrainische Infrastruktur. Was bedeutet das für Deutschland und unsere hiesige KRITIS-Landschaft? Darüber haben wir uns mit dem Sicherheitsexperten Markus Robin, Geschäftsführer von SEC Consult, unterhalten. Das Unternehmen ist qualifizierter APT-Response-Dienstleister des BSI und für Cyber Security Incident Response CREST-zertifiziert.

Herr Robin, gerade angesichts des Kriegs in der Ukraine, und hier vor allem im Kontext hybrider Kriegsführung, rückt die Absicherung kritischer Infrastruktur wieder stark in den Fokus. Von welchen Bedrohungen ist hier allgemein auszugehen?

Wir müssen davon ausgehen, dass sämtliche aktuellen Angriffstechniken der organisierten Kriminalität angewendet werden. Dabei wird insbesondere das Bemühen der Angreifer im Vordergrund stehen, die Verfügbarkeit und Integrität digitaler Dienste zu sabotieren.

Es ist auch mit einer großen Dynamik des Geschehens zu rechnen. Das heißt, dass die Angriffstechniken ständig gewechselt werden. Derzeit gibt es noch wenige Möglichkeiten, die Attacken zu attribuieren. Die derzeit ebenfalls auf Hochtouren laufende Fake-News-Maschinerie erschwert zusätzlich das Erkennen der Angreifer.

Welche Absichten verfolgen die Angreifenden? Um klassische Erpressungsversuche über Ransomware wird es vermutlich eher nicht gehen, oder?

Um Carl von Clausewitz etwas freier zu zitieren: „Cyberangriffe in einem hybriden Krieg sind die Fortsetzung der Politik mit anderen Mitteln.“
Wenn eine Kriegspartei Unsicherheit und Angst verbreiten möchte, wird sie also gezielt oder auch breitflächig Unternehmen der Daseinsvorsorge sabotieren. Eine Möglichkeit hierfür sind DDoS-Attacken. Bei diesen geht es darum, so viele Anfragen an die angegriffene Webressource zu senden, dass sie das überlastet und ihre Erreichbarkeit bestenfalls nur noch eingeschränkt gegeben ist.

Das ukrainische Verteidigungsministerium und auch Banken wurden wohl bereits Opfer einer solchen Attacke. Reichen die Angriffe auch noch über das DDoS-Feld hinaus?

Ja. Die wesentlichste Gefahrenquelle ist die IT-Lieferkette. Bei einem Supply-Chain-Angriff kann durch eine Attacke auf einen IT-Hersteller beziehungsweise IT-Lieferanten einer KRITIS-Organisation diese selbst gefährdet oder sabotiert werden. Das gilt auch für die Lieferanten der Lieferanten – damit vervielfachen sich die Möglichkeiten noch. Leider zeigen viele Software-Hersteller immer noch Desinteresse in Bezug auf eine nachhaltige Cyber-Sicherheit ihrer Produkte.

Eine hochaktuelle Umfrage von Bitkom Research weist aus, dass 34 Prozent der Unternehmen aus der Digitalbranche aufgrund des Krieges ihre IT-Sicherheitsmaßnahmen verschärft haben, weitere 7 Prozent planen dies fest. Aber in 30 Prozent der Unternehmen wird noch darüber diskutiert – und rund jedes vierte Unternehmen, genauer gesagt 23 Prozent, sieht für zusätzliche IT-Sicherheit trotz anerkannt hoher Bedrohungslage keinen Bedarf. So zeigt auch diese Umfrage, dass IT-Sicherheit ein Minderheitenprogramm ist.

Halten Sie es zum gegenwärtigen Zeitpunkt für realistisch, dass Deutschland beziehungsweise speziell die hiesige kritische Infrastruktur gezielt Opfer einer russischen Cyberattacke wird? Oder wäre das eher ein Kollateralschaden, beispielsweise durch digitale Vernetzungen mit ukrainischen Unternehmen?

Leider beides. Das Schadprogramm Stuxnet hat durch einen vor vielen Jahren gezielt durchgeführten Angriff auf Siemens-Anlagen im Iran weltweit Kollateralschäden verursacht. Das Vulnerability Lab von SEC Consult, unser internes Security-Labor, ist spezialisiert auf das Aufdecken von Zero-Day-Schwachstellen, also bis dato unbekannten Schwachstellen in Software- oder Hardware/Software-Produkten. Alleine in den letzten sechs Wochen haben unsere Expertinnen und Experten mehr als 15 Schwachstellen in Supply-Chain-Produkten für KRITIS-Unternehmen entdeckt und publiziert.

Auf diese können Unternehmen dann reagieren und sie schließen. Aber man kann auch schon früher aktiv werden. Welche Präventivmaßnahmen sind für potenziell gefährdete Unternehmen das Minimum? Welche der Idealzustand? Oder kann es so etwas gar nicht geben?

Cybersicherheit für Unternehmen ist wie Gesundheit beim Menschen. Diese muss je nach Krankheit, je nach Person individuell betrachtet werden, wobei Vorbeugung am wichtigsten ist. Auf Unternehmen übertragen bedeutet das: Wer jahrelang zu wenig Zeit und Geld in die Gesundheit seiner IT investiert hat, hat sie sträflich vernachlässigt.

Die Sicherheit der IT-Landschaft muss permanent im Auge behalten werden und kann im konkreten Bedrohungsfall nicht binnen weniger Wochen auf das höchste Niveau gebracht werden. Eine äußerst wichtige Akutmaßnahme ist das umfassende, aggressive Red Teaming eines Profi-Dienstleisters. Diese Angriffssimulation, die sich der Instrumente, Taktiken und Vorgehensweisen von Hackern bedient, zeigt Unternehmen auf, wo ihre IT-Sicherheit steht und was zu verbessern ist.

Immer wieder liest man von den außergewöhnlichen Fähigkeiten russischer Hackerinnen und Hacker. Wie sehen Sie das aktuelle Kräftegleichgewicht zwischen potenziellen Cyberangreifern und deutschen Unternehmen des KRITIS-Bereichs verteilt?

Es liegt grundsätzlich an der Asymmetrie der Cybersicherheit, dass der Angreifer im Vorteil ist. Dieser muss nur eine Schwachstellenkette finden, die es ermöglicht, eine Organisation unter seine Kontrolle zu bringen. Der Verteidiger muss es dem Angreifenden jedoch auf allen möglichen Angriffswegen so schwer und mühsam machen, dass sich die Attacke in die Länge zieht und erkannt werden kann, bevor großer Schaden angerichtet wird. Es geht nicht darum, dass die russischen Hacker so viel besser wären, sondern dass wir wesentlich mehr für die Cybersicherheit machen und sie ganzheitlicher umsetzen müssen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Was können Unternehmen tun, wenn Sie Opfer einer Cyberattacke werden?

Ruhe bewahren, die Notfallpläne aktivierten und mit Hilfe eines Profi-Dienstleisters gegen den Angriff vorgehen. Geschwindigkeit und Erfahrung zählen am meisten.

(ID:48089034)