85 Prozent der Betreiber kritischer Infrastrukturen wurden 2016 von Hackern angegriffen. Wie gut können sich Atomkraftwerke, Wasserwerke, Krankenhäuser oder Flughäfen schützen? Ulrike Lechner von der Universität der Bundeswehr München hat eine Umfrage zur IT-Sicherheit kritischer Infrastrukturen durchgeführt.



BSZ: Frau Lechner, in Baden-Württemberg benötigte ein von den Stadtwerken beauftragter IT-Experte nur wenige Minuten, um 40 000 Stromkunden von der Versorgung abzuschneiden. Kann das in Bayern auch passieren?

Ulrike Lechner: Es wäre sicher möglich, ein Stadtwerk zu finden, das noch nicht so gut geschützt ist. In unserer Umfrage „Monitor Vernetzte IT-Sicherheit kritischer Infrastrukturen“ haben wir nicht zwischen bayerischen und deutschen Daten unterschieden. Grundsätzlich haben aber auch Unternehmen von Serviceausfällen oder Datenverlusten durch IT-Sicherheitsvorfälle berichtet.



BSZ: Ihre aktuelle Erhebung zeigt, dass die Betreiber kritischer Infrastrukturen (KRITIS) fest davon ausgehen, Hackerangriffe abwehren zu können. Wie kommen Sie darauf?

Lechner: Wir stellen in Umfragen fest, dass die IT-Sicherheitsverantwortlichen überwiegend die IT-Sicherheit im eigenen Unternehmen als „gut“ oder „sehr gut“ einschätzen. Allerdings stellen wir auch fest, dass KRITIS oder IT-Sicherheitsverantwortliche die Sicherheit des eigenen Unternehmens höher einschätzen als für die eigene Branche, und die wiederum höher als für ganz Deutschland. Da scheint die Selbsteinschätzung zur eigenen Sicherheit und der Bedrohungslage nicht ganz zu stimmen. Kleine und mittlere Unternehmen schätzen die Bedrohungslage für das eigene Unternehmen geringer ein als für größere. Sie denken wohl, wenn etwas passiert, dann sicher bei den prominenten. Wenn dann wie bei dem Stadtwerk-Beispiel doch etwas passiert, sind sie wahrscheinlich schlechter darauf vorbereitet.



BSZ: Experten schätzen, dass zwei Drittel der KRITIS bei einem Hackerangriff den laufenden Betrieb unterbrechen müssten. Was bedeutet das für Atomkraftwerke, Wasserwerke, Flughäfen oder Krankenhäuser?

Lechner: Bei einem IT-Sicherheitsvorfall bei KRITIS können erhebliche Schäden für die Zivilgesellschaft entstehen. In Deutschland gab es aber noch keinen richtig großen Fall. Ich möchte ungern spekulieren: Wenn viele warnen und nichts passiert, führt das zu einer falschen Selbsteinschätzung von Fähigkeiten und Bedrohungslagen.



BSZ: 85 Prozent der KRITIS sind letztes Jahr angegriffen worden. Häufig geschieht dies mit Schadsoftware. Wie muss man sich das vorstellen?

Lechner: In unserer Umfrage wird von Angriffen berichtet, wie man sie als Privatperson kennt – zum Beispiel mit Spammails oder Phishing-Angriffen, mit denen persönliche Daten abgegriffen werden. Bei Denial-of-service-Attacken wird von außen so viel Last auf den Server gelegt, dass er nicht mehr erreichbar ist. Kritisch sind Angriffe über Exploit-Kits, die zu Ausfällen bei Produktion- oder Steuerungsanlagen von KRITIS führen. Bei Ransomware werden Programme im Netzwerk verschlüsselt und nur gegen ein Lösegeld wieder freigegeben. Lösegeld zu zahlen ist aber immer eine ganz schlechte Option, weil es das Geschäft von Cyberkriminellen nur noch lukrativer macht.



BSZ: Welche Ziele verfolgen Hacker mit ihren Angriffen sonst noch?

Lechner: Wir sehen eine ganze Bandbreite: Datengewinnung oder Datenmanipulation, zum Beispiel bei Rechnungen, die an Kunden gestellt werden. Ein aktuelles Ziel sind auch Transaktionsnummern von Banken, um Geld auf andere Konten zu überweisen. Bei KRITIS besteht die Gefahr, Produktions- und Steuerungsanlagen zu beeinflussen oder sensible Datenbestände zu manipulieren oder zu beschädigen. Das können entweder Cybercriminals sein, die mit illegalen Methoden Geld verdienen, oder Hacktivsten, die wie bei Wikileaks Daten veröffentlichen wollen. Und natürlich Terroristen, die politischen Druck ausüben oder die Bevölkerung in Angst und Schrecken versetzen möchten.

"Ein Bundesministerium für Digitalisierung? Eine gute Idee!"

BSZ: Für Hackerangriffe werden häufig Russland oder China verantwortlich gemacht. Dabei unterschätzen viele die Gefahr durch Innentäter.

Lechner: Das ist richtig. Innentäter können entweder Mitarbeiter sein, die versehentlich etwas machen, was sie nicht machen sollten. Oder Mitarbeiter, die der Organisation schaden wollen. Der Schaden kann beträchtlich sein – auch weil die üblichen Schutzmaßnahmen nicht greifen.



BSZ: Nur jedes zweite Unternehmen plant Investitionen in die IT-Sicherheit. Dabei bekommen es viele noch nicht einmal mit, wenn Sie angegriffen wurden. Schaden in Deutschland: 50 Milliarden Euro pro Jahr. Braucht es strengere Gesetze?

Lechner: Viele Verantwortliche sagen, dass das Gesetz tatsächlich Auswirkungen auf die IT-Sicherheit ihres Unternehmens hat und dass die Anforderungen des Gesetzes an kleine und mittlere Unternehmen realistisch sind. Wir sehen auch, dass Unternehmen, die als KRITIS eingestuft werden, in allen Bereichen besser sind als andere. Das zeigt sich durch häufigere Risikoanalysen, höhere Investitionen und mehr Kompetenz.



BSZ: Aber die kritische Infrastruktur bei Banken stammt zum Teil noch aus den 1960er-Jahren.

Lechner: Im Unterschied zur IT-Branche werden bei KRITIS die Geräte nicht alle drei Jahre ausgetauscht, ja. Bei vielen KRITIS sind die Infrastrukturen teilweise zwar alt, aber für Langlebigkeit konzipiert. Es ist daher nicht nur bei Banken gängig, dass die IT-Infrastruktur aus den 60er-Jahren stammt. Hier müssten neue Konzepte und IT-Sicherheitstechnologien entwickelt werden, um die Sicherheit dieser alten Anlagen zu gewährleisten – auch in neuen Anwendungsszenarien wie dem Internet of Things. Vor allem Nicht-KRITIS-Unternehmen sagen, dass Bedenken zur IT-Sicherheit ein Hinderungsgrund wären, die Digitalisierung voranzutreiben. Das ist schlecht für neue Geschäftsmodelle und für den Wirtschaftsstandort Deutschland.

BSZ: Die neue ZITiS-Zentrale der Bundesregierung wird auf dem Gelände der Bundeswehr-Uni angesiedelt, das Cyber-Forschungszentrum CODE soll folgen. Manche Experten bezweifeln, dass staatliche Einrichtungen Hacker bekämpfen können.

Lechner: Wir sind sehr stolz, am Standort München ein weltweit sichtbares Zentrum für IT-Sicherheit aufzubauen. Wir arbeiten in dem Forschungsprogramm „IT-Sicherheit für Kritische Infrastrukturen“ des BMBF an Schutzmaßnahmen mit neusten Techniken wie maschinellem Lernen, an Methoden der systematischen Analyse und Monitoring von Netzwerken. Wir wollen mal sehen, ob Hacker diese Hürden dann überwinden können.



BSZ: Die Bundesregierung diskutiert über den Einsatz von „Hack backs“, also Cybergegenschläge. Richtig?

Lechner: Ich arbeite in einem zivilen BMBF-Forschungsprojekt. Hier entwickeln wir solche Methoden nicht.



BSZ: Die Bundeswehr erhält jetzt eine Cyber-Truppe. Doch mit den Gehältern in der freien Wirtschaft können Behörden nicht mithalten. Soll mit dem neuen Masterstudiengang zur Cybersicherheit der Nachwuchs rekrutiert werden?

Lechner: Ja. Im Moment fehlen überall Menschen mit einem IT-Sicherheitsverständnis. Das ist unser Beitrag, um diese Sicherheitslücke zu schließen – sowohl für die Bundeswehr als für die Wirtschaft.



BSZ: Bleiben denn die Alumni nach dem Studium bei der Bundeswehr?

Lechner: Wie bei allen Studiengängen bleibt die Mehrzahl der Absolventen nur eine beschränkte Zeit bei der Bundeswehr und wechselt dann in die zivile Wirtschaft. Wir versuchen junge Leute daher mit unserer hervorragenden Infrastruktur, Projekten mit erheblicher Relevanz und mit Formaten wie dem CODE-Hackathon oder Capture the Flag für eine Karriere bei der Bundeswehr zu begeistern.



BSZ: Horst Seehofer hat sich für ein Bundesministerium für Digitalisierung ausgesprochen. Eine gute Idee?

Lechner: Es braucht eine Bündelung, weil Digitalisierung etablierte Strukturen auflöst und neue Vernetzungen möglich macht. Nicht nur das Megathema Digital Health kann man nicht ressortspezifisch auflösen, dafür braucht man eigene Kompetenzen. (Interview: David Lohmann)