Die Ukraine hat Freiwillige zur Mithilfe beim Schutz der Kritischen Infrastruktur wie Wasserwerke, Energieversorgungsunternehmen und Telekommunikationsdienste gegen Cyberangriffe aufgerufen. Auch in Deutschland drohen Attacken auf diese Bereiche. Wie es hierzulande um die Kritische Infrastruktur steht, haben wir den IT-Sicherheitsexperten und Sprecher der unabhängigen AG Kritis (unabhängige Arbeitsgruppe Kritische Infrastrukturen, Anm. d. Verf.), Manuel Atug, im Interview gefragt.

t3n: Die Ukraine ruft Hacker:innen zur Mithilfe beim Schutz kritischer Infrastruktur auf. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Nationale Strategie zum Schutz Kritischer Infrastrukturen (Kritis-Strategie). Wäre ein solcher Aufruf hierzulande im Ernstfall also unnötig?

Manuel Atug: Diese Kritis-Strategie gibt es. Aber kein System ist jemals zu 100 Prozent sicher. Und im Ernstfall würden in Deutschland auch nur circa 30 bis 60 IT-Sicherheitsexperten des BSI auf Abruf bereitstehen. Deshalb musste ich ein bisschen schmunzeln.

So wenige?
Ja. Das ist auch der Grund, warum wir vor ein paar Jahren die AG Kritis gegründet haben.

Ein ehrenamtlicher Zusammenschluss von IT-Sicherheitsexperten?

Ja genau. Wir haben, angelehnt an das THW, sogar ein Konzept entwickelt, das CHW, quasi ein Cyber-Hilfswerk. Der Gedanke dahinter war genau der: Wenn es mal Bedarf an ehrenamtlicher Hilfe in puncto IT-Sicherheit gibt, dann braucht es dafür keinen Aufruf an Hacker aus dem Untergrund. Stattdessen gäbe es mit einem CHW bereits ehrenamtliche Strukturen mit geklärter Haftung, Versorgung und einer strukturierten Vorgehensweise.

Das klingt vernünftig.

Ja, aber bisher hat das Bundesinnenministerium noch nicht mit uns darüber geredet. Das Land Sachsen-Anhalt ist hingegen ernsthaft an dem Konzept interessiert. Vielleicht kommt das BMI auch noch zu dem Entschluss, dass ein CHW eine gute Unterstützung zur Erhöhung der Resilienz kritischer Infrastrukturen wäre.

Liegt die IT-Sicherheit von Kritischer Infrastruktur in Deutschland komplett in privater Hand?

Nicht ganz. Es gibt natürlich Aufsichtsbehörden und BSI-Vorgaben. Alle zwei Jahre müssen Betreiber zudem einen Prüfnachweis durch externe Dritte erbringen. Aber diese Vorgaben sind in Gesetzen schwammig formuliert und es betrifft nur Kraft- und Wasserwerke, die mehr als 500.000 Personen versorgen. Alle anderen gelten offiziell nicht als Kritis-Betreiber. Ein Wasserwerk in Augsburg, Bonn oder Paderborn oder einer anderen Stadt mit 200.000 oder 250.000 Einwohnern würde man also nicht dazuzählen. Es sei denn, es versorgt entsprechend viele Bürger aus dem Umland mit.

Bei einer Zahl von unter 500.000 zu versorgenden Personen können die Betreiber also vorgehen, wie sie wollen?

Grundsätze der ordnungsgemäßen Buchführung und die DSGVO gelten natürlich trotzdem. Aber die BSI-Vorgaben zur Umsetzung von IT-Sicherheitsmaßnahmen eben nicht. In Deutschland haben wir in der Wasserversorgung und -entsorgung etwa 5.000 Betreiber. Was denkst du, wie viele davon sind Kritis-Betreiber?

Nicht viele?

Ungefähr 45 bis 50. Gäbe es jetzt einen strukturierten Angriff gegen eine Funktionalität, die in vielen dieser kleineren Wasserwerke vorkommt, dann hätte man ein Problem. Das BSI würde natürlich helfen. Die wären aber schon mit ein paar Zielen überlastet. Das skaliert genau gar nicht.

Klingt nicht gut.

Das ist in Friedenszeiten schon nicht gut. Die Ukraine befindet sich jetzt im Krieg. Und im Krieg muss man wirklich alles schützen, vor allem die kritischen Infrastrukturen. Wenn aufgrund eines Cyberangriffs in einer Region drei Wasserwerke ausfallen, die weniger als 500.000 Menschen versorgen, dann ist das ein Problem. Da hilft es dann nicht, zu sagen: „Ja gut, die versorgen ja alle unter 500.000 Menschen“. Es gibt in Deutschland – alle acht Kritis-Sektoren zusammengenommen – etwa 2.000 Betreiber, die unter Kritis fallen mit dieser Versorgungsmenge. Was die IT-Sicherheit angeht, sind diese 2.000 sehr unterschiedlich aufgestellt.

Woher weißt du das?

Das merkt man daran, dass immer wieder Kritis-Betreiber von Ransomware-Angriffen betroffen sind. Ransomware-Tätergruppen gehen ja nicht anders vor, als ganz gezielt Lücken auszunutzen, in die Systeme einzudringen, alles zu verschlüsseln und dann Geld zu erpressen. Und wenn eine Ransomware-Tätergruppe da rein kommt – ein staatlicher Akteur hätte dieselbe Chance, vielleicht sogar mit mehr Ressourcen.

Wie verteidigt man ein Kraftwerk gegen Hackerangriffe?

Die Kraftwerkssteuerung verfügt normalerweise über einen sogenannten Air Gap. Das heißt, das Steuernetz verfügt über keine direkte Verbindung zu den anderen IT-Systemen – also Dingen wie dem Internet, Webservern, E-Mail und den normalen Büroarbeitsplätzen, sondern es ist komplett abgeschottet. Da kommt man nicht ohne Weiteres dran.

Also eine physische Hürde, die überwunden werden muss?

Ja, da führt normalerweise kein Kabel rein. Und es ist auch nicht so, dass man wie in Hollywood kurz mal eben auf der Tastatur rumklimpert und sagt: „Hah, ich bin drin“, und es lädt ein Ladebalken bis 100 Prozent. So funktioniert es nicht. Als Geheimdienst müsste man dafür in Friedenszeiten quasi eine unentdeckte Hintertür platzieren, die man dann in Kriegszeiten nutzen kann, um in diese Umgebung einzudringen und den Angriff von innen heraus zu starten.

Also muss ein Angreifer wirklich physisch anwesend sein, um diese Hintertür einzubauen?

Nicht alle kritischen Infrastrukturen haben einen Air Gap. Ein Kraftwerk in der Regel schon, Atomkraftwerk sowieso. Dort müsste man wirklich physisch vor Ort sein. Telekommunikationsanbieter und Banken haben zum Beispiel keinen Air Gap. Die müssen über das Internet erreichbar sein, das ist schließlich deren Dienst.

Wie hoch ist denn die Gefahr, dass sowas passiert?

Die Gefahr ist eigentlich immer da. Und ganz ehrlich, wenn kein Wasser mehr aus dem Hahn kommt, kann dir als Bürgerin egal sein, ob jetzt ein durchgedrehter Putin oder eine Ransomware Täterbande die Kritische Infrastruktur lahmgelegt hat. Ransomware ist eine ganz akute Bedrohung. Jetzt haben wir noch Putin. Davon abgesehen besteht immer die Gefahr, dass Mitarbeiter Sicherheitspatches nicht zeitnah installieren und ein Wurm oder Trojaner die Systeme lahmlegt. Auch Naturkatastrophen sind eine Bedrohung für die Kritische Infrastruktur. Zuletzt gesehen haben wir das im Ahrtal. Da kommt eine Flutwelle und semmelt alles weg. Kurz gesagt: Es gibt viele Bedrohungen und potenzielle Gefahren. Gegen alle muss man sich geeignet aufstellen. Wer es nicht tut, oder sich nur auf die Abwehr einer Gefahr konzentriert, geht eben das Risiko eines Ausfalls ein. Mit der Kriegssituation ist der Grund eines Cyberangriffs jetzt ein bisschen vorgerückt. Aber insgesamt ist die Situation immer kritisch. Kritische Infrastruktur heißt so, weil sie nun mal kritisch ist.

Wird das Thema aufgrund der aktuellen Situation an Relevanz gewinnen bei den Behörden?

Es ist davon auszugehen, dass die Sicherheitsbehörden und das Militär so etwas sagen werden, wie „Wir müssen noch viel mehr gegen Cyber tun“. Sie werden Buzzwords wie Hackback und Cyber-Kriegsführung droppen und sagen, dass sie mehr Befugnisse brauchen. Vor dem Hintergrund, was in der Ukraine gerade passiert, ist dieses ganze Cybergeraffel aber ehrlich gesagt piefegal. In der Ukraine ist Krieg. Menschen sterben. Und zwar durch Waffen und Bomben. Natürlich wird Putin Cyberangriffe als Teil der Strategie nutzen. Hybride Kriegsführung nennt man das. Einen reinen Cyberkrieg wird es aber wohl nie geben. Dafür ist es nicht nachhaltig genug.

Was heißt „nicht nachhaltig genug“?

Ein durch einen Cyberangriff lahmgelegtes System kann man wieder aufbauen. Aber zur Unterstützung Fake News zu verbreiten, ist natürlich sehr effiziente Propaganda. Früher wurden Flugblätter abgeworfen, jetzt werden gezielt Videos mit falschen Inhalten in den Sozialen Medien gestreut. Das Prinzip ist das Gleiche. Es ist logisch, dass Putin das macht. Die Deutschen würden das übrigens auch machen. Im Kommando Cyber- und Informationsraum nennt sich das offiziell „Destabilisierung der Bevölkerung von innen“.

Was ist der Kommando Cyber- und Informationsraum?

In der Bundeswehr gab es früher drei Bereiche: Luft, Boden und Wasser. 2017 kam Cyber dazu und letztes Jahr der Weltraum. Das heißt, heute gibt es fünf statt drei zentraler Einheiten. Dem Bereich Cyber sind derzeit circa 14.500 Soldatinnen unterstellt.

Die sich um den Desinformationsaspekt kümmern?

Nicht nur. Der Großteil der Soldatinnen ist in der Verteidigung. Sie müssen ihre eigenen IT-Systeme betreiben, schützen und warten. Aber daneben gibt es eben auch das ZCO, das Zentrum Cyber Operation. Die führen offensive Cyberoperationen aus.

Was muss man sich unter offensiven Cyberoperationen vorstellen?

2015 sind Bundeswehrhacker zum Beispiel in Afghanistan ins Mobilfunknetz eingebrochen, um den Standort des Telefons einer Geisel zu orten. So konnten sie bestätigen, dass die Geisel wirklich bei den Geiselnehmern war.

Mit den Expertenteams, die von der EU in die Ukraine geschickt wurden, hat das nichts zu tun?

Nein. Das ist was ganz anderes. Das ist ein EU-Team, Deutsche waren da nicht dabei. Das sind defensive Verteidigungsexperten. Die können forensische Auswertungen machen und auf Vorfälle entsprechend reagieren und versuchen dann, das Schadensausmaß einzudämmen.