Die neues Achilles-Ferse für Kommunen und Co: IT-Sicherheit

Die Politikerin Saskia Esken und der Datenschutz-Profi Dirk Arendt sprechen im Interview über KRITIS, kritische Infrastrukturen, und ihren Schutz

In Zeiten von Hackerangriffen und Cyberkriminalität kommt dem Thema Datenschutz immer größere Bedeutung zu. KOMMUNALtopinform sprach mit Saskia Esken, der SPD-Bundestagsabgeordneten im Wahlkreis Calw/Freudenstadt in Baden-Württemberg, die auch Mitglied des Ausschusses Digitales des Bundestags ist, und Dirk Arendt, dem Leiter Public Sector & Government Relations bei Check Point Software Technologies, zum Thema KRITIS.

Wie schätzen Sie die aktuelle Gefährdungslage zu KRITIS in Baden-Württemberg ein?

Saskia Esken: Die Definition „kritische Infrastruktur“ umfasst ja Institutionen, die für das öffentliche Leben von kritischer Bedeutung sind. Weil heutzutage alles mit allem vernetzt ist und starke Abhängigkeiten voneinander existieren, hat der Ausfall so einer kritischen Infrastruktur systemische Folgen, die schnell alles lahmlegen können. Die Gefährdungslage zu KRITIS in Baden Württemberg ist aber keine andere als anderswo in Deutschland.

Dirk Arendt: Insgesamt wachsen die Anzahl und Qualität von cyberkriminellen Angriffen rasant, und damit  müssen unsere Anstrengungen wachsen, uns dagegen zu wappnen. Dazu gehören technische und organisatorische Sicherheitsmaßnahmen – etwa die Erkennung und Abwehr von Schadsoftware, aber auch die Trennung von Geschäftsbereichen und die strikte Beschränkung und Kontrolle des Zugangs zu Gebäuden und Systemen. Wir müssen uns auch Gedanken darüber machen, wie wir im Falle eines unerkannten und deshalb erfolgreichen Angriffs die Systeme möglichst schnell wieder zum Laufen bringen.

 

Das BSI hat in seinem Lagebericht zur IT-Sicherheit in Deutschland 2018 den Vorfall bei der EnBW-Tochter Netcom aus dem Jahr 2017 beschrieben. Können Sie kurz zusammenfassen, was passiert war und welche Folgen diese Attacke auf das Versorgungsgebiet hatte?

Saskia Esken: Wie üblich kann man der Presse mehr entnehmen als den Verlautbarungen der Behörden. Wenn das stimmt, was Ihre Kollegen da recherchiert haben, und davon gehe ich aus, dann hat der Verfassungsschutz verdächtige Vorgänge im Netz beobachtet und die Netcom BW darauf hingewiesen. Die Angreifer sollen eine Schwachstelle in einem CISCO-Router ausgenutzt und über den gehackten Zugang eines externen Dienstleisters Zugriff auf den Internetverkehr des Unternehmens gehabt haben.
Es gab mehrere Angriffsversuche, die über den Sommer 2017 verteilt waren. Das Unternehmen versichert, es sei kein Schaden entstanden, und doch ermittelt der Generalbundesanwalt. Für mich sieht das nach einem professionellen Angriff aus, der möglicherweise früh genug entdeckt und unschädlich gemacht werden konnte. Auswirkungen auf die Stromnetze hatte der Angriff keinesfalls – die sind von den Kommunikationsnetzen der EnBW ebenso wie von denen der Netcom BW getrennt.

Dirk Arendt: Der Angriff auf Netcom ist kein Einzelfall. Täglich gibt es weltweit Cyberattacken im hohen sechsstelligen Bereich. Davon sind natürlich auch Organisationen betroffen, die sich den kritischen Infrastrukturen zuordnen lassen. Doch wie Frau Esken schon sagte, hat ein Ausfall von kritischer Infrastruktur im Gegensatz zu anderen Bereichen weitaus größere Folgen. Eine Störung oder gar ein Ausfall kann zu Engpässen in der Versorgung oder zur Gefährdung der öffentlichen Sicherheit führen. Das BSI berichtet im aktuellen Lagebericht 2018, dass es im Untersuchungszeitraum von Juli 2017 bis einschließlich Mai 2018 allein für den KRITIS-Sektor 145 Meldungen zu Angriffen gab. Die meisten davon im IT- und Telekommunikationsbereich, dicht gefolgt vom Energiesektor.

 

Aus der großen Anfrage der FDP zu Beginn des Jahres ging hervor, dass unter anderem das Landesamt für Besoldung und Versorgung in 2017 von einem Ransomware-Angriff so schwer betroffen war, dass hier grundlegende bürgernahe Services nicht verfügbar waren. Was können Sie zu diesem Vorfall sagen?

Saskia Esken: Die Portale des LBV, wo Beamten online Zugang zu Services bezüglich ihrer Besoldung und Versorgung haben, waren über mehrere Tage angegriffen worden und wurden dann vom Netz genommen, um sie forensisch zu untersuchen und wieder neu aufzusetzen. Die Fachverfahren des LBV sind aber getrennt von diesen Anmeldeservern, so dass Anträge zwar nicht online eingereicht werden, aber dennoch bearbeitet werden konnten.

 

Und welche Maßnahmen müssen nun kommunale Einrichtungen ergreifen, um sich zukünftig vor solchen Angriffen zu schützen?

Saskia Esken: Zunächst geht es darum, einen solchen Angriff abzuwehren und zu verhindern. Dazu gehören regelmäßige Systemupdates und weitere technische und organisatorische Maßnahmen aus dem IT-Grundschutz ebenso wie die Schulung von Mitarbeitern, damit verdächtige Links und Anhänge nicht angeklickt und geöffnet werden. Dazu kommen Krisenpläne, Backups und Notfallsysteme, die einen Weiterbetrieb auch gewährleisten, wenn einmal ein Angriff erfolgreich war.

Dirk Arendt: Die große Herausforderung im Bereich KRITIS ist, dass diese Unternehmen sich neben herkömmlichen Angriffen auch mit fortschrittlicheren Attacken auseinandersetzen müssen. Das Problem dabei ist, dass die Tools, Maßnahmen, Aktionspläne – falls überhaupt vorhanden – nicht dem Stand entsprechen, auf dem sich die Angriffe befinden. Es wird also versucht, mit veralteten Systemen und Konzepten, Angriffe abzuwehren, die schon einige Generationen weiter sind. Deshalb ist es wichtig, bestehende Lösungen zu ergänzen, beziehungsweise zu aktualisieren und verschiedenen Abwehrmöglichkeiten so zu kombinieren, dass ein möglicher Erfolg einer Cyberattacke auf ein Minimum reduziert wird.

 

Welche Empfehlungen können Sie grundsätzlich abgeben?

Saskia Esken: Ich kann der Landesregierung nur empfehlen, nicht nur die eigenen Einrichtungen und Unternehmen, sondern auch die Kommunen und ihre Einrichtungen dabei zu unterstützen, Maßnahmen nach IT-Grundschutz umzusetzen, auch wenn sie nicht dazu verpflichtet sind. Ganz entscheidend kommt es zudem darauf an, die Mitarbeiter zu schulen, das Thema IT-Sicherheit in der Organisation hoch anzusiedeln und immer aktuell zu halten.

Dirk Arendt: Sicherheit ist ein Grundbedürfnis und sollte somit auch ein priorisiertes Ziel für Unternehmen und Organisationen sein. Die IT-Security ist im Idealfall in das tägliche Geschäft und in die Arbeitsabläufe eingebunden. Von Antiviren-Programmen, einer Firewall über SIEM-Lösungen bis hin zur Nutzung sogenannter Indicators of Compromise (IoCs)[1] – für eine umfassende Angriffsprävention muss eine strategische Ausrichtung aller Komponenten stattfinden. Und es reicht nicht, die Hard- und Software abzusichern, auch Nutzer müssen geschult werden. Das Ausspähen des Umfelds der Opfer, das sogenannte Social Engineering, ist ein beliebter Weg, sich Zugang zur gesamten IT-Struktur eines Unternehmens zu schaffen. Auch die mobilen Devices, die Mitarbeiter mit in das Unternehmen und möglicherweise auch in das dazugehörige Netzwerk bringen, können als Einfallstor für Cyberkriminelle dienen.

 

Aktuell wird im Bund eine Verschärfung des IT-Sicherheitsgesetzes diskutiert und es scheint, dass für 2019 eine Art IT-Sicherheitsgesetz 2.0 geplant wird.
Können Sie den aktuellen Stand der Diskussion zusammenfassen?

Saskia Esken: Das IT-Sicherheitsgesetz soll nach den Erfahrungen der vergangenen Jahre eine Weiterentwicklung erfahren. Die kritischen Infrastrukturen sollen neu bewertet werden. Zudem soll die Zusammenarbeit des BSI mit der Wirtschaft weiter intensiviert werden. Wir reden aber auch über die Stärkung der Kompetenzen des BSI, etwa im Zusammenhang mit dem Verbraucherschutz in IT-Sicherheitsfragen. Dazu kommen die Überlegungen zum Ausbau des sogenannten Nationalen Cyber-Abwehrzentrums, das derzeit eher den Charakter eines unregelmäßig tagenden Runden Tisches zu haben scheint, zu einer ständigen, wirkungsvollen und schlagkräftigen Einrichtung.

 

Bitte nennen Sie ein paar Beispiele für zusätzliche Bereiche, die Ihrer Ansicht nach unter KRITIS und damit das IT-Sicherheitsgesetz fallen sollten?

Saskia Esken: Hierzu könnten möglicherweise die chemische und die Arzneimittel- und Medizinprodukteindustrie gehören. Ich fände es auch wichtig, dass wir die Entwicklung von Hard- und Software besonders schützen. Dazu kommt die wichtige Frage, wie kritisch die Zulieferer der KRITIS-Einrichtungen bewerten werden müssen, und auch die Kriterien, nach denen eine Einrichtung im KRITIS-Bereich unter die Pflichten der KRITIS-Verordnung fällt, müssen möglicherweise überdacht werden. Größe ist nicht alles, ich denke, dass auch der Grad der „Vernetztheit“ eine wichtige Rolle spielen sollte.

Dirk Arendt: Sicherlich müssen wir über eine Verschärfung auch in Richtung Strafen denken. Zum einen, wenn Vorfälle verschwiegen werden, zum anderen aber auch, wenn herauskommt, dass gewisse Vorkehrungen vernachlässigt wurden. Fahrlässigkeit ist aus meiner Sicht ein wichtiges Thema, und wenn wir uns das bisherige Strafmaß für digitalen Diebstahl anschauen, dann gibt es hier sicherlich noch Luft nach oben.[2]

 

 

Warum werden Ihrer Meinung nach zu wenige Sicherheitsvorfälle an das BSI gemeldet?

Saskia Esken: Auch wenn IT-Sicherheitsvorfälle mittlerweile zu unserem Alltag gehören und jeden Tag in den Nachrichten vorkommen: Viele betrachten einen erfolgreichen Angriff immer noch als Imageschaden und würden am liebsten nicht darüber reden, insbesondere natürlich wenn die Lage auch für die öffentliche Sicherheit brenzlig war oder wenn beispielsweise Kundendaten betroffen sind. Aber Vorsicht: Hier besteht mittlerweile für alle Unternehmen und Institutionen eine Meldepflicht! Nach der Europäischen Datenschutz-Grundverordnung müssen Datenpannen an die Datenschutz-Aufsichtsbehörden gemeldet werden, wer das nicht macht, muss mit einem Bußgeld rechnen.

Dirk Arendt: Nach fast einem Jahr DSGVO haben wir Europa-weit bislang genau drei Fälle bei denen Strafen verhängt wurden. Einmal bei einem Krankenhaus in Portugal, das andere Mal bei einem sozialen Netzwerk in Deutschland und bei Google in Frankreich. Relativ wenig, und die Strafen und Vorfälle waren jeweils sehr unterschiedlich, alle drei stehen nicht im Zusammenhang mit Cyberangriffen, sondern Fahrlässigkeit beim Datenschutz. Wir wissen jedoch, dass tagtäglich Angriffe stattfinden und die wenigsten können komplett abgewehrt und der Verlust von Daten verhindert werden. Bestes Beispiel war der Vorfall um die gehackten und veröffentlichten Account-Informationen zu E-Mails von Politikern und Prominenten. Was wir hier brauchen ist eine Hotline, eine Notrufnummer wie 110 oder 112. Die 119 wäre zum Beispiel eine Nummer, die sich schnell merken lässt und die Opfer im Ernstfall wählen könnten. Eine solche Hotline könnte beim BSI oder bei den Landeszentren für Datenschutz eingerichtet werden.

 

Wie müsste das IT-Sicherheitsgesetz Ihrer Meinung nach verschärft werden, um KRITIS auch in Baden-Württemberg besser zu schützen?

Saskia Esken: Es ist wichtig, die Zusammenarbeit der Unternehmen mit den Behörden zu verbessern. Wir haben im Zusammenhang mit dem Datenleak bei Medienschaffenden und Politikern aber auch gesehen, dass der Arbeit und der Zusammenarbeit der Behörden eine stringente Struktur fehlt. Wenn Sicherheitsvorfälle bekannt werden beziehungsweise gemeldet werden, muss auch jede Behörde genau wissen, was zu tun ist.

 

Welche weiteren Empfehlungen in Sachen IT-Sicherheit können Sie kommunalen Einrichtungen  im Allgemeinen geben?

Saskia Esken: Ganz wichtig finde ich das Bewusstsein, dass es auch, aber eben nicht nur auf IT-sichere Technik ankommt. Ebenso müssen Organisation und Kontrolle von Zugängen zu Gebäuden, zu Räumen und zu Bereichen in der IT gut geregelt sein. Dazu kommt das Bewusstsein über die IT-Sicherheit als Aufgabe der gesamten Organisation, das sich in Verantwortlichkeiten und in Schulungsmaßnahmen zeigen muss. Nicht zuletzt sollte jede Organisation einen Krisenplan haben, mit dem sie Schäden begrenzen und ihre Funktionsfähigkeit nach einem Vorfall möglichst schnell wiederherstellen kann.

Dirk Arendt: Aus meiner Zusammenarbeit mit Behörden und kommunalen Verwaltungen kann ich sagen, dass es oftmals an Security Awareness fehlt. Es herrscht keine Vorstellung darüber, was sich ein Angreifer alles zunutze machen kann, um sich in ein System zu hacken. Zwar gibt es immer mehr Digitalisierungsprojekte, doch die IT-Security wird dabei oft vernachlässigt. Behörden und Verwaltungen sollten das Thema Sicherheit ganz oben auf die Tagesordnung setzen und von Anfang an berücksichtigen.

 

Weitere Informationen unter:

https://www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html

 

Fußnoten:

[1] IoCs sind Informationen über mögliche Gefahren, die sowohl von externen als auch internen Quellen zur Verfügung gestellt werden.

[2] StGB § 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

 

 

Die Politikerin Saskia Esken und der Datenschutz-Profi Dirk Arendt sprechen über kritische Infrastrukturen und ihren Schutz. Beide sind sich einig, dass immer noch zu wenig Bewusstsein darüber herrscht, wie einfach sich Angreifer Schwachstellen zunutze machen können, um sich in ein System zu hacken, und wie weitreichend dahingehen die Folgen sein können.

Die Politikerin Saskia Esken und der Datenschutz-Profi Dirk Arendt sprechen über kritische Infrastrukturen und ihren Schutz. Beide sind sich einig, dass immer noch zu wenig Bewusstsein darüber herrscht, wie einfach sich Angreifer Schwachstellen zunutze machen können, um sich in ein System zu hacken, und wie weitreichend dahingehen die Folgen sein können.


CheckPoint Logo

Zeppelinstr. 1
85399 Hallbergmoos

Tel. +49 811 998 21-0
Fax. +49 811 998 21-499
E-Mail. contact-germany@checkpoint.com
Web. www.checkpoint.com

13. März 2019


1 Stern2 Sterne3 Sterne4 Sterne5 Sterne

(5,00 bei 2 Person/en)

Das könnte Sie auch interessieren


Den Winterdienst in Echtzeit im Blick

Der nächste Winter kommt bestimmt und dann haben die kommunalen Bauhöfe alle Hände voll zu tun. Da wünscht sich so manch ein Bauhofleiter endlich ein elektronisch geführtes Räum-... mehr lesen