Interview mit Manuel Atug, AG Kritis

Grundschutz statt „Cyberwar“-Gerede

15. März 2022, 7:00 Uhr | Wilhelm Greiner
LANline-Cartoon Cybercrime
© Wolfgang Traub

Vor dem Hintergrund des russischen Angriffskriegs auf die Ukraine mehrten sich Sorgen über die Auswirkungen auf Deutschland. Eine dieser Sorgen: Der Krieg könnte nicht nur in Form von Desinformation und Propaganda, sondern auch in Form von Cyberattacken auf deutsche Unternehmen und kritische Infrastruktur (Kritis) übergreifen. Deshalb sprach LANline mit Manuel Atug, Sprecher der AG Kritis, einer Arbeitsgemeinschaft unabhängiger Fachleute mit Fokus auf die Sicherheit kritischer Infrastruktur, über die Bedrohungslage und erforderliche – teils dringend nötige – Maßnahmen.

LANline: Herr Atug, das Risiko von Cyberangriffen durch russische oder auch chinesische Gruppierungen hat sich durch den Ukraine-Krieg und Deutschlands Haltung dazu offenbar verschärft. Wie gut sind die Betreiber kritischer Infrastruktur in Deutschland nach mehreren Jahren Ransomware-Abwehr inzwischen gegen Cyberangriffe gewappnet?

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
„Die hohe Kunst des langanhaltenden, dauerhaften Ausfalls ist sehr komplex“, sagt Manuel Atug, Sprecher der AG Kritis.
„Die hohe Kunst des langanhaltenden, dauerhaften Ausfalls ist sehr komplex“, sagt Manuel Atug, Sprecher der AG Kritis.
© Manuel Atug

Manuel Atug: Da gibt es solche und solche. Es gibt Kritis-Betreiber*innen, die ein Mindestmaß an IT-Sicherheit erzielt haben, manche haben sich sehr gut aufgestellt. Aber es gibt immer noch viele Kritis-Betreiber*innen, die nach wie vor schlecht aufgestellt sind, dazu gehören insbesondere auch Kommunen und Landkreise. Diese verwenden aus ihrer Historie heraus oftmals Fachverfahren, die teils sehr alt sind – da laufen mitunter noch Windows-98-Systeme. Das mag für Archäologen interessant sein, aber ein aktueller und sicherer IT-Betrieb ist das nicht.

LANline: Wie konnte es zu dieser Situation kommen?

Manuel Atug: Aus dem IT-Sicherheitsgesetz ergeben sich Anforderungen, dass Kritis-Betreiber BCM- (Business Continuity Management, d.Red.) und IT-Sicherheitsmaßnahmen umsetzen müssen. Das gilt aber weder für den Kritis-Sektor Medien und Kultur noch für den Kritis-Sektor Staat und Verwaltung. Denn Medien und Kultur sind Landessache, und das BSI kann der Verwaltung auf Landes- oder Kommunalebene keine Vorgaben machen, da das BSI dem BMI (Bundesministerium des Inneren und für Heimat, d.Red.) untersteht. Daher bestehen für diese Bereiche quasi keine gesetzlichen Anforderungen zur IT-Sicherheit. Aber auch bei den übrigen Kritis-Bereichen findet man die ganze Bandbreite, wie gut Betreiber*innen aufgestellt sind. Dass wir immer wieder Ransomware-Angriffe erleben, zeigt, dass auch in diesen Bereichen unsichere Systeme vorhanden sind.

LANline: In welchem Maß stellt Ransomware ein Risiko für die Versorgungssicherheit dar?

Manuel Atug: Ransomware funktioniert nur mittels Sicherheitslücken. Was man dabei aber berücksichtigen muss: Ransomware führt zwar dazu, dass auch Betreiber*innen kritischer Infrastrukturen erpresst werden, aber in nur wenigen Fällen entstand dadurch ein Versorgungsausfall oder Versorgungsengpass der vom Gesetz abgedeckten Dienstleistungen. Der Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld (der im Juli 2021 die dortige Verwaltung lahmlegte, womit sie noch immer zu kämpfen hat, d.Red.) war definitiv eine Ausnahme. Auch die Uniklinik Düsseldorf musste 2020 den Ambulanzbetrieb für mehrere Tage einstellen. Aber es ist nichts davon zu hören, dass irgendwann Strom nicht mehr geflossen wäre oder die Wasserversorgung so gefährdet war, dass man das nicht kompensieren konnte. Einen gezielten und langanhaltenden Ausfall der Strom- oder Wasserversorgung zu bewirken ist nun einmal eine hochkomplexe Aufgabe. Das geht nicht so einfach wie in Hollywood, dass man nur ein bisschen auf der Tastatur klimpern muss. Denn Leitstand und Steuerung von Kritis-Umgebungen sind per Air Gap (vollständige physische und logische Trennung, d.Red.) entkoppelt von den Verwaltungssystemen, die über das Internet erreichbar sind. Das heißt, der Betreiber ist bei Verschlüsselung von Daten erpressbar, weil es wirtschaftlich schmerzt, Lieferungen nicht abrechnen zu können, aber die Produktion läuft dennoch weiter.

LANline: Wie hoch ist das Risiko eines anhaltenden Ausfalls der Strom- oder Wasserversorgung?

Manuel Atug: Die hohe Kunst des langanhaltenden, dauerhaften Ausfalls ist sehr komplex. Das hat man auch bei StuxNet gesehen: Das war ein irrsinniger Aufwand und die Schadsoftware musste per USB-Stick in die per Air Gap getrennte, autarke Netzumgebung eingespeist werden. In der Ukraine wiederum gab es 2015 und 2016 Angriffe auf die Stromversorgung. Hier war offenbar geplant, die Stromversorgung langanhaltend und großflächig lahmzulegen, das hat aber nicht funktioniert. Selbst der Triton-Angriff auf die saudi-arabische Raffinerie hat nicht funktioniert. Dort wollte man mit manipulierter Safety-Software mittels Überdruck in der Leitung eine Gaswolke austreten lassen, die dann explodieren sollte. Doch die Angreifer hatten glücklicherweise nicht alle Parameter richtig berücksichtigt. Man kann solche Angriffe mit der Wettervorhersage vergleichen: Es gibt unheimlich viele Parameter, und wenn Sie alle berücksichtigen, liegen Sie sehr nahe am echten Wetter, aber einen Forecast für eine ganze Woche zu erstellen ist sehr schwer. Das Risiko für erfolgreiche Angriffe auf kritische Infrastruktur ist also definitiv gegeben und durch die Kriegslage höher als sonst, aber die Eintrittswahrscheinlichkeit ist sehr überschaubar. Zum Vergleich: Auch beim Hochwasser im Ahrtal wurde kritische Infrastruktur zerstört, und Klimakatastrophen werden in den nächsten Jahren so wie auch Ransomware Angriffe deutlich zunehmen.

LANline: Ist das Sicherheitsniveau bei der Stromversorgung höher als in der Verwaltung, unabhängig davon, wie es um die OT-Kenntnisse auf Angreiferseite bestellt ist?

Manuel Atug: Jein. Es gibt auch schlecht aufgestellte Stromversorgungsunternehmen. Aber es gibt Air Gaps, und hier kommt noch viel analoge Technik zum Einsatz. Bei physischen Safety-Komponenten wie etwa Überdruckventilen an Rohren lässt sich mit Cyberangriffen nichts erreichen. Solche analogen Safety-Komponenten gibt es an vielen Schnittstellen in OT-Umgebungen, weil die Ingenieure Safety sehr stark berücksichtigen.

LANline: Wie hoch schätzen Sie das Risiko von Cyberwarfare ein, also nicht von „Cyberkrieg“, wie man sich das als Laie vorstellen mag, sondern allgemein von politisch motivierten, zielgerichteten zerstörerischen Cyberaktivitäten?

Manuel Atug: Es gibt keinen „Cyberkrieg“, aber es gibt den Hybrid Warfare: Man nutzt den digitalen Raum parallel zum analogen. Was wir derzeit oft beobachten, sind die klassischen Themen Desinformation und Propaganda sowie Spionage und Aufklärung, wie man in Militärkreisen sagt. Das gibt es alles seit vielen hundert Jahren, das ist Usus. Man muss hier zudem die Frage nach Motivation und Ziel stellen: Würde Putin in Deutschland über Cyberangriffe einen echten Stromausfall bewirken und würden Menschen dadurch zu Schaden kommen, könnte das laut NATO-Artikel 5 als Angriff gewertet werden und den Bündnisfall auslösen.


  1. Grundschutz statt „Cyberwar“-Gerede
  2. Erhöhte Bedrohungslage

Verwandte Artikel

AG KRITIS

Kritische Infrastrukturen

Security-Management