"Wir brauchen ein unabhängiges BSI"

Der russische Überfall auf die Ukraine hat auch zu einem Cyberkrieg zwischen den beiden Ländern geführt. Gibt es Anzeichen dafür, dass Deutschland hiervon ebenfalls betroffen sein könnte?

Wiesner: Dass sich solche Cyberangriffe nicht auf einzelne Länder beschränken, liegt ja in der Natur der Sache. Automatische Angriffe mit Malware zum Beispiel, lassen sich nun mal nicht so eindämmen, dass sie nur das eigentliche Opfer erreichen. Natürlich werden Kollateralschäden verursacht, dementsprechend sind wir auch betroffen. Russland greift aber auch gezielt einzelne IT-Infrastrukturen in den USA oder Europa an. Deshalb ist die Sicherheitslage in Deutschland sehr angespannt. Entweder, weil öffentliche Einrichtungen lohnenswerte Ziele darstellen, oder weil sie in Form von Kollateralschäden betroffen sind.

Welche KRITIS-Einrichtungen sind in Gefahr? Und wäre es denkbar, dass ein konsolidierter Angriff auf uns zukäme, in dessen Rahmen Versorger, Bundesbhörden, Telcos etc. zeitgleich lahmgelegt werden?

Wiesner: Grundsätzlich sind alle kritischen Infrastrukturen in Gefahr, weil sie Teil der gesellschaftlichen Versorgung sind. In dieser Kriegssituation geht es ja auch um Destabilisierung. Die jüngsten Cyberattacken auf Ölfirmen, Flüssiggasinfrastruktur oder die Windindustrie zeigen, dass diese Ziele für russische Hacker durchaus lohnenswert sind. Dadurch können sie ihre Gegner schwächen.

Man wird aber nicht so einfach sagen können, ob hier gezielte Angriffe vorliegen oder ob diese - quasi als Beifang der Akteure - gerne zusätzlich mitgenommen werden. Nehmen wir als Beispiel den Vorfall bei Nordex: Die pro-russische Hackergruppe Conti hat bekannt gegeben, den Windanlagenbetreiber gehackt zu haben. Aber ob das jetzt nur ein Angriff von Conti war oder ob er staatlich gesteuert wurde, wissen wir nicht.

Wie schätzen Sie die Risiken für die kritische Infrastruktur in Deutschland ein?

Wiesner: Das hängt je nach Sektor von verschiedenen Faktoren ab. Je größer der Beitrag eines KRITIS-Sektors ist, desto weitreichender sind die Schäden. Auf der anderen Seite geht es auch um die Eintrittswahrscheinlichkeit. Es gibt Bereiche, die nicht so gut abgesichert und resilient gegen Cyberangriffe sind.

Ein weiteres Problem ist, dass es in Deutschland regulatorische Unterschiede gibt. Im Rahmen des ersten IT-Sicherheitsgesetzes wurden einige Sektoren erstmals zur kritischen Infrastruktur gezählt, dort mussten also Maßnahmen neu umgesetzt werden. Andere Bereiche waren schon umfassend reguliert, etwa die Banken durch die BaFin oder die Stromversorger durch die Bundesnetzagentur. Diese hatten dadurch schon einen Vorsprung in Sachen Sicherheit. Prinzipiell kann man sagen, dass Organisationen, die nicht reguliert sind, in der Regel auch schlechter aufgestellt sind.

Schwellenwert für KRITIS-Betreiber muss angepasst werden

Wann gilt überhaupt eine öffentliche Infrastruktur als "kritisch"?

Wiesner: Die Definition ist klar: Dazu gehört alles, was das IT-Sicherheitsgesetz und die Kritis-Verordnung zur kritischen Infrastruktur zählen. Das sind zum einen die einzelnen Sektoren beziehungsweise Branchen, wie Energie, Strom und Wasser. Zum anderen ist die Anzahl der versorgten Menschen entscheidend. Hier liegt der Schwellenwert in der Regel bei 500.000 und genau dort liegt das Problem. Nehmen wir als Beispiel die Wasserwerke. Nur ein Prozent der Betreiber fallen darunter, der Rest, also 99 Prozent, sind demnach nicht verpflichtet, die Maßnahmen umzusetzen. Da müsste dringend nachjustiert werden.

Ein weiterer Punkt ist, dass die Lieferkette nicht ausreichend mit einbezogen wird. Sie wird zwar auch bei einer KRITIS-Prüfung berücksichtigt, doch dadurch, dass viele Betreiber die gleichen Produkte oder Dienstleister einsetzen, könnte bei einem Angriff eine Art Kaskadeneffekt entstehen. Wenn zum Beispiel ein bestimmtes Produkt attackiert wird, dass in vielen Wasserwerken zum Einsatz kommt, geschieht das überall zur gleichen Zeit. Damit könnte es durchaus zu flächendeckenden Ausfällen kommen.

Mit anderen Worten: Deutschland ist in Sachen Cyberabwehr noch nicht gut aufgestellt?

Wiesner: Wenn Sie die Schulnote Gut meinen, würde ich sagen nein. Da tendiere ich eher zu Befriedigend oder Ausreichend. Es gibt natürlich auch Kolleginnen und Kollegen die meinen, dass wir überhaupt nicht vorbereitet seien. Wie gut die Ausgangslage bei der IT-Sicherheit ist, hängt eben sehr von den jeweiligen Sektoren ab.

Mit welchen Angriffsarten ist konkret zu rechnen?

Wiesner: Letztendlich mit der kompletten Palette, die den Angreifern zur Verfügung steht - von ungerichteten einfachen Attacken bis hin zu ausgeklügelten APT-Angriffen. Dabei wird alles genutzt, was sich schon in der Vergangenheit bewährt hat. Da insbesondere die Steuerung industrieller Automatisierungstechnik immer mehr im Fokus steht, sehen wir, dass gezielt Malware für diesen Bereich entwickelt wird.

Lesetipp: Politisch motivierte Cyberangriffe - Die vier gefährlichsten Akteure im Netz

Sie haben vor kurzem kritisiert, dass es keine übergreifende Sicherheitsstrategie in Deutschland gibt. Wie müsste diese aussehen? Welchen rechtlichen Rahmen bräuchte es, und wer müsste die Verantwortung dafür übernehmen?

Wiesner: Was die Aufgaben und die Kompetenzen betrifft, bräuchte es ein starkes, unabhängiges Bundesamt für Sicherheit in der Informationstechnik (BSI) als Dreh und Angelpunkt für eine wirksame Cybersicherheitsstrategie. Aktuell ist dieses Thema auf zu viele einzelne Behörden verteilt, die sich nur unzureichend abstimmen. Das könnte man wesentlich schlagkräftiger gestalten, indem das Ganze eben zentral im BSI zusammenläuft. Wichtig ist dabei, dass das Amt unabhängig ist. Da es derzeit dem Bundesinnenministerium unterstellt ist, ist nie ganz klar, in welchem Interesse es handelt.

Ein wichtiger Aspekt ist auch der Fachkräftemangel. Das BSI hat zwar vor kurzem neue Stellen erhalten, aber das reicht noch nicht aus. Wenn man sich die Konditionen im öffentlichen Dienst ansieht, werden die Besten kaum zum BSI gehen. Die Privatwirtschaft zahlt höhere Löhne und bietet in der Regel ein moderneres Arbeitsumfeld. Damit das BSI kompetente Mitarbeiter bekommt, müssen die Strukturen angepasst werden.

Vor dem Hintergrund der russischen Cyberangriffe hat sich Innenministerin Nancy Faeser für sogenannte Hackbacks ausgesprochen, also staatliche Gegenangriffe aus dem Netz. Viele Sicherheitsexperten halten das für gefährlich. Wie beurteilen Sie das?

Wiesner: Hackbacks sind absolut kein geeignetes Mittel für die Cyberabwehr - allein schon deshalb, weil dadurch Kollateralschäden entstehen. So können beispielsweise KRITIS-Betreiber betroffen sein und ein Konflikt kann schnell eskalieren. Nehmen wir als Beispiel einen Angriff, der von einer IP-Adresse eines Krankenhauses ausgeht. Was ist, wenn der Angreifer ein Krankenhaussystem übernimmt und von dort aus Angriffe startet? Soll der Gegenangriff wirklich gegen dieses Krankenhaus erfolgen? Da ist Schnell Leib und Leben in Gefahr. Solche Kollateralschäden will, glaube ich, niemand riskieren. Deshalb sprechen wir uns von der AG KRITIS ganz klar für eine rein defensive Sicherheitsstrategie aus.

Welche Vorkehrungen sollten Organisationen jetzt neben den üblichen Sicherheitsmaßnahmen treffen? Sind das die üblichen Themen wie Patching, Endpoint Security, Backups, Incident Response Plan etc.?

Wiesner: Diese Maßnahmen sind in aller Regel sinnvoll. Aktuell gibt es vom BSI auch wieder die Empfehlung an Unternehmen, genügend Personalressourcen im Security-Bereich vorzuhalten. Auch an den Wochenenden sollte das Sicherheitspersonal in Bereitschaft sein, um bei einem Notfall reagieren zu können.

Bei den Maßnahmen selbst liegt der Teufel im Detail. Es hilft nicht, irgendwo ein Compliance-Häkchen zu setzen, nach dem Motto "So das habe ich jetzt erledigt, und ich bin sicher". Viele Unternehmen denken auch, es reiche aus, Sicherheitstechnik einzukaufen. Doch wenn diese nicht richtig konzipiert und betrieben wird, bringt sie gar nichts. Es ist wichtig, die eigene Verteidigung immer wieder an die aktuelle Bedrohungslage anzupassen.

Man muss sich die möglichen Maßnahmen genau ansehen und überlegen, wie man sie umsetzt. Nehmen wir zum Beispiel den Schutz vor Phishing-Attacken. Die meisten Unternehmen setzen heute auf Kampagnen zur Sensibilisierung der Mitarbeitenden mit simulierten Phishing-Mails. Gleichzeitig werden aber immer noch alte Worddateien und Passwort-geschütze Zip-Dateien in Mails verschickt. Oft werden auch keine Links herausgefiltert. Solange solche aktiven Inhalte zugelassen werden, ist das ein großes Einfallstor. Da nützen auch Sensibilisierungsmaßnahmen nichts mehr. Es ist an der Zeit zu sagen, diese Dateien werden nicht per E-Mail verschickt!

Nachlässigkeit beim Patchen und veraltete Endpoint-Security

Patch Management ist auch so ein Thema. Es kann nicht sein, dass Unternehmen immer noch öffentlich zugängliche Systeme mit Schwachstellen betreiben. Wenn ich mir in manchen Unternehmen die Patch Management Policy ansehe, dann ist da zu lesen, dass die Teams fünf Tage Zeit haben, eine kritische Sicherheitslücke zu schließen. Das ist fahrlässig. Wenn die Systeme von außen erreichbar sind, muss die Lücke sofort geschlossen werden. Im Zweifel sollte ein unsicherer Dienst deaktiviert werden.

Auch das Zugriffsmanagement ist ein wichtiges Thema für die Sicherheit. Es sollte keinen Fernzugriff ohne Multifaktor Authentifizierung (MFA) geben. Aus meiner Sicht ist es ein absolutes No Go, nur Benutzername und Passwort zu verwenden. Bei der Zugriffsverwaltung kommt es auf Details an. Zum Beispiel, wenn ich ein Zertifikat als zweiten Faktor verwende, muss ich auch dafür sorgen, dass das Endgerät geschützt ist. Auch die Administratoren intern dürfen nicht mehr ohne MFA arbeiten, da Angreifer sonst leicht Lateral Movement betreiben können.

Ein weiteres Problem ist, dass viele Unternehmen noch immer veraltete Endpoint-Security-Systeme einsetzen. Diese erkennen lediglich bekannte und keine unbekannte Schadsoftware. Entscheidend ist, dass Angriffe automatisiert abgewehrt werden können. Mit einem klassischen Virenscanner kommen wir da nicht weiter, neuere Systeme mit Machine Learning sind da wesentlich besser. Doch neben den präventiven braucht es auch detektierende und reagierende Maßnahmen wie Incident Response. Wenn ich einen Angriff erkannt habe, muss ich dem etwas entgegensetzen. Ich muss zum Beispiel Dienstleister an der Hand haben, die mich bei der Bewältigung unterstützen. Da gibt es in den meisten Unternehmen einen enormen Nachholbedarf.

Natürlich gibt es auch noch ein paar Oldies bei den Sicherheitstipps wie Netzwerksegmentierung, wo die Produktionstechnik von der Office-IT getrennt wird. Aber auch hier sind längst nicht alle Unternehmen gut aufgestellt.

Einer Studie zufolge verwenden 88 Prozent der Unternehmen weltweit veraltete Open Source Software, obwohl Patches verfügbar wären. Woran liegt das?

Wiesner: Ja, das ist auch meine Erfahrung. Das Problem ist, dass man sich beim Patching hauptsächlich auf Windows konzentriert hat. Die Unternehmen, die ihr Patch Management halbwegs im Griff haben, kümmern sich vor allem darum, ihre Windows-Betriebssysteme, Anwendungs- und Serversoftware zu aktualisieren. Wenn ich Penetrationstest durchführe, sehe ich, dass an diesen Stellen mittlerweile weniger Schwachstellen sind. Auf der anderen Seite fallen mir aber ganz viele Open Source Webserver auf, die seit fünf oder zehn Jahren nicht gepatcht wurden!

Lesetipp: IT-Spezialist zum Cyberkrieg - "Systeme dürfen nicht per Software veränderbar sein"