"Wir brauchen eine einheitliche Sicherheitsstruktur"

Im Oktober kam es zu einem Sabotageangriff auf die Deutsche Bahn. Auch wenn es damals eine physische Attacke war: Wie hat sich der Vorfall auf Ihre IT-Sicherheitsstrategie ausgewirkt?

Fischer: Für den Bereich Cyber-Security gab es hier keinen Handlungsbedarf.

Und wie gehen Sie damit um, falls Sie von einer Cyberattacke getroffen werden?

Fischer: Darüber möchte ich nicht spekulieren. Aber in Unternehmen ist es heute allgemein üblich, das Grundprinzip der Cyber Resilience (Widerstandsfähigkeit) zu verfolgen.

Können Sie ein Beispiel für ein Resilience-Konzept nennen, ohne zu viel zu verraten?

Fischer: Gängige Praxis ist etwa die Analyse von Angriffsvektoren im sogenannten MITRE Attack Modell und daraus Abwehrstrategien zu entwickeln. Wichtig ist, sich das Angreiferdenken zu eigen zu machen.

Vor dem Hintergrund des Vorfalls im Oktober forderten Sicherheitsexperten und Regierungsvertreter umfangreichere Schutzmaßnahmen für KRITIS-Organisationen. Was muss ihrer Meinung nach noch passieren, damit deutsche KRITIS-Betreiber künftig (im Cyberraum) besser geschützt sind?

Fischer: In anderen Staaten gibt es eine zentrale Koordinationsstelle, wie beispielsweise das Department of Homeland Security in den USA. Auch Private Public Partnerships können dazu beitragen, dass man sich frühzeitig auf so eine Gefahrenlage einstellen kann. In Deutschland hingegen liegen die Themen in verschiedenen Händen. Dadurch ist es zum Teil schwierig einzuordnen, wer für welchen Sachverhalt zuständig ist.

Also bräuchte es in Deutschland eine zentrale Sicherheitsstelle…

Fischer: Wir brauchen Rahmenbedingungen, die eine engere interdisziplinäre und organisationsübergreifende Zusammenarbeit zwischen Industrie und Behörden auf nationaler und europäischer Ebene vereinfachen.

Im Grunde sind die Voraussetzungen dafür bereits in Form des BSI geschaffen. Eine engere internationale Zusammenarbeit wird jetzt ebenfalls von der NIS 2 EU-Richtlinie gefordert, das kann bei der Stärkung helfen und war eine dringend erforderliche Verbesserung.

Sie haben bessere Rahmenbedingungen erwähnt, welche wären das?

Fischer: Wir brauchen internationale und übergreifende Lage-Informationen, auch industrieübergreifend und entlang von Lieferketten, sowie Rahmenbedingungen, die eine noch engere Vernetzung mit Behörden und Nachrichtendiensten schaffen, um über ein Real-time-Lagebild die Verteidigung noch reaktionsschneller zu organisieren.

Lassen Sie uns nochmal auf die aktuelle Bedrohungslage blicken. Sicherheitsanalysen zufolge zählen Ransomware- und DDoS-Attacken weiterhin zu den größten Cybergefahren für Unternehmen. Wo sehen Sie aktuell die größte Bedrohung?

Fischer: Eine entscheidende Rolle spielt der Faktor Mensch. Der Blick in die Vergangenheit zeigt, dass Mitarbeitende oder Lieferanten immer wieder unbeabsichtigt Teil eines Angriffs waren. Deshalb ist eine kontinuierliche Sensibilisierung der Mitarbeitenden wichtig.

Dazu gibt es mittlerweile in der Industrie einen breiten Konsens. Eine weitere Initiative ist die Einbeziehung der Lieferketten in die Bedrohungsabwehr. Hierfür gibt es bereits internationale Bestrebungen, die Lieferkettensicherheit auch kollektiv, das heißt industrieübergreifend, zu systematisieren und effektiver zu gestalten.

Ein Beispiel ist die Software Bill of Material (SBOM), die stark auf die Sicherheit von übergreifend genutzten Softwarekomponenten fokussiert und gerade globale Bedeutung erlangt. Das kann uns helfen bei Vorfällen wie log4j vor die Lage zu kommen.