Bund und Länder haben in dieser Woche mit der LÜKEX 11 den „Cyber-Ernstfall“ geprobt, einen koordinierten Angriff auf staatliche Institutionen, Energieversorger, Krankenhäuser und andere Stellen. Auch wenn das wichtig ist: Noch wichtiger ist es, die Risiken solcher Angriffe gezielt zu verringern.
Die LÜKEX (Länder Übergreifende Krisenmanagementübung / EXercise) ist eine alle zwei Jahre stattfindende Übung, bei der Bund und Länder die Reaktion auf Krisenszenarien üben. Das waren in den vergangenen Jahren beispielsweise massive Wintereinbrüche oder terroristische Anschläge. Dieses Jahr ging es nun um die Reaktion auf massive Angriffe über das Internet.
Das ist keineswegs ein unrealistisches Szenario. Estland ist bereits im April 2007 Opfer eines solchen Angriffs geworden. Und seitdem sind die Angreifer noch professioneller geworden. Hinter Stuxnet und Duqu stecken mutmaßlich staatliche Angreifer. Ein Angriff unlängst auf AT&T ist nach Angaben der philippinischen Polizei und des FBI von einer terroristischen Vereinigung unterstützt worden. Auch die technische Umsetzung von Angriffen ist ausgefeilter geworden. Kurz: Die Bedrohungslage hat sich verschärft.
Leider zeigen die erfolgreichen Angriffe auf vertrauliche Daten bei RSA Security und auf verschiedene CAs (Zertifizierungsstellen), dass auch Unternehmen, die vergleichsweise gut geschützt sind, nicht gegen erfolgreiche Angriffe gefeit sind. Anders formuliert: Wenn schon diejenigen, bei denen man eine starke Absicherung voraussetzen sollte (und bei denen es diese zumindest teilweise auch gab), Opfer von Angriffen werden können, wie soll dann ein Schutz bei der breiten Masse der staatlichen Institutionen funktionieren?
Ein Ansatz kann eine stärkere Standardisierung der Schutzmaßnahmen sein. IT-Schutz nicht als Aufgabe der einzelnen Behörde und Organisation, sondern als koordinierte Maßnahme. Das hat allerdings den grundlegenden Nachteil, dass sich dann auch überall die gleichen Löcher finden werden – denn absoluten Schutz gibt es nicht. Dennoch wird man das durchschnittliche Schutzniveau so wohl deutlich steigern können.
Die richtige Balance zwischen Bequemlichkeit und Sicherheit muss manchmal auch unbequem sein.
Viel grundlegender setzt man an, wenn man sich überlegt, wie man Netze trennen kann. Welche Teile der IT eines Energieversorgers, Krankenhauses oder einer Behörde sollen über das Internet arbeiten oder mit ihm verbunden sein – und welche nicht?
Auch das bietet keinen vollständigen Schutz, wie beispielsweise Stuxnet gezeigt hat. Dort ging der Angriffsweg über USB-Sticks, die bei der Wartung verwendet wurden. Solche Schnittstellen lassen sich aber vergleichsweise gut kontrollieren, wenn man ihre Zahl und Nutzung entsprechend reglementiert.
Natürlich wird dann gleich das Argument kommen, dass beispielsweise ein Arzt auch mal schnell etwas im Internet recherchieren können muss oder Behördenmitarbeiter für viele Aufgaben ebenfalls einen Internet-Zugang benötigen. Hier muss man dann aber überlegen, ob man das nicht über getrennte Geräte macht. Der Preis, der dafür zu zahlen wäre, wäre die Bequemlichkeit und eine genaue Analyse, wo es Schnittstellen braucht.
Wenn man einen Self Service über das Internet anbietet, muss dieser mit internen Systemen verknüpft sein. Eine völlige Trennung geht nicht. Aber eine völlige Durchmischung, der wir uns immer mehr nähern, ist mit Blick auf die Sicherheit ein erhebliches Risiko. Hier gilt es, grundlegend darüber nachzudenken, wo und wie das Internet in solchen sensitiven öffentlichen Bereichen in Zukunft genutzt wird, wo nicht und wie ein Übergang erfolgt und kontrolliert wird.
Nicht alle Risiken lassen sich vermeiden.
Man kann nicht alle Risiken ausschließen. Man kann sie aber doch deutlich minimieren. Und das ist die wichtigste Herausforderung für Bund, Länder, Kommunen und andere öffentliche Stellen ebenso wie für die Versorgungsinfrastruktur. Dabei muss konzertiert gehandelt werden, um die Expertise optimal einzusetzen und gute Lösungen zu erreichen. Dazu gehören neben Übungen auch permanente Überwachungs- und Analysestrukturen, also Frühwarnsysteme, die sich über alle betroffenen Stellen erstrecken.
Das setzt entsprechende Investitionen voraus – in Sicherheitslösungen, aber insbesondere auch in die Ausbildung. Denn IT-Sicherheit setzt ein profundes Wissen voraus. Und es setzt auch ein Grundwissen bei allen Anwendern voraus, denn bei vielen Angriffen ist der Einstiegspunkt ein „normaler“ Anwender, der auf eine Phishing-Mail oder Social Engineering reinfällt. LÜKEX 2011 ist wichtig – aber es reicht nicht aus.