4 minute read
»ES GIBT IMMER EINE SCHWACHSTELLE«
Erfolgreiche Angriffe hingegen sorgen für Furore: Vergangenes Jahr legte eine Cyber-Attacke die Pädagogische Hochschule (PH) in Littenweiler lahm. „Campusnetz, E-Mail, Lernplattform ILIAS und andere Dienste waren nicht nutzbar und mussten zum Teil wieder aufgebaut und hochgefahren werden“, berichtet PH-Sprecherin Helga Epp. Wie der Angriff über die Pfingsttage gelang, möchte sie aus Sicherheitsgründen nicht sagen. Wer die Täter waren, ist nicht bekannt.
Wie gut die Sicherheit solcher Systeme ist, lässt sich laut Sebastian Koye, Geschäftsführer der Freiburger Datenschutzklinik, nur schwer beziffern. „Sie können zwanzig Mal gehackt worden sein und trotzdem ausgereiftere Sicherheitsmechanismen haben als jemand, der nur dreimal gehackt wurde. Viel hängt von den Fähigkeiten der Angreifer ab.“
Advertisement
Wichtig sei, die interne IT von der Außenwelt sowie dem Online-Auftritt zu trennen und das interne Netz zu segmentieren. „Am besten physikalisch, dann können nur Teilabschnitte erobert werden, während die restlichen Abschnitte intakt bleiben“, erklärt der 53-Jährige. Das Gäste-WLAN sollte nicht mit dem internen Netzwerk verbunden sein, USB- und Netzwerkanschlüsse in Ämtern nicht für die Öffentlichkeit erreichbar oder ganz deaktiviert sein.
Freiburg sei mit zwei Arten von Attacken aus dem Netz konfrontiert: „Es gibt unspezifische, massenhaft gestreute Angriffe, zum Beispiel durch sogenannte Phishing-Mails, die Zu-
Um Computer-Systeme über solche Zugangspunkte zu infiltrieren, muss man kein Hacker sein: Gebrauchsfertige Router, USB-Sticks oder sogar Kabel mit vorinstallierter Schadsoftware werden im Netz für wenige Euro angeboten. Ein Gang durch die belebte Besucherzone im Erdgeschoss des technischen Rathauses im Stadtteil Stühlinger ergibt: keine Ports in Sicht. Koye, der auch kleinere Kommunen wie die Gemeinde Todtmoos in Sachen Datenschutz und IT-Sicherheit berät, betont jedoch: „Hundertprozentige Sicherheit gibt es nicht. Egal, was Sie tun. Es gibt immer irgendwo eine Schwachstelle, die ausgenutzt werden kann.“ Permanent werden neue Einfallstore aufgedeckt, die zu Schnittstellen im System führen. Diese sogenannten Zero Day Exploits sind bis dato oft auch dem Softwareanbieter unbekannt.
Wie sicher ist also die kritische Infrastruktur der Stadtverwaltung? „Nachdem, was mir bekannt ist, liegt Freiburg im oberen Drittel“, sagt Koye. Andere Kommunen seien weniger gut aufgestellt: „Einige müssen deutlich nachlegen. Die notwendige Infrastruktur ist aber oft ein finanzielles Problem.“ Auch Koye bemerkt, dass Cyberangriffe immer professioneller werden. „Von Sprache bis Layout – falsche Mails werden immer besser. Sie sind fast auf das Pixel identisch.“ Und seine Erfahrung zeigt: In mehr als der Hälfte aller Fälle entschlüsseln Täter geklaute Daten auch dann nicht mehr, wenn Lösegeld gezahlt wurde. Immer wieder landen Firmendaten auch im Darknet, wo sie im freien Verkauf zu Geld gemacht werden. „Das ist ein Milliardengeschäft“, sagt er. Zur Kritischen Infrastruktur zählen auch Energieversorger wie Badenova. Das Unternehmen hält sich auf chilli-Anfrage allerdings bedeckt. „Wir äußern uns derzeit grundsätzlich nicht zu KRITIS, weil das Risiko besteht, dass jedes öffentliche Statement zu einem Stresstest der Infrastruktur führen kann. Gerade ein ‚wir sind sehr gut vorbereitet‘ provoziert Attacken“, sagt Badenova-Sprecher Manuel Zimmermann. Die Vorsicht ist verständlich: Eine dem Bundestag schon im Jahr 2011 vorgelegte Untersuchung geht davon aus, dass der Worst-Case, ein andauernder Stromausfall, einer „nationalen Katastrophe“ gleichkommt. „Betroffen wären alle Kritischen Infrastrukturen, und ein Kollaps der gesamten Gesellschaft wäre kaum zu verhindern“, warnt das 133-seitige Papier.
Mit Einem Bein Ber Dem Abgrund
Einer der Autoren, Harald Bradke, kritisiert gegenüber chilli: „In den rund zehn Jahren, bis das Thema nach dem Überfall auf die Ukraine wieder virulent wurde, hat sich nach meiner Einschätzung nur sehr wenig getan, teilweise wurden sogar Schutzmaßnahmen reduziert.“ Der Professor sagt aber auch: „Seit vergangenem Jahr sind viele Akteure alert und haben auch eine Reihe von Planungen, Übungen und Maßnahmen umgesetzt.“
In der Bevölkerung sei das Bewusstsein für KRITIS gestiegen.
So sieht es auch „Fuzzle“, Vorstand im Chaos Computer Club Freiburg (CCCFR).
Er bezweifelt, dass kritische Infrastruktur von außerhalb bloß mit einem Laptop gehackt werden kann: „Das ist eine romantische Verklärung und funktioniert in der Regel nicht.“ Mit ausreichend krimineller Energie ließe sich aber tief in Systeme vordringen – und dort viel Schaden anrichten. „Wir stehen mit einem Bein über dem Abgrund. Alles ist so furchtbar zerbrechlich“, sagt der 42-Jährige, der seinen Namen nicht in der Zeitung lesen möchte.
Es sei vergleichsweise trivial, auch KRITIS-Systeme zu verstehen. „Anleitungen für Komponenten von Versorgern gibt es zum Beispiel überall im Netz“, erklärt er. Darin zu lesen seien nicht selten auch die Standardpasswörter für Regler und Kontrollstellen. „Ich gehe aber nicht davon aus, dass Badenova die verwendet“, sagt er. Um Chaos zu stiften, braucht es nicht mal einen Computer: „An Leitungen kann viel Schaden angerichtet werden.“ Als im Februar bei Bahnarbeiten zwischen Frankfurt und Kassel aus Versehen Kabel gekappt werden, gehen die Systeme von
Lufthansa in die Knie. 230 Maschinen bleiben am Boden, rund 40.000 Passagiere saßen fest. „Da ist die IT schneller gewachsen als die Redundanz“, erklärt Fuzzle. Am Freiburger Universitätsklinikum mit jährlich knapp 90.000 stationären sowie rund 900.000 ambulanten Fällen darf so etwas nicht passieren, es fällt unter die Kritische Infrastruktur. Laut Sprecher Johannes Faber wächst die IT-Sicherheit im gleichen Maße wie die Digitalisierung des Krankenhauses: „Eine eigene Abteilung für IT-Sicherheit passt die Sicherheitsarchitektur des Klinikums kontinuierlich an, um jederzeit gegen Server-Ausfälle und Angriffe gewappnet zu sein.“ Entsprechend der gesetzlichen Anforderungen sei die Sicherheitsarchitektur des Klinikums „deutlich höher als in einem durchschnittlichen Unternehmen“.
Seit April 2020 zertifiziert das Innenministerium KRITIS-Betreiber aus den Bereichen Energie, Wasser, Ernährung, Informationstechnik, Gesundheit, Finanzwesen, Transport, Medien, Verwaltung und Abfallwirtschaft. „Diese Zertifizierung ist hart und heftig, aber deswegen absolut sinnvoll“, kommentiert Koye. Alle zwei Jahre muss die Prüfung erneut abgelegt werden. Im Mai 2021 zog das IT-Sicherheitsgesetz 2.0 KRITIS-Anforderungen nochmals an. So verfügt das Freiburger Krankenhaus über mehrere Firewall-Instanzen und diverse Mail-Absicherungssysteme. Antivirus- und Malware-Schutzprogramme schützen rund 14.000 Rechner vor Eindringlingen, Firewalls riegeln das Kliniknetzwerk nach innen und außen ab. Angriffe auf das Klinikum haben sie schon abgewehrt. „Cyberangriffe auf Gesundheitseinrichtungen finden permanent statt“, sagt Faber. Wie einfach es gehen kann, berichtet ein anderes CCCFR-Mitglied, das seinen Namen ebenfalls nicht in der Zeitung lesen möchte. Noch vor einigen Jahren sei er in einer Klinik im deutschsprachigen Raum auf ein ungesichertes Netz gestoßen. Und über diese Leitung mit einem Laptop bis zu lebenswichtigen Geräten gelangt, an denen auch Patienten angeschlossen waren. „Mir sind die Augen ausgefallen. Ich habe sofort Alarm geschlagen“, berichtet das Mitglied. Eine Stunde später sei der Stecker des ungesicherten Netzes gezogen worden. „Man hätte Regler auf und zu machen – und Menschen töten können.“
Freitagsgebet: Die Gläubigen der Ahmadiyya-Gemeinde beten im Stühlinger. Sie hoffen auf mehr Platz.
