Cybersicherheit nach dem Prinzip Freiwillige Feuerwehr Experten-Panel diskutiert Sicherheit kritischer Infrastrukturen

Von Peter Schmitz |

Anbieter zum Thema

Cyberangriffe gehören heute zur strategischen Kriegsführung und haben durch den Krieg in der Ukraine die Sorgen vor Sicherheitslücken im Bereich kritischer Infrastruktur in den Fokus gerückt. Wie steht es um die IT-Sicherheit bei KRITIS-Unternehmen? Darum hat sich jüngst ein Experten-Panel aus Politik, Infrastrukturbetreibern und IT-Sicherheitsfachleuten befasst.

Für Unternehmen und den Staat ist noch einiges zu tun, um kritische Infrastrukturen besser zu schützen, so der einhellige Tenor der Diskussionsrunde, aus (v.l.n.r.) Dr. Reinhard Brandl MdB, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, Dr. Jörg Ochs, IT-Leiter der Stadtwerke München, Ralph Kreter, Area VP Central and Eastern Europe beim Technologieanbieter Deep Instinct und Martin Braun Geschäftsführer der Füssener Cyberrisiko-Beratung Rimian. Moderator: Oliver Rolofs.
Für Unternehmen und den Staat ist noch einiges zu tun, um kritische Infrastrukturen besser zu schützen, so der einhellige Tenor der Diskussionsrunde, aus (v.l.n.r.) Dr. Reinhard Brandl MdB, digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, Dr. Jörg Ochs, IT-Leiter der Stadtwerke München, Ralph Kreter, Area VP Central and Eastern Europe beim Technologieanbieter Deep Instinct und Martin Braun Geschäftsführer der Füssener Cyberrisiko-Beratung Rimian. Moderator: Oliver Rolofs.
(Bild: Mik & Honey)

Von Awareness über Recruiting bis hin zu Gesetzesänderungen und klar definierter Zuständigkeiten – für Unternehmen und den Staat ist noch einiges zu tun, um die kritischen Infrastrukturen besser zu schützen, so der einhellige Tenor der Diskussionsrunde im Presseclub München, der sich Dr. Reinhard Brandl, Mitglied des deutschen Bundestages und digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion, Dr. Jörg Ochs, IT-Leiter der Stadtwerke München, Geschäftsführer der Füssener Cyberrisiko-Beratung Rimian Martin Braun sowie Ralph Kreter, Area VP Central and Eastern Europe beim Technologieanbieter Deep Instinct stellten.

Fehlende Zuständigkeit im Bereich IT-Sicherheit bei KRITIS

Schnell wurde deutlich, dass bestehende Cyberlücken im Bereich der Kritischen Infrastrukturen aus fehlenden Zuständigkeiten und unklaren Kompetenzen in der deutschen Cybersicherheitsarchitektur resultieren. Während es in den USA Organisationen wie die Cybersecurity and Infrastructure Security Agency (CISA), die offiziell für Cybersicherheit zuständig sind, und die auch strafverfolgungsrechtliche Kompetenzen besitzen, hinkt Deutschland hier hinterher. „In Deutschland befassen sich mit diesem Thema mehr als 50 verschiedene Ämter - von der Bundes- über die Landes- bis zur kommunalen Ebene. Das Problem ist, dass es im Bereich der IT-Sicherheit kein einheitliches Konzept gibt”, bemängelte Ralph Kreter, Deutschland-Geschäftsführer der amerikanischen IT-Sicherheitsfirma Deep Instinct. Eines der Probleme liegt im starren Föderalismus, in dem jedes Bundesland, jede Stadt, jede Gemeinde für seinen Bereich verantwortlich sei. Diese Kompetenzen müsse man bündeln und kohärente Richtlinien vorantreiben, so die Forderung von Kreter.

In das gleiche Horn stieß auch der Ingolstädter Bundestagsabgeordnete Reinhard Brandl von der CSU. „Wir brauchen eine Ressort-übergreifende, bessere Zusammenarbeit und eine rechtliche Grundlage der einzelnen Behörden, die im IT- Sicherheitsbereich zuständig sind, so Brandl. Diese stark historisch bedingte Zuständigkeitsverteilung, basiere auf einer Trennung von äußerer und innerer Sicherheit, werde aber den heutigen Ansprüchen nicht mehr gerecht, so der digitalpolitische Sprecher der Unionsfraktion im Bundestag.

Gesetzliche Regelung und Verständnis von IT-Sicherheit

Brandl hoffe darauf, dass die Ampel-Regierung auf die veränderte Sicherheitslage auch mit Änderungen in der Zuständigkeit reagiere und lobte die jüngste Initiative von Bundesinnenministerin Nancy Faser (SPD), mittels einer angestrebten Grundgesetzänderung Zuständigkeiten bei schweren Cyberangriffen von den Ländern auf den Bund zu verlagern.

Aus der Praxis berichtete der Cyberrisiko-Experte Martin Braun über Schwachstellen im System und eine fehlende Sensibilisierung in Unternehmen. Bei Hackerangriffen werden oft unbekannte Schwachstellen ausgenutzt. Aus Brauns Erfahrung seien das ungepatchte Systeme, Personalmangel und unbewachte Firewalls. „Es wird ein großer Blumenstrauß an Schadsoftware verteilt und dann geschaut, wen es trifft und wo man Geld machen kann als Cyberkrimineller“, warnte der Füssener IT-Sicherheitsunternehmer und CEO von Rimian Martin Braun.

Natürlich gebe es auch gezielte Angriffe, aber diese kämen nicht so oft vor und wenn doch, müsse man sich fragen, warum. Laut Braun würde das daran liegen, dass Unternehmen nicht erkennen in welchem Angriffsfokus sie stehen, welche Risiken sie haben und welche Schwachpunkte im System bestehen. „Das Problem ist hier, dass IT und Management nicht dieselbe Sprache sprechen, da es schnell zu technisch wird. Daher ist es wichtig ein Verständnis und Awareness für die Risiken des eigenen Unternehmens zu schaffen“, betonte Braun und gab gleich einen Hinweis in Richtung Gesetzgeber, mit rechtlichen Schritten eine höhere Awareness und Handlungsbereitschaft zu erzielen. Mit der Datenschutz-Grundverordnung (DSGVO) gebe es bereits einen gesetzlichen Rahmen und Bußgelder. „Für die Cybersicherheit muss das zwangsläufig auch passieren", so die Forderung von Braun. Genauso müsse sich seiner Ansicht nach das Berufsbild im Bereich IT-Sicherheit weiterentwickeln. „Wenn man das Ausbildungssystem in Deutschland ansieht, ist dort nicht viel passiert“. In der IT und vor allem in der IT-Sicherheit habe sich jedoch sehr viel getan. „Hier müssen neue Berufsbilder und neue Anreize geschaffen werden, wie kürzere Ausbildungszeiten“, forderte Braun.

Versorgungssicherheit in München ist hoch

Eine vorbildliche Vorsorge haben angesichts der dynamischen Cyber-Bedrohungslage die Stadtwerke München betrieben, wie während des Expertenpanels deutlich wurde. „Cybersicherheit in den Netzen und der Energieversorgung ist für uns schon lange ein Thema“, betonte der IT-Leiter der Stadtwerke München Jörg Ochs. Seit dem Angriff auf das ukrainische Stromnetz in 2014, habe man einen stärkeren Fokus darauf gelegt, die Sicherheit zu optimieren, aber auch mehr Mitarbeiter einzusetzen.

Die Versorgungssicherheit der kritischen Infrastruktur in München sei hoch, konnte Ochs beruhigen. So könne man der Landeshauptstadt nicht das Wasser abdrehen, da man keine Pumpen benötige, die gehackt werden könnten, sondern das Wasser aus den Bergen über ein starkes Gefälle käme, so Ochs.

Auch das Münchner Gasnetz könne, da es mit drei Übergabestationen verbunden sei und über Speicherkapazitäten verfüge, im Falle einer Unterbrechung die Stadt noch für drei Wochen mit Gas versorgen. Kritischer seien laut dem IT-Leiter der Stadtwerke München die Versorgung mit Fernwärme und Strom. Gerade das Stromnetz sei aufgrund der hohen Vernetzung anfällig für Angriffe, doch hier könne München von der Möglichkeit Gebrauch machen, sich bei einem großflächigen Blackout vom europäischen Verbundnetz abzutrennen und ein so genanntes Inselnetz zu betreiben. „München kann sich aus eigener Energie versorgen, unter anderem mit Wasserkraftwerken“, erklärte Ochs, fügte aber hinzu: „Ein Problem wären aber die SAP-Systeme, die bei einem Angriff verschlüsselt werden könnten. Dann könnten wir beispielsweise keine Rechnungen mehr stellen.”

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Cybersicherheit nach dem Prinzip Freiwillige Feuerwehr

Leider ist nicht jeder in der Lage im KRITIS Bereich so vorzusorgen wie die Stadtwerke München. Besonders kleinere Unternehmen sowie Kommunen sind, und das machte die Expertenrunde auch deutlich, nicht so gut aufgestellt. „Das größte Risiko sehe ich bei den Stromversorgern und Krankenhäusern. Es gibt etliche Beispiele, die zeigen, dass sich manche Firmen nach einem Cyberangriff nicht mehr erholen und zumachen müssen“, warnte Ralph Kreter von Deep Instinct.

Seine Lösungsstrategie: „Jede freiwillige Feuerwehr in jedem Dorf macht Notfall-Übungen, um gewappnet zu sein, wenn es brennt“. In Sachen Cybersicherheit möchte Kreter diesen Grundsatz jeder kleinen und großen Gemeinde nahelegen, um für den Ernstfall gewappnet zu sein. Das sollte schließlich nicht nur für Unternehmen gelten, sondern auch in Politik und Behörden weiter Schule machen, um Staat, Gesellschaft, Wirtschaft und unsere Kritischen Infrastrukturen digital und sicherheitstechnisch resilienter zu machen.

(ID:48533703)