Prof. Dr. Stefan Katzenbeisser
Wie lassen sich kritische Infrastrukturen in einer vernetzten Welt gegen Cyber-Attacken schützen?
Wie lassen sich kritische Infrastrukturen in einer vernetzten Welt gegen Cyber-Attacken schützen?
Prof. Dr. Stefan Katzenbeisser ist Inhaber des Lehrstuhls für Technische Informatik an der Universität Passau. Er forscht zur Cybersicherheit von eingebetteten Systemen, zu sicheren kritischen Infrastrukturen sowie zum technischen Datenschutz. Er ist Sprecher des neuen, vom Bayerischen Wissenschaftsministerium geförderten Forschungsverbunds „ForDaySec - Sicherheit in der Alltagsdigitalisierung“, in dem Forscherinnen und Forscher aus der Informatik, der Rechtswissenschaft und der Soziologie neuartige technische Verfahren für die Absicherung des digitalen Alltags erarbeiten. Darüber hinaus beteiligt er sich an der vom Fraunhofer HHI koordinierten Forschungsinitiative „6G Research and Innovation Cluster (6G-RIC)“ mit dem Ziel, Mobilfunksysteme der sechsten Generation über alle Technologiegrenzen hinweg zu entwickeln, sowie an Forschungsprojekten zur sicheren Mobilität.
Vieles, was derzeit in den Medien unter dem Begriff Cyberwar kursiert, würde ich eher als digitalen Protest einordnen, etwa die Aktionen von Anonymous. Nicht jeder Cyber-Angriff muss gleich als Einstieg in einen Cyberkrieg gewertet werden. Ich wäre bei der Verwendung des Begriffs auch sehr vorsichtig. Denn dieser kann mit gravierenden Konsequenzen für alle verbunden sein. Ich sehe die Gefahr, dass die zivile Bevölkerung in einem 'echten' Cyberwar dramatisch getroffen wird.
Der Beginn der Ära der Cyberkriege wird häufig mit der Entwicklung des Computerwurms Stuxnet im Jahr 2010 gleichgesetzt. Angeblich hatten die USA und Israel diese Schadsoftware entwickelt, um das iranische Atomprogramm zu behindern. Für IT-Sicherheitsexperten wie mich war das Besondere daran, dass es sich um eine Cyberwaffe handelte, die völlig autonom arbeitete. Die Situation, vor der wir stets gewarnt hatten, war eingetreten. Der erste konkrete Anwendungsfall war aus Sicht der Militärs durchaus erfolgreich, auch wenn die Entwicklungskosten auf eine beispiellose Summe geschätzt werden. Zudem gab es kaum Kollateralschäden.
Genau letzteres ist aber das Problem an einem Cyberkrieg und das macht ihn auch so gefährlich. Denn man kann das Zivile von dem Militärischen kaum trennen. Ein Cyberkrieg dreht sich um die Frage: Wie kann ich den Feind treffen und zwar so, dass er keinen Krieg mehr führen kann? Es geht also um zielgerichtete Anschläge auf kritische Infrastrukturen wie Stromnetze, die öffentliche Verwaltung, Telekommunikation, Transport und Verkehr. Da befinden wir uns ganz schnell in einem Bereich, wo man die Zivilbevölkerung hart trifft.
Viele Betreiber müssen erst einmal die klassischen Verfahren der IT-Sicherheit wie etwa Verschlüsselung umsetzen und ihre Systeme befähigen, Angriffe überhaupt erst zu erkennen.
Prof. Dr. Stefan Katzenbeisser
Ein weiteres Problem ist die Attribution. Es wird sehr schwer nachzuvollziehen sein, wer den Erstschlag ausgeführt hat. Den Angreifern hingegen fällt es leicht, Spuren zu verwischen und falsche Fährten zu legen. Man kann mit relativ wenig Aufwand asymmetrische Angriffe durchführen, also kleine Gruppen können immensen Schaden verursachen.
Der Schutz der kritischen Infrastrukturen ist somit zentral. Aus meiner Sicht nehmen westliche Staaten das Thema noch nicht ernst genug. Ich beobachte, dass das Sicherheitsniveau sehr unterschiedlich ausgeprägt ist. Die Energieversorger sind historisch bedingt schon etwas weiter. Andere Infrastrukturen, etwa im Bereich der Telekommunikation oder der Gesundheitsversorgung, haben noch einen weiten Weg vor sich. So müssen viele Betreiber erst einmal die grundlegenden Maßnahmen der IT-Sicherheit umsetzen und ihre Systeme befähigen, Angriffe überhaupt erst zu erkennen. Es gab in der Vergangenheit immer wieder Fälle, in denen die Angreifer bereits seit Monaten im System aktiv sein konnten, ohne dass sie entdeckt wurden.
Denn die Verteidigung eines kompletten Systems ist sehr viel schwieriger, als einen einzelnen Angriff durchzuführen. Im Gegensatz zu einem Angreifer muss ein Verteidiger immer erfolgreich sein und alle Angriffe abwehren. Hier herrschen in vielen Bereichen noch Defizite, die die Systeme auch so verwundbar machen.
Die Maßnahmen, die die Europäische Union im Bereich Cybersicherheit ergreifen kann, sind begrenzt. Sie sollte gemeinsame Standards entwickeln und Best-Practice-Beispiele zusammenstellen. Doch die tatsächliche Arbeit, die konkrete Umsetzung muss jede einzelne Betreiberin und jeder einzelne Betreiber einer kritischen Infrastruktur selbst durchführen.“
Welche Fragen haben Sie zum Angriff auf die Ukraine? Schreiben Sie uns: frag-die-wissenschaft@uni-passau.de - wir leiten Ihre Fragen weiter und veröffentlichen an dieser Stelle zeitnah Antworten von Forschenden.
