Was der Ukraine-Krieg für die IT-Sicherheit in Deutschland bedeutet

Im Rahmen des Russland-Ukraine-Konflikts warnen Spezialist*innen vor einem Cyberkrieg in Europa. Wie bewerten Sie die aktuelle Situation?

Die Bedrohungslage, die wir durch den Konflikt erleben, erhöht die öffentliche Aufmerksamkeit für das Thema IT-Sicherheit. Tatsächlich wächst die Gefahr bereits seit längerer Zeit. Der Russland-Ukraine-Konflikt verschärft lediglich bestehende Trends in der Cybersecurity.

Für Laien erklärt: Wie sieht ein Cyberangriff aus?

Beim Hacking wollen die Angreifenden herausfinden, an welchen Stellen Organisationen Konfigurationsfehler übersehen haben oder eingesetzte Komponenten Schwachstellen aufweisen. Am Ende ist das Hacken eine strategische Kalkulation von Aufwand und Nutzen. Wie schwierig ist es, in ein System einzudringen? Was der mögliche Gewinn? Oder wie hoch der maximale Schaden, der sich durch die erfolgreiche Kompromittierung eines IT-Systems erzielen lässt?

Wer ist durch dieses Vorgehen besonders gefährdet?

Mittelständische Unternehmen sind beliebte Ziele. Sie sind wirtschaftlich stark genug und können möglichen Lösegeldforderungen nachkommen. Und die werden während eines Ransomware-Angriffs oft gestellt. Zum anderen verfügt der Mittelstand häufig über keine großen IT-Sicherheitsabteilungen, die sich permanent um den Schutz der Systeme bemühen. Für Hackerinnen und Hacker erscheint das Aufwand-Nutzen-Verhältnis entsprechend attraktiv.

Das Besondere an den zu erwartenden Angriffen ist, dass es nicht primär ums Geld geht, sondern um gesellschaftlichen Schaden. Worauf müssen sich die Menschen im Land einstellen?

Dass die Angreifenden einige Branchen besonders fokussieren. In Deutschland sprechen wir dabei von den kritischen Infrastrukturen (KRITIS). Es ist klar definiert, welche Unternehmen zu den sogenannten KRITIS-Betreibern gehören. Unter anderem sind das Firmen aus den Bereichen Energie, Staat und Verwaltung. Aber auch Wasserversorger und Lebensmittelproduzenten zählen dazu.

Wie sind diese Firmen auf die aktuell diskutierten Szenarien vorbereitet?

KRITIS-Betreiber müssen ohnehin bestimmte Anforderungen an die IT-Sicherheit erfüllen. Das heißt: Die IT-Systeme nach dem aktuellen Stand der Technik absichern und Meldewege einrichten. Über diese sollen sie in einer Schadenssituation potenzielle Sicherheitsvorfälle kommunizieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt diesen Unternehmen regelmäßig Maßnahmen zur Absicherung der IT. Auch bezogen auf aktuelle Gefahrenlagen.

Wie steht es um die nicht-kritischen Firmen?

Für mich ist entscheidend, dass sich nicht nur KRITIS-Betreiber um ihre IT-Sicherheit sorgen. Organisationen, die nicht oder noch nicht als kritische Infrastruktur gelten, müssen sich definitiv ihrer Attraktivität für Angreifer bewusst sein. Und sie sollten sich für die wachsende Bedrohungslage wappnen. Oft sind es kleinere Lieferanten oder Dienstleister, die in bestimmten Sektoren bedeutende Aufgaben erfüllen. Besonders diese Unternehmen könnten jetzt ein gefragtes Ziel darstellen.

Im Buch "Blackout" von Marc Elsberg blockieren politische Hackerinnen und Hacker das europäische Stromnetz für mehrere Tage. Sie fallen über smarte Stromzähler ein, die Energieanbieter kurz in Haushalten installiert hatten. Es ist ein Anschlag mit beinahe apokalyptischen Konsequenzen. Wie realistisch ist diese Fiktion?

Denkbar ist alles. Das hat uns die Vergangenheit immer wieder gezeigt. Was gestern noch unvorstellbar war, ist schon morgen Realität. Ich empfehle Unternehmen jedoch grundsätzlich die risikobasierte Absicherung der IT-Systeme. Sie sollten mit konkreten Wahrscheinlichkeiten und möglichen Schadenshöhen arbeiten, wenn sie über die Einführung von Sicherheitsmaßnahmen entscheiden. Eine Apokalypse dürfte zu den weniger wahrscheinlichen Szenarien gehören.

Deutschland gilt als digitales Entwicklungsland. Wie ist die Wirtschaft hierzulande auf Cyberangriffe vorbereitet?

Die IT-Sicherheit wird in vielen Unternehmen wichtiger – das ist positiv. Allerdings sehe ich Nachbesserungsbedarf. Das haben nicht zuletzt die vermehrten Angriffe in den vergangenen Monaten gezeigt.

Wo sehen Sie die schärfsten Bedrohungsszenarien?

Das höchste Risiko lauert in der gegenseitigen Verkettung von Betrieben. Auch weil einige Verantwortliche genau dieses Thema nicht ausreichend betrachten. Wir IT-Experten und -Expertinnen sprechen in diesem Zusammenhang von Third-Party-Risiken. Kooperiert ein grundsätzlich solide aufgestelltes Unternehmen mit einem Lieferanten oder Dienstleister, der nicht das gleiche Sicherheitsniveau ansetzt, ergeben sich zwangsläufig Risiken für einkaufende Firmen.

Haben Sie ein mögliches Beispiel?

Ein Angriff von Hacker*innen auf einen Dienstleister für die Fernwartung von Produktionsanlagen kann eine Vielzahl von Unternehmen indirekt betreffen. Diese Risiken werden gerne übersehen. Oder im Rahmen von lukrativen Geschäftsbeziehungen missachtet.

Was müsste passieren, damit die deutsche Wirtschaft offene Flanken schließt?

Alle Beteiligten müssten mehr das große Ganze sehen. Häufig wählen Unternehmen keinen strukturierten Ansatz, mit dem sie die IT-Sicherheit verankern. Nicht selten werden zwar Einzelmaßnahmen umgesetzt, es fehlt aber das „Big Picture“ – die Klammer um alle Bereiche. Das ist dann wie bei einem Haus, bei dem vorne eine Hochsicherheitstür schützt, hinten aber die Fenster offenstehen.

Dieses sinnbildliche Beispiel zeigt, dass die Budgethöhe für die IT-Sicherheit tatsächlich wenig über das Sicherheitsniveau einer Organisation aussagt. Letztlich muss das Budget in die richtigen Sicherheitsmaßnahmen fließen. Möglich wird dies erst durch ein funktionierendes Risikomanagement.

Angriffe lassen sich nicht dauerhaft vermeiden. Wie halten die Verantwortlichen mögliche Schäden gering?

Es wird nie einen hundertprozentigen Schutz gegen Hackerangriffe geben. Die Frage ist nicht "ob", sondern "wann" es ein Unternehmen erwischt. Dann zählt die passende und rasche Reaktion. Wurden vorab entsprechende Pläne ausgearbeitet, lässt sich der Schaden schneller und in einem größeren Umfang eindämmen.

Softwares können sicher helfen.

Es gibt gute Systeme, die Schadsoftware früh erkennen. Sie arbeiten mittlerweile mit künstlicher Intelligenz. Durch die Analyse von Verhaltensmustern können diese Lösungen etwaige Hackerangriffe erkennen und stoppen. Trotzdem braucht es Fachkräfte, die diese Systeme konfigurieren und bedienen. Außerdem kann auch die beste Software nicht vor Anwender*innen schützen, die Angreifenden bereitwillig Zutritt zur eigenen Organisation verschaffen. Die Awareness, die Aufmerksamkeit der Mitarbeitenden, bleibt eine tragende Säule in jeder Sicherheitsstrategie.

Ein Betrieb wird erfolgreich angegriffen. Die Aufarbeitung des Problems übersteigt womöglich die eigenen Mittel. Besonders wenn es rasch gehen muss. Wer hilft?

Es gibt Dienstleister, die mit ihren schnell eingreifenden Incident Response Teams unterstützen. Wichtig ist die Erkenntnis, dass der Blick allein auf Technik und Forensik bei einem Hackerangriff nicht ausreicht. Ein Hackerangriff stellt ein Unternehmen buchstäblich auf den Kopf. Es kommt auf ganzheitlich gutes Krisenmanagement an.

Sie sind renommierter Experte für IT-Sicherheit, ein gefragter Berater. Was ist angesichts der aktuellen Situation der naheliegendste Ratschlag, den Sie geben können?

Unternehmen sollten der IT-Sicherheit wegen der wachsenden Bedrohungslage noch mehr Gewicht beimessen. Blinder Aktionismus, durch den Firmen willkürlich kostenintensive Einzelmaßnahmen umsetzen, bringt wenig. Stattdessen sollten sie risikobasiert die richtigen Maßnahmen einleiten. Oft sind es die ganz einfachen Handlungen, mit denen die Verantwortlichen eine gute IT-Hygiene erreichen. Ist die etabliert, können die Entscheider*innen das Sicherheitsniveau nachhaltig und wirtschaftlich steigern.

Über den Experten

Jannik Christ ist selbständiger Berater für Informationssicherheit. Er unterstützt Unternehmen bei der Etablierung von risikoorientierten Sicherheitsprogrammen und -prozessen. Mit diesen Mitteln müssen sich Firmen vor den wachsenden Cyber- und Insider-Bedrohungen schützen. Christ berät seine Kunden als Consultant, externer Chief Information Security Officer und Auditor.

Jannik Christ - selbständiger Berater für Informationssicherheit

Unsere Leseempfehlungen für Sie

8 Min.

17.05.2023

Philip Rüping: Wie Unternehmen ihre kulturelle Balance wiederfinden

Nicht mehr Menschen bewerben sich um Jobs, sondern Firmen um die Mitarbeitenden. Das Homeoffice reduziert zudem die gemeinsamen Momente im Büro. Remote verbieten? Keine Option. Wie KRONGAARD diese Herausforderungen löst, erklärt Geschäftsführer...

zum Beitrag

10 Min.

26.04.2023

Digitales Payment: Auf welche Innovationen Deutschland hoffen darf

Björn Wessel ist eine der Koryphäen im internationalen Payment. Als Experte berät er Weltkonzerne und erfolgreiche Mittelständler. Ein Gespräch über Versäumnisse von Banken, den Würgegriff von PayPal und mutmachende Innovationen aus Deutschland.

zum Beitrag

4 Min.

13.04.2023

KRONGAARD Connect: Ein Format für Austausch, der bewegt

Seit 15 Jahren steht KRONGAARD für die 20.000 besten Projektexpertinnen und Projektexperten im Land. Nun kamen viele von ihnen für ein spannendes Format zusammen. Warum? Und wie sah das aus?

zum Beitrag

Die 20.000 besten Experten: Ein Versprechen mit Haltung

Die 20.000 besten selbständigen Projektexperten. Sofort einsatzbereit für zeitnahe Projekte. Für unsere Kunden handverlesen und passgenau ausgewählt.
Das sind große Versprechen. Sie stehen für unsere kundenorientierte Haltung bei KRONGAARD. Werden wir ihr gerecht? Halten wir Wort? Diese Fragen stellen wir uns jeden Tag. Sie sind der Antrieb für jeden unserer Mitarbeiter, Teil unserer Unternehmens-DNA.

Mehr erfahren.

Die passenden Experten finden

Sie suchen einen Experten für Ihre Projekte?
Wir haben den Zugang zu den besten 20.000 selbständigen hochqualifizierten Experten.

Leonard Riege

Executive Consultant

Telefon: 040 30 38 44 - 229
Fax: 040 30 38 44 - 299
E-Mail: leonard.riege@krongaard.de
Xing: Jetzt vernetzen!
LinkedIn: Jetzt vernetzen!