Hierbei wird es eine Mischung aus gezielten Angriffen und solchen nach dem Gießkannen-Prinzip geben, ergänzt durch physische Sabotage-Aktionen, die mit diesen Angriffen einhergehen. Dabei werden auch die hochentwickelten, gezielten Attacken (zumindest zunächst) den Anschein erwecken, dass es sich um einen nicht-zielgerichteten Angriff handelt.
All dies trägt zur Verschleierung bei. Denn auch wenn die Anzeichen alle in eine gewisse Richtung deuten, vermeiden es staatliche Akteure, solche Spuren zu hinterlassen. Zudem handelt es sich bei den Angreifern zumeist um Hacker-Gruppen, die zwar eine Verbindung zu hohen staatlichen Stellen unterhalten, aber keine „offiziellen“ Einheiten sind. Der Grund ist klar: Cyberangriffe in größerem Ausmaß können als kriegerische Akte begriffen werden, sodass Artikel 5 des NATO-Vertrags greifen würde. Und das wollen die Angreifer vermeiden.
Der große Blackout ist nicht zu erwarten
Entsprechend ist auch nicht mit einem großen, flächendeckenden Angriff zu rechnen. Das Ziel ist nicht die Betätigung eines Kill-Switches, sondern die Destabilisierung unseres Systems. Der Verlust des Vertrauens in unsere Institutionen und das, was sie uns garantieren: Allen voran die Strom-, Wasser- und Lebensmittelversorgung. Aber auch andere Bereiche stellen potenzielle Ziele da: Insbesondere die Bahn, aber auch Medien oder Behörden. Je mehr Aufmerksamkeit dabei durch einen Angriff generiert werden kann, desto besser. Je größer ein Vorfall wahrgenommen wird, desto größer die Unruhe und Verunsicherung.
Hinzu kommt: Im Gegensatz zu konventionellen Waffen verbrauchen sich hochentwickelte Angriffe sehr schnell. Anders ausgedrückt: Staaten können nach dem Abwurf einer Atombombe weitere folgen lassen, die die gleiche Wirkung entfalten. Bei Cyberangriffen sieht es jedoch anders aus. Wenn man einmal seine ausgefeilte und in der Entwicklung sehr teure Schadsoftware eingesetzt hat, ist sie weltweit nicht mehr weiter nutzbar, da sich die Sicherheitshersteller auf sie einstellen und entsprechende Abwehrmaßnahmen umsetzen können. Das heißt, so lange Angreifer mit dem Ausnutzen bekannter und bislang unbekannter Schwachstellen ihre Ziele erreichen können, werden sie diese verwenden.
Mangelnde Cyberhygiene in der Industrie wird zum Problem
Aber auch jenseits der kritischen Infrastruktur werden diese Angriffe für großen Schaden sorgen, da die anvisierte Steuerungstechnik auch in vielen anderen Bereichen zum Einsatz kommt. Wir werden Angriffe auf die Bahn, Energieversorger und Verteilnetze sehen. Allerdings nutzen auch andere Unternehmen insbesondere in der Industrie diese speicherprogrammierbaren Steuerungen (SPS) und Managementsysteme und werden so zum Beifang der Angriffe. Dabei spielt die mangelnde Cyberhygiene vieler Unternehmen den Angreifern in die Karten. Es kommt leider allzu oft vor, dass Patches aus Angst vor Störungen der Produktion nicht eingespielt werden. Vor Jahren haben wir beispielsweise tausende Unternehmen auf eine kritische Schwachstelle in einer von ihnen eingesetzten Fernwartungssoftware hingewiesen. Nach drei Monaten hatte lediglich ein Viertel dieser Betriebe ihre Systeme entsprechend aktualisiert. Solange es eine Realität ist, dass Unternehmen Schwachstellen nicht beheben, selbst wenn vom Hersteller Abhilfemaßnahmen bereitgestellt werden, haben Angreifer ein leichtes Spiel. Sie können auf diese Weise die Sicherheitslücken weiterhin ausnutzen und müssen keine komplizierten neuen Angriffswege finden oder preisgeben.
Kann und muss der Staat helfen?
Wenn es zu vermehrten Angriffen auf die kritische Infrastruktur kommt, werden im Laufe des nächsten Jahres auch die Rufe lauter werden, dass die Cybersecurity von staatlicher Stelle zentral angegangen werden muss. Entsprechend wird die Frage nach der Finanzierung durch den Bund und die Länder viele Diskussionen bestimmen. Allerdings zeigen die bisherigen Erfahrungen mit durchaus üppigen Fördertöpfen, dass hier zumindest kurzfristig mit keiner Entlastung zu rechnen ist. So sorgten beispielsweise im Rahmen des Krankenhauszukunftsgesetzes sehr komplizierte und aufwändige Anträge mit hohen Voraussetzungen dafür, dass lediglich rund die Hälfte der Fördermittel abgerufen wurden.
Wir müssen einen Weg finden, wie ISMS-Konzepte in der kritischen Infrastruktur schnell und flächendeckend umgesetzt werden können. Dies könnte zentral etwa auf Länderebene erfolgen, indem das Land ein Konzept und gegebenenfalls einen Dienstleister für alle Unternehmen, also auch privatrechtlich organisierte, vorgibt. Allerdings stellt dies einen enormen Eingriff in die wirtschaftliche Freiheit dar und wirft somit verfassungsrechtliche Fragen auf. Als vielversprechender sehe ich deshalb die Änderung des Vergaberechts an. Abgesehen davon, dass die Prozesse von Haus aus sehr langwierig sind, kommt es gerade in diesem Bereich darüber hinaus auch häufig zu Klagen der unterlegenen Partei, die den gesamten Prozess um weitere Monate verzögern. Hier geht wertvolle Zeit verloren, die wir gerade jetzt einfach nicht mehr haben.
Keine geopolitische Entwarnung in Sicht
Wenn man wirklich erst aus Schaden klug wird, bleibt derzeit nur die Hoffnung, dass wir im nächsten Jahr zu dieser Zeit weiter sind und sich die allgemeine Cyber-Awareness deutlich verbessert hat. Gerade Deutschland hat hier einen enormen Nachholbedarf, vor allem im Vergleich zu vielen osteuropäischen Ländern. Viele Unternehmen hierzulande sehen nicht die Auswirkungen, die insbesondere der Krieg in der Ukraine auf ihre Sicherheit hat. Und vergessen wir nicht: Auch wenn unsere Augen gerade sehr stark auf Russland gerichtet sind, wird dies nicht der letzte Konflikt sein, der gravierende Konsequenzen für die Cybersicherheit hat. Bei Gesprächen mit ausländischen Partnern – wenn man über China spricht – heißt es immer: ‚Russland ist der Sturm, China ist der Klimawandel.‘“ Wenn man sich die zuspitzende Situation im Hinblick auf Taiwan vergegenwärtigt und in Betracht zieht, welches Cyber-Know-how China hat und wieviel chinesische Technologie hier zum Einsatz kommt, kann man dem kaum widersprechen.