Keine Woche vergeht derzeit, in der Unternehmen oder Organisationen nicht Opfer von Malware- oder Ransomware-Attacken werden. Besorgniserregend dabei ist, dass Bedrohungsakteure zunehmend öffentliche Einrichtungen wie Stadtwerke sowie Lieferketten ins Visier nehmen. Eine aktuelle Studie zeigt etwa, dass die schnellste Ransomware-Bedrohung, LockBit, in weniger als sechs Sekunden verschlüsseln kann.
Wie kommunale Versorger auf zunehmende Cyberattacken vorbereitet sind und wie die entsprechenden Systeme besser geschützt werden können, war kürzlich Gegenstand einer Expertenrunde im Presseclub München. Dabei wurde klar, dass für den Schutz dieser kritischen Infrastrukturen (KRITIS) von Awareness über Recruiting bis hin zu Gesetzesänderungen und klar definierter Zuständigkeiten für Unternehmen und den Staat noch einiges zu tun ist.
Kein einheitliches Cybersicherheitskonzept
Ein Problem sind bestehende Cyberlücken im Bereich der Kritischen Infrastrukturen. Sie resultieren aus fehlenden Zuständigkeiten und unklaren Kompetenzen in der deutschen Cybersicherheitsarchitektur. „In Deutschland befassen sich mit diesem Thema mehr als 50 verschiedene Ämter – von der Bundes- über die Landes- bis zur kommunalen Ebene. Das Problem ist, dass es im Bereich der IT-Sicherheit kein einheitliches Konzept gibt“, bemängelte Ralph Kreter, Deutschland-Geschäftsführer der amerikanischen IT-Sicherheitsfirma Deep Instinct. Eines der Probleme liege im starren Föderalismus, in dem jedes Bundesland, jede Stadt, jede Gemeinde für seinen Bereich verantwortlich sei. Diese Kompetenzen müsse man bündeln und kohärente Richtlinien vorantreiben, so die Forderung von Kreter beim Expertenpanel.
Die einhellige Meinung des Expertenpanels war auch, dass ungesicherte Einfallstore im System und eine fehlende Sensibilisierung in Unternehmen eines der Hauptprobleme darstelle. Bei Hackerangriffen werden oft unbekannte Schwachstellen ausgenutzt. Aus Sicht des Diskussionsteilnehmers und Cyberrisikoexperten Martin Braun seien das ungepatchte Systeme, Personalmangel und unbewachte Firewalls. Laut Braun würde das daran liegen, dass Unternehmen nicht erkennen in welchem Angriffsfokus sie stehen, welche Risiken sie haben und welche Schwachpunkte im System bestehen. „IT und Management müssen hier dieselbe Sprache sprechen, um Verständnis und Awareness für die Risiken des eigenen Unternehmens zu schaffen“, so Braun.
München gut gewappnet
Auf die wachsenden Cyberrisiken vorbereitet zeigen sich die Stadtwerke München. Cybersicherheit in den Netzen und der Energieversorgung sei schon lange ein Thema für eines der größten deutschen kommunalen Versorger und Dienstleistungsunternehmen, betonte der IT-Leiter der Stadtwerke München Jörg Ochs. Seit dem Angriff auf das ukrainische Stromnetz in 2014, habe man einen stärkeren Fokus darauf gelegt, Sicherheitsstrukturen zu optimieren, aber auch mehr Mitarbeiter einzusetzen. Die Versorgungssicherheit der kritischen Infrastruktur in München sei hoch, konnte Ochs beruhigen. So könne man der Landeshauptstadt nicht das Wasser abdrehen, da man keine Pumpen benötige, die gehackt werden könnten, da das Wasser aus den Bergen über ein starkes Gefälle käme. Auch beim Thema Gas sei man vorbereitet.
„Das Münchner Gasnetz ist mit drei Übergabestationen verbunden und verfügt über Speicherkapazitäten, die im Falle einer Unterbrechung die Stadt noch für drei Wochen mit Gas versorgen können“, so Ochs. Kritischer seien die Versorgung mit Fernwärme und Strom, warnt der IT-Leiter der Münchner Stadtwerke. Gerade das Stromnetz sei aufgrund der hohen Vernetzung anfällig für Angriffe. Doch könne München hier von einer Ausnahmemöglichkeit Gebrauch machen, sich bei einem großflächigen Blackout vom europäischen Verbundnetz abzutrennen und ein sogenanntes Inselnetz zu betreiben. „München kann sich aus eigener Energie versorgen, unter anderem mit Wasserkraftwerken“, beruhigt Ochs, sagt aber auch mit Blick auf die gegenwärtige Ransomware-Problematik: „Ein Problem stellen die SAP-Systeme dar, die bei einem Angriff verschlüsselt werden könnten. Dann könnten wir etwa keine Rechnungen mehr stellen.”
Fachkräftemangel im IT-Sicherheitsbereich
Neben der wachsenden digitalen Bedrohungslage gefährdet der Fachkräftemangel zunehmend die Cybersicherheit von Unternehmen. Schätzungen der Jobplattform Stepstone zufolge soll der Fachkräftemangel in Deutschland Firmen bis zum Jahr 2035 satte 326 Milliarden Euro kosten. Umso bedenklicher, dass fast jeder zweite IT-Sicherheitsverantwortliche darüber nachdenkt, aus Stressgründen die Branche zu verlassen. Das ist das alarmierende Ergebnis des aktuellen Sicherheitsreports von Deep Instinct.
Der Bericht stellt fest, dass über die Hälfte der befragten IT-Sicherheitsverantwortlichen in Deutschland (52%) und 46% der aller Befragten eine Erhöhung ihres Stresslevels innerhalb der letzten 12 Monate feststellen konnten und 45% der Befragten angaben, darüber nachzudenken, die Branche zu verlassen. Die Haupt-Stressfaktoren bei IT-Führungskräften und IT-Sicherheitsverantwortlichen sind demnach Ransomware-Angriffe (50%), die Absicherung der Telearbeitsplätze (51%), die Angst vor einem Angriff auf Lieferketten (52%) und das Gefühl der Überforderung durch die Anzahl von False Positives (54%).
Trotz dieser ernüchternden Zahlen will der IT-Leiter der Stadtwerke München dagegenhalten: „Man muss hier andere Wege beim Recruiting für IT-Mitarbeiter gehen. Wir, als Stadtwerke München, stecken knapp eine halbe Million Euro jährlich in Werbung – von Kinowerbung, Plakaten, über Tech-Talks und Podcasts. Wir werben aber nicht mehr mit den Stadtwerken München, sondern wir verweisen auf die Menschen, Projekte und spannenden Themen. Wir zeigen unseren Mitarbeitern den Sinn hinter ihrer Tätigkeit, nämlich die Tatsache, dass ohne sie München nicht so rund laufen würde, im Bereich Verkehr oder Energieversorgung“, betont Ochs.
Deep Learning schafft mehr Cybersicherheit
Auch können neue Technologien die IT-Sicherheitskräfte entlasten und sie bei der Stange halten. Hier setzen beispielsweise smarte Lösungen an, die mittels KI-basierten Deep Learning Technologie eine Möglichkeit anbieten, um den IT-Experten eine Atempause im Berufsalltag zu verschaffen und für mehr Cybersicherheit sorgen. So gibt es aktuell Deep-Learning-basierte Technologien auf dem Markt, die unbekannte, nie zuvor gesehene Bedrohungen wie Malware in weniger als 20 Millisekunden identifiziert und False Positives (Falschmeldungen) drastisch reduzieren (um bis zu 99 Prozent ). Derartige Tools sind vielleicht auch ein Lichtblick für kleinere Kommunen, die nicht so gut aufgestellt sind, wie die Stadtwerke München.
Für diese hat Ralph Kreter von Deep Instinct hat neben seiner Empfehlung, sich offen gegenüber KI-basierten Sicherheitstechnologien zu zeigen, noch eine praktische Lösung parat: „Jede freiwillige Feuerwehr in jedem Dorf macht Notfall-Übungen, um gewappnet zu sein, wenn es brennt. Das gleiche muss auch für Cybersicherheit gelten, damit es digital nicht mehr brennt und die IT-Departments gewappnet sind, wenn es doch mal zu einem ‚Brand‘ kommen sollte“, so Kreter. Ein wichtiger Grundsatz, der angesichts wachsender Cyberrisiken ohne Zweifel Schule machen sollte, um Städte und Kommunen wetterfester gegen Cyberangriffe zu machen.