Die aktuelle Cyber-Security-Lage ist alarmierend, die Aussichten geben erheblichen Grund zur Sorge – dennoch weisen viele IT-Bereiche der “Kritischen Infrastruktur” (KRITIS) noch erstaunlich große Sicherheitslücken auf. Insbesondere DDoS-Angriffe (Distributed Denial of Service) bewegen sich auf einem neuen Niveau und dienen immer mehr politischen Zielen. Wodurch zeichnet sich diese Gefahr konkret aus, wer steckt dahinter, was kann dagegen getan werden?
Obwohl die Bedrohungslage im Bereich der IT-Sicherheit kontinuierlich zunimmt, rückt das Thema oft nur anhand spektakulärer Attacken in den Fokus der Öffentlichkeit. Aktuelle Beispiele listete das Bundesministerium für Inneres (BMI) jüngst im April auf. Zwischen Anfang und Mitte April, trafen DDoS-Attacken etliche Ziele der kritischen Infrastruktur. Darunter Webseiten von Vattenfall, RWE und EnBW (Energie), polizeilichen Stellen in bspw. Niedersachsen und Thüringen, aber auch Transportservices wie DB Cargo.
Als Urheber wird die pro-russische Gruppe NoName057 verdächtigt, um eine digitale Antwort auf den Besuch des deutschen Vizekanzlers in Kiew vom 03. April zu geben. Der Schaden in diesem Fall verlief temporär, dennoch ist der Vorfall sehr typisch für die aktuelle Gefährdungslage.
Reaktionen auf politische Ereignisse statt reiner Erpressung
Standen während der harten Lockdownphasen der Corona-Pandemie primär finanzielle Interessen im Vordergrund, der damals rasant zunehmenden DDoS-Angriffen, geht es den Hackern heute hauptsächlich um Einflussnahme auf die öffentliche Stimmung und Sabotage kritischer Infrastrukturen.
Auch die Absenderadressen haben gewechselt: Etliche pro-russische Hacker-Formationen – am bekanntesten und aktivsten ist die Gruppe “Killnet” – nehmen öffentlichkeitswirksam Rache für die vielfältige Unterstützung der Ukraine. Darunter fallen Lieferungen von Waffensystemen, Versorgungsgütern, taktisches und technisches Training von Soldaten, aber auch finanzielle Hilfen. Killnet & Co. haben der NATO inzwischen offen den Krieg erklärt und zielen auf deren kritische Infrastrukturen.
Zuerst nahm die Qualität zu, jetzt folgt wieder die Quantität
Tatsächlich nahm 2022 die Anzahl der Attacken nach Informations-Auswertungen des Link11-Netzwerks fast um vier Fünftel ab. Nichtsdestotrotz reichte den Angreifern mittlerweile ein Drittel der bisher benötigten Zeit (55 Sekunden bis zur kritischen Last statt 184 Sekunden in 2021), um erheblichen Schaden anzurichten.
DDoS-Attacken zeichnen sich vor allem dadurch aus, dass sie Server, Online-Dienste oder ganze Netzwerke durch einen sprichwörtlichen Tsunami an Anfragen überfordern und schließlich zum Ausfall bringen.
Dabei stieg die durchschnittliche Anzahl der Paketrate von 3,3 Millionen Paketen pro Sekunde 2022 gegenüber dem Vorjahr mit 990.000 Paketen pro Sekunde an. Zudem ist die durchschnittliche Gesamtbandbreite der Attacken angestiegen: Betrug dieser Wert 2021 noch 1,4 Gbit/s, erhöhte er sich 2022 auf 2,6 Gbit/s.
Entsprechend schwieriger und ressourcenaufwendiger stellt sich heute die erfolgreiche Abwehr dar. Der quantitative Rückgang in 2022 basierte u.a. auf der Zerschlagung von Marktplätzen für DDoS im Darknet. Mittlerweile haben sich die illegalen Strukturen wieder erholt, Experten des 2023er-Weltwirtschaftsforums in Davos rechnen demnächst mit einem wahren “Cyber-Sturm”. Bereits im ersten Quartal dokumentierten auch die Spezialisten des Link11-Netzwerks eine Zunahme der DDoS-Attacken.
Ziele der Finanzbranche haben noch einen leichten Schutzvorteil
In den vergangenen Jahren nutzten Cyber-Kriminelle den Einsatz von DDoS-Attacken wesentlich öfter als Geschäftsmodell zur Erpressung von erheblichen Mengen an Giralgeld oder Kryptobeträgen. Daher waren Banken und Finanzinstitute schon früher gezwungen, ihre IT-Sicherheitsstrategien dieser Bedrohungssituation anzupassen.
Entsprechend robust stellen sich heute viele Player der Finanzbranche dar. Kaum weniger folgenschwer sind aber die Auswirkungen von erfolgreichen DDoS-Angriffen auf andere Unternehmen, Institutionen, Behörden oder Versorger, die zur Kritischen Infrastruktur gezählt werden. In Deutschland unterteilt sich die KRITIS in neun Sektoren: Gesundheit, Transport, Wasser, Informationstechnik, Ernährung, Finanzen, Medien, Staat & Verwaltung sowie Energie.
Ob ein Versorgungsunternehmen, ein Krankenhaus, ein Flughafen oder eine Verwaltungsbehörde als “kritisch” gilt, leitet sich von verschiedenen Schwellenwerten ab. Zum Beispiel wird die Fähigkeit mit einbezogen, ca. 500.000 Menschen medizinisch, mit Energie, Wasser o.ä. zu versorgen.
Auch spielt es eine Rolle, in welchem Umfang die IT-Infrastruktur vernetzt ist. Leider differiert selbst innerhalb eines Sektors die Widerstandsfähigkeit gegen Cyber-Attacken noch erheblich. Aber auch sektorübergreifend herrscht weiterhin ein erheblicher Nachholbedarf.
In der Praxis muss ein perfektionierter DDoS-Schutz in erster Linie an den Schwachstellen ansetzen, die in gegenwärtigen Debatten noch nicht ausreichend skizziert werden.
Dazu gehören beispielsweise digitale Einfallstore innerhalb von Lieferketten, also gelieferte Hard- und Software oder auch Dienstleistungen aus dem Ingenieursbereich. Da diese Komponenten durch Dritte zur Verfügung gestellt werden, gilt: Nur als Einzelunternehmen digital resilient zu sein, reicht heute nicht mehr aus. Parallel müssen Dienstleister, Partner und Subunternehmen, die im Worst Case veraltete Systeme und keine Awareness in puncto DDoS aufzeigen ebenso geschützt werden.
Fazit: Ein kombinierter Ansatz kann Abhilfe schaffen und vorbeugen
Die stetig zunehmenden Aktivitäten von politisch motivierten Hackergruppen haben natürlich auch die Gesetzgeber auf EU- und Bundesebene auf den Plan gerufen. Gesetze, Richtlinien und Verordnungen wie BSIG, NIS2, CER oder das KRITIS-Dachgesetz wurden bzw. werden entweder kontinuierlich neu geschaffen oder der Bedrohungslage angepasst. Wer zur KRITIS zählt, muss nun zahlreiche organisatorische und technische Pflichten erfüllen und seine IT-Infrastruktur entsprechend härten.
Diese Regularien bilden aber nur das äußere Gerüst, das mit einer effektiven und zukunftsorientierten IT-Sicherheitsstrategie ausgefüllt werden muss. Angesichts fortschreitender Digitalisierung und resultierender Vernetzung, Automatisierung und der Integration von KI-Systemen stehen Flexibilität und Skalierbarkeit im Fokus.
Ziel der Anstrengungen ist die Etablierung und stetige Verbesserung einer digitalen Resilienz. Angesichts der aktuellen Konflikte in den IT-Netzwerken, die parallel zum Krieg in der Ukraine geführt werden, kann auf diese Weise sowohl die Versorgungssicherheit als auch die Tragfähigkeit von Geschäftsmodellen weiter gewährleistet werden.