Cybersecurity | Experten-Interview So sicher sind Sachsen-Anhalts kritische Infrastrukturen

Sie beide kümmern sich um Cybersecurity vor allem von Unternehmen der kritischen Infrastrukturen: Gerhard Oppenhorst, Sie sind Geschäftsführer von ESC in Halle. Marian Kogler, Sie führen die Geschäfte von syret in Halle. Wie gut schlafen Sie nachts?

Marian Kogler: Sehr gut, weil ich zwei Möglichkeiten habe: Entweder, ich mache mir spätabends Gedanken über all die Risiken, die uns bei der Cybersecurity drohen. Oder ich lasse Arbeit Arbeit und Freizeit Freizeit sein und denke an schöne Dinge.

Gerhard Oppenhorst: Ich kann gut schlafen – genau so gut wie unsere Kunden. Unsere Kunden, weil sie aus unseren Status-Reports den Zustand ihrer Sicherheits-Infrastruktur und die Maßnahmen der ESC kennen. Und ich kann gut schlafen, weil unser Monitoring ein positives Feedback gibt. Die Übersicht aller von uns betreuten Systeme zeigt eine Torte mit roten, gelben und grünen Tortenstücken – und grün beruhigt ungemein.

Wie schätzen Sie die IT-Sicherheitslage der kritischen Infrastrukturen in Sachsen-Anhalt ein? Welcher Sektor sticht positiv, welcher negativ heraus?

Kogler: Das ist eine Frage für die Statistiker. Nach meiner Erfahrung hat der Finanzsektor die beste IT-Sicherheitslage, die schlechteste der medizinische Bereich. Es scheint wohl mit der Höhe des IT-Budgets und der Sicherheitslage zusammenzuhängen. Aber natürlich gibt es auch Finanz-Unternehmen, die sehr schlecht abgesichert sind und hervorragend abgesicherte Krankenhäuser und Arztpraxen. Die sind aber eher die Ausnahmen.

Oppenhorst: In Sachsen-Anhalt ist es nicht besser und nicht schlechter als in anderen Bundesländern. Und Branchen eignen sich auch wenig als Unterscheidungsmerkmal. Aber mit jedem Security-Audit bei einem neuen Kunden kann man fast immer vorhersagen: Die Sicherheitslage ist dort gut, wo Firmen mit externen Partnern zusammenarbeiten, die zum Beispiel regelmäßige Tests machen oder durchlaufend am Sicherheitsniveaus arbeiten. Wo überwiegend reagiert wird, ist die Sicherheit stark verbesserungsbedürftig. Das gilt aber nicht nur für den KRITIS-Sektor. In der Aussage zur Gesundheitswirtschaft schließe ich mich Herrn Kobler an. Kliniken setzen häufig die geringsten Mittel im Verhältnis zur Bedrohung ein. Der Bund fördert die Krankenhäuser in diesem Jahr mit 4,3 Milliarden Euro. Dabei müssen in jedem Projekt mindestens 15 Prozent auf IT-Sicherheit entfallen. Es dürfen aber auch 100 Prozent sein. Hoffentlich fehlt nicht gerade den Kliniken mit Personalmangel im IT-Bereich die Zeit, diese Mittel zu beantragen.

Sie beide sind in der Cybersecurity tätig. Welches war der haarsträubendste Fehler, den Sie bei einem Unternehmen der kritischen Infrastruktur in Sachsen-Anhalt bislang gesehen haben?

Kogler: Das war ein von außen erreichbarer Server, auf dem man sich mit einem Passwort ähnlich „admin123“ als Administrator einloggen konnte. Der Server selbst war zwar nur ein Testserver. Aber von ihm aus konnte man ungestört Angriffe auf das interne Netzwerk fahren. In dem Netzwerk befanden sich mehrere Steuerungssysteme, die noch mit Windows XP liefen. Wir sollten die Sicherheit überprüfen und waren im Wesentlichen nach einer halben Stunde heimlicher Administrator von allen Systemen.

Oppenhorst: Gerade schnell bestellbare günstige Cloud-Angebote ersetzen oft den steinigen Beschaffungs- und Integrationsweg. Wir haben schon mehrfach eine Office-365-Installation oder eine Dropbox gefunden, die nicht in das Sicherheitskonzept eingebunden waren. Es fehlte also nicht nur die Sicherheit, es fehlte auch an den Kontrollstrukturen für diese Installationen. Der Kreis der zugriffsberechtigten Personen war nicht geregelt und es konnten Daten abfließen und Schadcode eingeschleust werden.

Was halten Sie für die größere Bedrohung: Kriminelle, die Lösegeld erpressen wollen, in dem Sie zum Beispiel die Daten von Rechnern eines Stromversorgers verschlüsseln? Oder staatliche Akteure, die sich unbemerkt in Systeme einschließen, mitlesen und irgendwann auch zuschlagen könnten?

Kogler: Für die allermeisten Unternehmen und Organisationen sind das eindeutig die Kriminellen. Staatliche Akteure konzentrieren sich meist auf sehr hochwertige Ziele wie Regierungen, Parlamente, Geheimnisträger oder Großkonzerne insbesondere in sensiblen Branchen. Es kann aber auch jemand dadurch ins Fadenkreuz geraten, dass er Kunde oder Zulieferer des eigentlichen Ziels ist. Aber es gibt durchaus einige Länder, für die ich vor einer Reise Smartphone und Laptop kaufen und nach der Reise entsorgen würde.

Oppenhorst: Unseren eigenen Staat halte ich im Inland für keine echte Bedrohung. Hier macht mir nur Sorge, dass auch unsere Geheimdienste Schwachstellen in IT-Systemen für ihre Arbeit nutzen und ihre Erkenntnisse verheimlichen. Kriminelle und solche, die Kriminellen im Darknet Werkzeuge verkaufen oder vermieten, stellen die Hauptbedrohung dar.

Herr Oppenhorst, Sie stellen Sicherheitslösungen für Unternehmen auf, damit es erst gar nicht zu IT-Vorfällen kommt. Was ist derzeit die größte Bedrohung?

Oppenhorst: Die Scheinsicherheit, wenn man meint, ausreichend für die IT-Sicherheit investiert zu haben. Häufig unterbleiben dann Audits der IT-Sicherheit. Falls die eingesetzte Schutztechnik keine Mitteilungen macht oder Mitteilungen nicht ausgewertet werden oder große Mengen solcher Meldungen nicht richtig ausgewertet werden, dann bleiben Bedrohungen und erfolgreiche Angriffe unerkannt. Und die Verantwortlichen haben Eindruck, alles Notwendige getan zu haben. Aber das gibt Cyberkriminellen die Zeit, ihren Angriff langsam und leise zu gestalten und unterhalb des Radars zu arbeiten. Einem Daten-Vorfall geht meist wochen- und monatelanges unbemerktes langsames Eindringen voraus. Jeder kann das zu Hause nachspielen: Wer hat von seiner eingebauten Firewall oder der Fritzbox schon einmal Nachrichten über Angriffe erhalten? Dass solche Nachrichten fehlen, ist kein Zeichen, dass es keine Angriffe gibt, sondern ein Zeichen, dass man blind für solche Angriffe ist.

Herr Kogler, Sie machen Penetrationtests, also greifen Unternehmen in deren Auftrag an, um zu testen, wie gut sie vorbereitet sind, müssen also wie ein Hacker denken. Wenn Herr Oppenhorst seine Arbeit richtig gemacht hat, sind dann nicht die Mitarbeiter und Mitarbeiterinnen das schwächste Glied beim Schutz von IT-Systemen?

Kogler: Im Prinzip ja. Leider hat nicht jedes Unternehmen einen Herrn Oppenhorst oder bleibt nicht ständig am Ball. Wer ein sicheres System oder Netzwerk nach Stand der Technik heute aufsetzt und sich nicht regelmäßig darum kümmert, kann davon ausgehen, dass er in spätestens in zwei Jahren ein offenes Scheunentor hat. Ansonsten sehen wir bei Sicherheitsvorfällen häufig eine Kombination aus menschlichen und technischen Faktoren: Ein Mitarbeiter, der zum Beispiel das infizierte Word-Dokument öffnet und so einen Schädling hinter die Firewall ins Firmen-Netzwerk bringt. Der Schädling verbreitet sich dann selbstständig über technische Schwachstellen. Ein andere Beispiel: Der E-Mail-Account der Geschäftsführerin wird auf technischem Weg übernommen und der Angreifer schreibt der Buchhaltung im Stil der Geschäftsführerin und weist sie an, sofort einen größeren Geldbetrag zu überweisen.

Inwieweit hat die Pandemie die Sicherheitslage eigentlich verschärft?

Kogler: Homoffice hat die Sache schwieriger gemacht, weil sich unternehmenseigene Geräte jetzt plötzlich in privaten Netzwerken befinden. Sie haben oft keine schützende Firewall oder werden nicht professionell gewartet. Wer eine verdächtige E-Mail bekommt, kann derzeit den Kollegen ein Büro weiter nicht schnell fragen, ob er etwas darüber weiß.

Aber es scheint auch einen Zusammenhang zwischen der Wirtschaftslage und der Zahl der Cyberangriffe zu geben. Das konnte man auch während der Wirtschaftskrise 2007 bis 2009 beobachten. Ich erkläre mir das so, dass bei einer Wirtschaftskrise auch viele IT-ler arbeitslos werden, insbesondere in Ländern ohne Kurzarbeit und Arbeitslosengeld. Sie beschließen dann, ihren Lebensunterhalt künftig auf die kriminelle Art und Weise zu bestreiten.

Oppenhorst: Mit der Pandemie wurden Millionen von Arbeitsplätzen aus den geschützten internen Netzwerken ins Home Office verlegt und zusammen mit privaten und oft leicht zu kapernden Geräten wie Webcams oder WLAN-Lautsprechern über das heimische WLAN direkt an das öffentliche Internet angeschlossen. Meist ging das nicht umgehend mit der Erhöhung der sogenannten Endpoint-Security Hand in Hand. Aber auch dort, wo bereits Technik zum Schutz externer IT eingesetzt wurde, wird die nun hinzugekommene externe IT meist nicht überwacht. Es fehlt zum Beispiel eine übergreifende Analyse von Datenflüssen. Bedrohungen bleiben unbemerkt. Daraus entstehen in der Folge die größten Risiken.

Was empfehlen Sie Unternehmen grundsätzlich als erste Maßnahme, um Angriffen vorzubeugen?

Kogler: Immer Updates einspielen. Denn ein Großteil der Angriffe läuft über längst breit dokumentierte und in aktuellen Versionen behobene Schwachstellen in verbreiteter Software. Wenn man immer die neuesten Versionen und Patches einspielt, bleibt man zumindest von diesen 08/15-Angriffen verschont. Außerdem müssen die Mitarbeiter und Mitarbeiterinnen sensibilisiert werden und verdächtiges Verhalten, verdächtige E-Mails melden oder im Zweifelsfall das Netzwerkkabel ziehen und die IT-Abteilung verständigen.

Oppenhorst: Die ersten Maßnahmen sollten eine Analyse und ein Plan sein. Die Werte, die zerstört werden können, müssen dokumentiert werden. Die Gefahren für diese Werte müssen ermittelt werden. Und dann müssen Maßnahme-Pläne aufgestellt und Prozesse eingeführt werden. Dabei muss die Chefetage einbezogen werden. Sie muss auch dafür sorgen, dass der IT-Abteilung die notwendigen Mittel zur Verfügung stehen. Man kann Fehler vermeiden, wenn man in diesen Prozess externe Fachleute einbezieht.

Und was tun, wenn die IT-Abteilung einen Angriff bemerkt oder eine Lösegeldforderung von Erpressern auf dem Tisch liegt?

Kogler: Zuerst sollte man prüfen, ob der Angriff überhaupt erfolgreich war. Ungezielte Angriffe sieht man als Betreiber von IT-Infrastruktur regelmäßig. Die Angreifer setzen oft auf Masse. Das ist so ähnlich, als würde jemand an einer Straße alle Türklinken ausprobieren, um zu schauen, welche sich öffnen lassen. Auch eine Lösegeldforderung kann nur auf gut Glück verschickt worden sein. Sind also tatsächlich Dateien verschlüsselt und kann der Erpresser das nachweisen oder hofft er nur, dass man einfach aus Schreck zahlt?
Nach einem echten und erfolgreichen Angriff, sollte man den Notfallplan aus dem Regel ziehen können. Dort steht üblicherweise so etwas drin wie Netzwerkverbindungen kappen, Überprüfen, welche Rechner kompromittiert wurden, Rechner neu aufsetzen und auf Hintertüren achten, die der Angreifer geöffnet, aber noch nicht genutzt hat und beim Wiederhochfahren Netzwerk und Verbindungen nach außen engmaschig überwachen.
Aber das Wichtigste bei Erpressungsversuchen ist, auf keinen Fall Lösegeld zahlen. Das schafft nur einen Anreiz für Kriminelle, es immer wieder zu versuchen und niemand garantiert, dass der Erpresser noch höheres Lösegeld fordert oder überhaupt das tut, was er verspricht.

Oppenhorst: Ein Notfallplan wird bei KRITIS-Unternehmen vorhanden sein. Aber in den meisten Unternehmen existiert so etwas nicht oder nur sehr lückenhaft. Hier gilt: Schreiben lassen kann man sich das nicht und Checklisten aus Büchern können den eigenen Notfallplan nicht ersetzten. Der Plan muss im Unternehmen selbst gemacht werden. Unsere Kunden lassen sich zwar beraten, entscheiden aber selbst und finden so zu ihrem Notfallplan. Liegt dieser Plan vor, kann die IT-Bereitschaft auch nachts und am Wochenende schnell reagieren.

Und zum Schluss bitte noch drei Tipps, die jeder Sachsen-Anhalter und jede Sachsen-Anhalterin Zuhause berücksichtigen sollte, um sich zu schützen.

Kogler: Regelmäßige Updates sind auch für Privatanwender wichtig. Das gilt für PC, Smartphone und Tablet. Auch auf seine Passwörter muss man acht geben. Regelmäßig werden auch Internet-Plattformen gehackt und so Passwörter gestohlen und veröffentlicht. Wer zum Beispiel überall ein unsicheres Passwort hat, dessen gesamte digitale Identität können Angreifer dann schnell übernehmen. Ich empfehle, einen Passwort-Manager zu benutzen. Und Nachdenken kann auch mehr Sicherheit bringen: Wenn mir eine Webseite kostenlos ein Programm anbietet, das normalerweise 5.000 Euro kostet und ich bei der Installation meinen Virenscanner ausschalten soll, dann soll mir da sehr wahrscheinlich etwas untergejubelt werden. Genauso wenn jemand angeblich von Microsoft anruft und meinen PC von einem Virus befreien will. Microsoft ruft nie Benutzer von sich aus an.

Oppenhorst: Das zu ergänzen ist schwer. Wer das liest, hat schon die größte Hürde genommen: sich für IT-Sicherheit interessiert und sensibilisiert. Diese Aufmerksamkeit muss man erhalten und sich bei jeder ungewöhnlichen Situation am Computer zu fragen, ob das ein Sicherheitsvorfall sein kann. Allein dieser Gedanke hilft ungemein, Gefahren besser zu beherrschen.
Der Heim-PCs ist mit Windows Firewall und Microsoft Defender meist schon sehr leistungsfähig geschützt und der heimische Router hat eine eingebaute Firewall. Diese Schutztechniken kann man sich einmal ansehen und nach Möglichkeiten zur Einstellung suchen. Allein dadurch wird man die Gefahren und Schutzmöglichkeiten besser verstehen. Ein Blick in die Protokolle bzw. Logdaten solcher Geräte und Programme hilft, wenn man diese aktiviert hat.