Cybersicherheit – eine Frage der Verantwortung

[showcat]
connections-system-datas-exchanges-planet-earth-3d-rendering-m
Alle reden von Cybersicherheit, aber keiner tut was dafür. Das scheint derzeit allgemeine Wahrnehmung zu sein. Es fehlt nicht an Erkenntnissen und Experten, um zu wissen, was zu tun ist.

Alle reden von Cybersicherheit, aber keiner tut was dafür. Das scheint derzeit allgemeine Wahrnehmung zu sein. Es fehlt nicht an Erkenntnissen und Experten, um zu wissen, was zu tun ist. Sobald es darum geht, die angemessenen Maßnahmen umzusetzen und Ressourcen bereitzustellen sind, prallen sie oft am Festhalten an Gewohnheiten oder Handlungszwängen ab. So laden offenstehende Schwachstellen Hacker mit kriminellen Absichten zum Missbrauch ein.

Ein wenig erinnert es an die Situation, als sich die Immun-Erkrankung AIDS ab den 1980er-Jahren ausbreitete. Allen war der Slogan „Kondome schützen“ ein Begriff. Die Praxis war dagegen geprägt vom Ansatz „Ohne ist schöner.“ in Kombination mit dem Mantra „Hab immer aufgepasst, was soll schon passieren …“. Der Vergleich offenbart zudem eine weitere Parallele, warum es gut ist, sich zu schützen: Es geht nicht nur um das eigene Wohlergehen, sondern auch um den Schutz der anderen. Doch spätestens die Erfahrungen der Corona-Pandemie zeigen, dass das Prinzip der dualen Verantwortung für sich und die Gesellschaft ähnlich wie der kategorische Imperativ noch keine Allgemeingültigkeit erlangt hat.

Das schmälert die Relevanz der Cybersicherheit jedoch keineswegs. Der folgende Artikel leitet diese Relevanz aus drei Aspekten ab: aus dem technischen Entwicklungstempo, der aktuellen Bedrohungslage und den regulatorischen Anforderungen. Am Ende lassen sich alle drei Bereiche wieder auf das Prinzip der Verantwortung zurückführen – als eine Einsicht in Notwendigkeit und damit zugehörige Komponente zur Freiheit.

Seit den letzten Jahrzehnten erlebt der technische Fortschritt im Bereich der Computertechnik eine revolutionäre Entwicklung. Die ersten Großrechner in der Mitte des 20. Jahrhunderts füllten noch Räume mit einer Rechenleistung, die längst von unseren Smartphones in der Hosentasche übertroffen wird. Mit dem Aufkommen des Internets in den 1990er Jahren erfuhr die Welt eine grundlegende Veränderung in der Art und Weise, wie Menschen kommunizieren, Informationen austauschen und Geschäfte tätigen. Die ständige Weiterentwicklung von Netzwerktechnologien hat zu einer global vernetzten Gesellschaft geführt, die in Echtzeit Informationen austauscht. Effizienz und Produktivität steigerten sich in zahlreichen Branchen und neue Geschäftsmodelle und soziale Interaktionen entstanden, die zuvor undenkbar waren.

Neue Möglichkeiten schaffen aber auch Abhängigkeiten; und sei es aus der Komfortgewohnheit und dem menschlichen Fortschrittsstreben heraus. Jedes neue Level an Komfort und Fortschritt macht es unvorstellbar, ohne Not wieder auf einen alten Standard zurückzufallen. Dabei vollzieht sich der Prozess der Digitalisierung in allen Lebensbereichen so rasant, dass der Bedarf und die Umsetzung von Schutzmaßnahmen erst nachträglich erfolgen. Doch das Phänomen kennen wir auch von anderen technischen Entwicklungen. Die ersten Automodelle besaßen keine Sicherheitsgurte. Inzwischen gehören diese zur serienmäßigen Pflichtausstattung eines jeden Neuwagens dazu. Die Analogie liefert zudem ein klares Beispiel, dass die Einführung von Schutzmaßnahmen besser funktioniert, wenn sie nicht einseitig erfolgt: Hersteller in der EU sind gemäß Richtlinie 77/541/EWG des EU-Rates vom 28. Juni 1977 verpflichtet, alle in der EU neu zugelassenen Fahrzeuge mit Sicherheitsgurten auszustatten. Der Endnutzer muss sie daher nicht extra kaufen, ist aber verpflichtet, sich anzuschnallen.

Was die aktuelle Bedrohungslage für den Cyberbereich angeht, sollten wir alle längst angeschnallt sein. Es ist ein Irrtum, russische Hacker hätten erst mit dem Ukraine-Krieg 2022 begonnen „den Westen“ anzugreifen. Bereits im Mai 2021 wandten sich die Betreiber der Colonial Pipeline an die Behörden in den USA. Angreifer hatten ihre Daten verschlüsselt und forderten ein Lösegeld für deren Wiederfreigabe. Den Hackern gelang es mit einer simplen E-Mail das System zu infiltrieren. Sie konnten zwar nur in den Backoffice-Bereich eindringen und nicht in die Kontrollsysteme. Doch aufgrund der zunächst unklaren Lage entschloss sich das Unternehmen das komplette System herunterzufahren, um das Risiko eines tieferen Systembefalls zu reduzieren. Dadurch kam es zu einem tagelangen Ausfall des Pipeline-Transports und zu Engpässen bei der Kraftstoffversorgung für die Bevölkerung. Die Regierung in Washington musste zwei Tage nach der Meldung des Angriffs den regionalen Notstand ausrufen.

connected-city

Das FBI ermittelte, bei den Angreifern handele sich um eine Gruppe sogenannter professioneller Hacker namens DarkSide. Der Name tauchte erstmals im August 2020 in Hacking-Foren in russischer Sprache auf und ist eine Ransomware-as-a-Service-Plattform – eine von inzwischen vielen > siehe INFOBOX.

Als im Frühjahr 2023 die „Vulkan Files“ an die Öffentlichkeit gelangten, belegten sie erneut, dass der Kreml im Bereich der Cyberkriegsführung Vorbereitungen als auch Angriffe bereits vor dem Überfall auf die Ukraine begann. Die internen Unterlagen der russischen IT-Firma NTC Vulkan hatte eine anonyme Quelle geleaked. Mehr als 50 Journalisten aus acht Ländern werteten das Material aus. Demnach gab und gibt es mit hoher Wahrscheinlichkeit weiterhin eine gezielte Anwerbung von IT-Ingenieuren für staatliche Cyber-Projekte in Zusammenarbeit mit und zwischen den russischen Geheimdiensten, um Schwachstellen für mögliche Angriffe auszuspähen und die Informationsflüsse im Internet zu kontrollieren.

Die immerhin gute Nachricht der „Vulkan Files“: sie zeigen Grenzen der russischen Cyberfähigkeiten auf, wie z. B. mangelnde Fähigkeiten komplexe Verschlüsselungen zu knacken. Doch die Dateien verdeutlichen auch, dass ein Angreifer im Cyberbereich so erfolgreich ist, wie es ihm die Schwachstellen der Opfer erlauben.

Dabei sind IT-Schwachstellen nicht nur eine Bedrohung als Einfallstor für kriminelle und staatliche Hacker. Auch Systemfehler können zu Betriebsvorfällen führen. Eine Auswertung der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vom Juli 2024 zeigt: Durch IT-Vorfälle verursachte Störungen bei Zahlungsdienstleistern hatten selten einen externen Angriff als Ursache, sondern interne und operationelle Fehler bei den Prozessen und Systemen.

In Zukunft ist nicht nur gestraft, wer ungeschützt das Ziel von Cyber-Attacken wird. Wer kein funktionierendes Sicherheitsmanagement für seine IT-Prozesse hat, wird wegen regulatorischer Verstöße zur Kasse gebeten. Die Europäische Kommission plant ab dem 18. Oktober 2024 in allen EU-Mitgliedstaaten die Anwendung der EU-Cybersicherheitsrichtlinie NIS-2 (The Network and Information Security Directive).

Zeitliche Abweichungen können sich national durch die jeweiligen NIS-2-Umsetzungsgesetze ergeben. In Österreich bekam die Richtlinie keine parlamentarische Mehrheit und liegt damit vorerst auf Eis. In Deutschland dürfte die Umsetzungsfrist weiterhin gesetzt sein, doch diagnostiziert der Verband der Internetwirtschaft eco, nur wenige Unternehmen seien wirklich auf NIS-2 vorbereitet.

Dabei betrifft die Richtlinie zahlreiche Branchen: Als wesentliche Organisationen („essential“) sind hauptsächlich KRITIS-Unternehmen gelistet, die für das staatliche Gemeinwesen von entscheidender Bedeutung sind, darunter die Branchen Energie- und Wasserversorgung, Transport, Finanz- und Bankwesen, Gesundheit sowie öffentliche Verwaltung. Zu den wichtigen Organisationen („important“) zählen sieben Branchen: Post- und Kurierdienste, Abfallwirtschaft, Lebensmittelproduktion, Chemikalienindustrie, digitale Dienste (wie Suchmaschinen, Online-Marktplätze, Cloud-Services, soziale Netzwerke), Industrie (einschließlich Maschinenbau, Fahrzeugbau, Datenverarbeitungsgeräte) sowie Forschung.

Es drohen empfindliche Strafen bei Nichterfüllung: bis zu zehn Millionen Euro oder zwei Prozent des Gesamtjahresumsatzes bei den laut NIS-2 als wesentlich eingestuften Firmen. Bei den als wichtig geltenden Unternehmen fallen bis zu sieben Millionen Euro oder 1,4 Prozent des Gesamtjahresumsatzes an. In beiden Fällen ist der jeweils höhere Betrag maßgeblich. Wichtiger Zusatz hierbei: Es haften die Leitungsorgane von Unternehmen mit ihrem Privatvermögen für die Einhaltung der erforderlichen Maßnahmen.

Für den europäischen Finanzsektor greift zudem ab dem 17. Januar 2025 der europäische Digital Operational Resilience Act, kurz DORA. Damit soll ein einheitlicher Regulierungsrahmen für die digitale operative Widerstandsfähigkeit von Zahlungsdienstleistern geschaffen werden. Bei Nichteinhaltung steht es zwar den EU-Mitgliedstaaten frei, Sanktionen zu erheben. Aber umso mehr sind Bußgelder unausweichlich, da DORA im Gegensatz zur NIS-2-Richtlinie als Gesetz in Kraft tritt.

Diese Form der Belangung bei Verstößen unterstreicht das Prinzip der Verantwortung zum Eigenschutz und für Dritte. Ein Cyberangriff betrifft in der Zeit heutiger Produktions- und Dienstleistungsabhängigkeiten selten eine Institution allein. Mit einer Ausfallzeit von Geschäftsprozessen, dem Schaden in IT-Systemen und dem Datenverlust entsteht auch immer ein Ereignis der wahrnehmbaren Dysfunktionalität. Die Häufung an Dysfunktionalität gefährdet die Stabilität einer Gesellschaft.

Am Ende wird immer ein Preis zu zahlen sein:

  1. Sie investieren in den Schutz ihrer IT-Systeme, weil Sie die Zeichen der Zeit erkennen.
  2. Sie finanzieren Cyberkriminelle als Opfer ihrer Ransomware.
  3. Sie verstoßen gegen die für Sie geltenden Anforderungen von NIS-2 und DORA und zahlen Bußgelder.

Spätestens wenn Option b) publik wird, kommt Option c) additiv dazu. Und damit beginnt hier die Verantwortung der Leitungsebene: Sie treffen die Wahl.

Infobox

Was ist Ransomware-as-a-Service?

In Zeiten des beliebten Outsourcings ermöglicht Ransomware-as-a-Service lukrative Joint Ventures zwischen Kriminellen mit einerseits fortgeschrittenen und andererseits weniger ausgeprägten IT-Fähigkeiten. Dabei programmieren und warten die Profi-Hacker eine hochwertige Ransomware und stellen sie Kriminellen ohne größere IT-Skills zur Verfügung. Diese können dann die Software nutzen, um die IT-Systeme der von ihnen ausgewähltem Opfer mit Ransomware zu infizieren und Lösegeldzahlungen zu erpressen oder Wirtschaftsspionage bei der Konkurrenz zu betreiben. Vom erzielten Gewinn der „Franchises“ geht ein Anteil an den „Mutter-Konzern“, der auch zur Weiterentwicklung des Produkts reinvestiert wird.
Obwohl es sich hier um eine dunkle Seite der Wirtschaft handelt, ohne Compliance geht es hier ebenfalls nicht. So erfolgte im Mai 2021 eine Erklärung der „Leitungsebene“ von DarkSide, dass die Schädigung des Pipeline-Betriebs nicht ihre Intention war und sie keine Aktion verantworten wollen, die Auswirkungen auf die Bevölkerungsversorgung habe. Zudem wurden Verbesserungen der Arbeitsprozesse und der Kundenbetreuung versprochen: „Ab heute führen wir Moderation ein und überprüfen jedes Unternehmen, das unsere Partner verschlüsseln möchten, um künftige soziale Konsequenzen zu vermeiden.“
Wie auch bei anderen Ransomware-Plattformen kommt es bei DarkSide zu einer doppelten Erpressung. Ein Betrag wird fällig, um einen digitalen Schlüssel zum Entsperren von Dateien und Servern zu erlangen. Eine Extrazahlung steht für das Versprechen, dass die Hacker alle kopierten Daten nicht weiterverbreiten, sondern vollständig löschen. Wer als Opfer hier spart, erlebt ein weiteres Geschäftsmodell von DarkSide: Die Daten werden in der Sparte der moralisch unbelasteten Börsenzocker-Community als Vorabinfos über ein Daten-Fiasko verkauft. Danach finden die gestohlenen Informationen über einen „victim shaming blog“ ihren Weg in die Öffentlichkeit.
Artikel teilen: