Perspectives & VoicesCyberwar 07.04.22

Die Geschehnisse der letzten Wochen mit dem aktuell laufenden Krieg Russlands gegen die Ukraine legen erneut einen Fokus auf das Thema Cyberbedrohungen kritischer Infrastrukturen von Staaten. Das Thema an sich ist nicht neu. Zur sogenannten „kritischen Infrastruktur“ zählen Sektoren wie Energie, Informationstechnik und Telekommunikation, Transport, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen, Staat und Verwaltung, Entsorgung sowie Medien und Kultur.

Das heißt: Kritische Infrastrukturen haben eine hohe Bedeutung für das reibungslose Funktionieren der Gesellschaft und ein Ausfall dieser kann letztlich auch die öffentliche Sicherheit gefährden. Geregelt werden die Sektoren seit 2015 durch das BSI Gesetz, welches 2021 durch das neue IT Sicherheitsgesetz überarbeitet wurde. Gleichzeitig regelt das Gesetz Vorgaben zum Schutze dieser kritischen Infrastrukturen durch deren Betreiber. Und dies nicht ohne Grund. Denn dass kritische Infrastruktur Ziel von Angriffen aus dem Cyberraum sein kann, ist nicht nur seit langem bekannt, sondern leider auch bittere Realität.

SCHUTZ DES FINANZSEKTORS
Auf anderer Ebene hat die Europäische Union mit dem „Digital Resilience Operations Act“ (DORA) derzeit ein Gesetz zur Beratung, dass besonders die Finanzdienstleister und deren große IT-Dienstleister in die Pflicht nehmen soll, sich besonders gegen Cyberbedrohungen zu schützen. Denn dem Finanzsektor kommt in unseren sich immer weiter digitalisierenden Gesellschaften mit dem elektronischen Zahlungsverkehr eine außerordentliche Bedeutung für ein funktionierendes öffentliches Leben zu.

VÖLKERRECHT – KEIN THEMA IM CYBERRAUM?
Um die Etablierung von eher allgemeinen Normen zum Verhalten im Cyberraum geht es dabei im Rahmen der Vereinten Nationen. Die Generalversammlung der Vereinten Nationen hat 2018 mit der Resolution 73/27 die “Open-ended working group on developments in the field of information and telecommunications in the context of international security” etabliert, die sich unter anderem mit Themen wie Cyber Operationen im Rahmen von bewaffneten Konflikten beschäftigt. Denn im Völkerrecht findet der Cyberraum noch keine wirkliche Berücksichtigung.

WER BEDROHT WEN?
Doch wer stellt nun eigentlich die viel beschworene Bedrohung im Cyberraum dar? Hier ist die Bandbreite der Akteure sehr groß und reicht von Nationalstaaten, über staatlich unterstützte beziehungsweise geduldete Akteure, bis hin zu kriminellen Organisationen und kriminellen Einzelnen. Der Übergang ist dabei fließend und lässt sich mitunter schwer klar zuordnen, was die Verfolgung von entsprechenden Straftaten und die klare Attributierung von Angriffen – also das genaue Zuordnen einer Tat zu einem Akteur – immer wieder sehr schwer macht. Dieser Mix von Akteuren ist auch in den letzten Wochen im Krieg Russlands gegen die Ukraine zu beobachten.
Grundsätzlich sind die Angriffsszenarien bei den Angriffen im Cyberraum vielfältig. Sie reichen von der Störung des Zahlungsverkehrs durch sogenannte Distributed Denial of Service Attacken, über die Sabotage der öffentlichen Verwaltung durch die Verschlüsselung der Daten bis hin zu Veränderungen von Einstellungen und Reglern in der Wasser- oder Gasversorgung.

BEISPIEL DEUTSCHLAND
Als jüngere Beispiele seien hier allein für Deutschland der Angriff auf die Stadtwerke Wismar, das Universitätsklinikum Düsseldorf oder die Kreisverwaltung Bitterfeld genannt. Die Liste ließe sich noch lange weiterführen.

GROSSE BANDBREITE AN METHODEN
Auch bei den eingesetzten Taktiken gibt es eine große Bandbreite der Methoden. Häufig kommen Phishing Mails zum Einsatz, aber auch Websites, welche einen teils mit Malware infizierten Inhalt enthalten, der beim Browsen durch den Benutzer automatisch heruntergeladen wird. Hinzu kommt das, was man häufig unter dem klassischen Hacken versteht, also das gezielte Ausnutzen von softwareseitigen Schwachstellen – entweder im Code der verwendeten Software oder aber durch Ausnutzen von Sicherheitslücken auf Grund falsch gesetzter oder gar nicht vorgenommener Einstellungen. Das Vorgehen der Hacker und die Kombination von Einzeltaktiken in immer komplexer werdenden Netzwerken stellt die Betreiber dabei zunehmend vor große Probleme bei der Verteidigung ihrer Computer und Netzwerke. Um sich gegen die Bedrohungen zu verteidigen, kommt ein mehrschichtiger Ansatz zum Tragen.

SCHUTZ UND ABWEHR
Zum einen wird aus Management-Sicht ein Information Security Management System aufgebaut. Das ist in diesem Kontext nicht technisch gemeint, sondern es ist ein koordiniertes und ein aufeinander abgestimmtes System an Prozessen, Rollen, Verantwortlichkeiten und Kontrollen, um die Sicherheit der eigenen Informationen zu gewährleisten. Zum anderen kommt natürlich eine Reihe technischer Anwendungen zum Einsatz, um Angriffe zu erkennen und abzuwehren. Hierbei wird zunehmend auch Künstliche Intelligenz verwendet, die teils mittels neuronaler Netze eigenständig dazulernt, um Muster von Angriffen zu erkennen. Die sogenannten „Intrusion Detection Systems“ (IDS) analysieren den Netzwerkverkehr mit Blick auf entweder bereits bekannte Angriffsmuster oder auf Abweichungen vom normalen Datenverkehr. Intelligente Intrusion Prevention Systems (IPS) gehen noch einen Schritt weiter, sie können automatisch Gegenmaßnahmen einleiten, so zum Beispiel das Schließen von bestimmten Netzwerkverbindungen oder das Entziehen von bestimmten Berechtigungen, damit Aktionen des Angreifers nicht mehr ausgeführt werden können.

SECURITY OPERATION CENTER
Beides läuft in einem sogenannten „Security Information & Event Management“ (SIEM) zusammen, das die Ereignisse Security Analysten anzeigt, die situationsbezogen weitere Prüfungen durchführen und notfalls weitere Einheiten im „Security Operation Center“ (SOC), der Kommandozentrale zur Cyberabwehr, alarmieren. Der Einsatz von Künstlicher Intelligenz in der Verteidigung wird, wie auch auf Seiten der Angreifer, in den kommenden Jahren weiter steigen und das Wettrüsten weiter verschärfen. Daher ist ein strategischer und effizienter Aufbau der Verteidigung gefragt.

Text Sebastian Troch