>> Read this blogpost in English.
Nach einem Hackerangriff auf die IT-Systeme des Landkreises Anhalt-Bitterfeld im Juli 2021 rief dieser den bundesweit ersten Cyber-Katastrophenfall aus. Die IT wurde vollkommen lahmgelegt. Der Landkreis rechnete auch noch Wochen nach dem Angriff mit Problemen. Er konnte unter anderem keine Sozialleistungen und Leistungen im Bereich Unterhaltsvorschuss mehr auszahlen (Deutschlandfunk Nova 2021).
Deutschlandweit gibt es bislang keinen genauen Überblick, wie stark die öffentliche Verwaltung von Hacker-Angriffen betroffen ist. Laut Recherchen von Bayerischen Rundfunk und Zeit Online gab es allerdings in den vergangenen sechs Jahren mehr als 100 Fälle bei Behörden, Kommunalverwaltungen und anderen staatlichen öffentlichen Stellen in denen es zu einer Verschlüsselung von IT-Systemen durch Angreifer kam. Die Untersuchung zeigte auch, dass insbesondere die Angst vor Beschädigungen der kritischen Infrastruktur groß ist (Zierer/Tanriverdi 2021). Solche müssen seit 2015 gemeldet werden und Betreiber bestimmter Einrichtungen regelmäßige Prüfungen zulassen (Sempf 2019).
Kritische Infrastrukturen (KRITIS) sind „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“ (Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe). Dazu gehören
Sensibel für Angriffe sind diese Systeme vor allem deshalb, weil viele davon bereits vor sehr langer Zeit entwickelt wurden – einer Zeit, in welcher IT-Sicherheitsaspekte noch eine geringere Rolle spielten. In modernen Industriebetrieben sind jedoch inzwischen viele Komponenten mit dem Internet verbunden, was eine höhere Verwundbarkeit für Cyberangriffe zur Folge hat (Sempf 2019).
So kam es beispielsweise im Jahr 2020 zu einem Ransomware-Angriff auf den Strom- und Wasserversorger Technische Werke Ludwigshafen (TWL). Danach waren Kundendaten des Unternehmens im Darknet verfügbar. Die Angreifer hatten ein Lösegeld in Höhe von Millionen gefordert – der Versorger war dieser Forderung nicht nachgekommen. Eine Verschlüsselung der Systeme oder ein Zugriff auf die Prozessleittechnik konnte allerdings verhindert werden (Tremmel 2020).
Anders fünf Jahre zuvor in der Ukraine: Hier erfolgte ein Cyberangriff auf das Stromnetz. Eine Schadsoftware brachte 30 Umspannwerke und Schaltanlagen zum Erliegen. Die gesamte Stromversorgung funktionierte nicht mehr. Fast 230 000 Menschen saßen im Dunkeln, Krankenhäuser mussten auf Notstromaggregate zurückgreifen. Ein solches Szenario kann weitreichende Folgen haben, es entstehen Versorgungsengpässe und ganze Länder können lahmgelegt werden (Handelsblatt 2018 und Sempf 2019).
Experten vermuten staatliche russische Hacker hinter dem Angriff auf das ukrainische Stromnetz. Allein die Europäische Union registrierte 2019 rund 450 Angriffe auf kritische Infrastrukturen. (Benediek/Kettemann 2021, 1). Erst kürzlich warnte auch die Nato vor zunehmenden Cyberangriffen auf ebendiese und demokratische Institutionen. Insbesondere China wurde in diesem Zusammenhang kritisiert.
Was im Lokalen von Belang ist, spielt dementsprechend auch transnational eine immer wichtigere Rolle: In einer Bitkom-Umfrage im Jahr 2019 gaben deshalb 67 Prozent der befragten Internetnutzer in Deutschland an, dass sie sich vermehrt Investitionen in die Sicherheit kritischer Infrastruktur wünschen. Fast die Hälfte der Befragten war außerdem für Cyber-Bündnisse mit anderen Staaten (Statista Research Department 2020).
Es stellt sich also die Frage, wie sich die Europäische Union gegen solcherlei Angriffe wappnet. Bereits seit 2015 arbeitet der Staatenverbund an diversen Initiativen, um auf Cyber-Attacken reagieren zu können (Benediek/Kettemann 2021, 2). Im Jahr 2016 erließ die Europäische Union mit der Richtlinie über die Sicherheit von Netz- und Informationssystemen die ersten Maßnahmen im Bereich der Cybersicherheit. Im Herbst 2017 forderten die Staats- und Regierungschefs auf dem Digitalgipfel in Tallinn, dass die Europäische Union „bis zum Jahr 2025 weltweit zum Vorreiter in Sachen Cybersicherheit werden müsse, um das Vertrauen, die Zuversicht und den Schutz der Bürger, Verbraucher und Unternehmen online zu sichern und ein freies, von mehr Sicherheit getragenes und durch Gesetze gesichertes Internet zu ermöglichen“ (Amtsblatt der Europäischen Union 2021).
Strategie für Cybersicherheit und Resillienz
Im Dezember 2020 stellte die Europäische Union schließlich eine neue Strategie für Cybersicherheit und Resillienz vor. Nach dieser sind es die zunehmende Vernetzung der Verbraucher und Unternehmen – insbesondere auch befördert durch die Covid-19-Pandemie – aber auch geopolitische Spannungen im Bezug auf das globale und offene Internet, die ein Handeln erfordern. Letztere spiegelten sich insbesondere in der wachsenden Zahl von Nationalstaaten wider, die digitale Grenzen errichteten – eine Bedrohung der Grundwerte der EU. Der Cyberraum werde mehr und mehr zu einem Ort zunehmender Polarisierung auf internationaler Ebene und es ergäben sich hybride Bedrohungen wie Desinformationskampagnen und Cyberangriffe auf Infrastrukturen, Wirtschaftsabläufe und demokratische Institutionen.
Die weltweit größte Gefahr stellten böswillige Angriffe auf kritische Infrastrukturen dar. Letztere würden befördert durch die Konzentration von wesentlichen Diensten in der Hand weniger privater Unternehmen und der Abhängigkeit der Europäischen Union von diesen. Problematisch sei vor allem das fehlende „kollektive Lagebewusstsein für Cyberbedrohungen“ im Staatenverbund. Nur ein Bruchteil der Vorfälle würde von den Mitgliedsstaaten gemeldet und der Informationsaustausch sei weder systematisch noch umfassend (Europäische Kommission 2020a). Einige dieser Punkte beziehen sich auf das strategische Ziel, die digitale Souveränität der Europäischen Union zu stärken. Hierzu habe ich bereits einen Blogbeitrag verfasst: Digitale Souveränität in der EU – Ein Kurzüberblick.
Folgende Aspekte werden in der Strategie für Cybersicherheit und Resillienz aufgeführt:
Verordnung zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren
Aufbauend auf die Strategie für Cybersicherheit und Resillienz wurde am 20. Mai 2021 die Verordnung zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren beschlossen. Diese soll dazu beitragen, die Sicherheit kritischer Infrastruktur und des Internets zu erhöhen. Ausgangspunkt ist nach der Verordnung die aktuell noch zu hohe Abhängigkeit der Europäischen Union von nichteuropäischen Cybersicherheitsanbietern. Im Staatenverbund gäbe es eine Fülle von Fachwissen und Erfahrungen – diese würden jedoch nicht ausreichend gebündelt und vernetzt und seien noch fragmentiert. Auch sogenannte Civic-Tech-Projekte seien von großem Interesse für die Gesellschaft. Noch verfüge die Europäische Union aber „nach wie vor nicht über ausreichende technologische und industrielle Kapazitäten und Fähigkeiten, um ihre Wirtschaft und ihre kritischen Infrastrukturen autonom zu sichern und zu einem weltweit führenden Akteur im Bereich der Cybersicherheit zu werden“ (Amtsblatt der Europäischen Union 2021).
Hierzu wird nach der Verordnung von 2021 in einem ersten Schritt ein Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest geschaffen. Dieses soll „das wichtigste Instrument sein, um Investitionen in Forschung, Technologie und industrielle Entwicklung im Bereich der Cybersicherheit zu bündeln“ (Amtsblatt der Europäischen Union 2021). Dabei sollen Wirtschaft und Gesellschaft vor Cyberangriffen geschützt, Exzellenz auf dem Gebiet der Forschung gesichert und die Industrie gefördert und konkurrenzfähig gemacht werden – alles unter der Maxime, die „offene strategische Autonomie der EU zu fördern“ (Europäische Kommission 2020b). Wichtig erscheint insbesondere, dass das neue Zentrum und das Netz an angeschlossenen nationalen Koordinierungsstellen Forschung und Industrie Erprobungs- und Versuchseinrichtungen zur Verfügung stellen werden, welche sonst für einzelne Mitgliedsstaaten unerschwinglich wären. Das Netzwerk nationaler Koordinierungszentren soll weiterhin zur Förderung und Verbreitung von Bildungsprogrammen im Bereich der Cybersicherheit beitragen. Bis Ende des Jahres 2021 obliegt es jedem Mitgliedsstaat der Europäischen Union, eine Einrichtung zu benennen, welche die Kriterien erfüllt, um ein sogenanntes nationales Koordinierungszentrum im Netzwerk zu werden (Amtsblatt der Europäischen Union 2021).
Fazit
Die Europäische Union unternimmt seit 2020 zunehmend Anstrengungen im Bereich Cybersicherheit und treibt ihre Strategie aus dem Dezember mit ersten Verordnungen voran. Im Hintergrund schwingt bei alldem die Idee von digitaler Souveränität mit – also der Autonomie zu anderen Regionen und Unternehmen aus dem Ausland. Hierbei scheint der erste Schritt vor allem der Aufbau einer eigenen Forschungsinfrastruktur zu sein. Weiterhin werden rechtliche Änderungen angestrebt und diverse diplomatische Anstrengungen unternommen. Ziel ist die Wahrung eines offenen Internets, welches sicher und nach europäischen Werten ausgerichtet ist. Dabei werden vor allem Drittländer, welche gegenteilige Ansinnen verfolgen und auf Zensurpolitik und territoriale Abschottung setzen, als potenzielle Gefahrenquelle wahrgenommen. Diesen soll insbesondere die Teilnahme an internationalen Normungsgremien und eine engere Zusammenarbeit mit den Vereinten Nationen entgegengesetzt werden. Es stellt sich die Frage, inwiefern all diese supranationalen strategischen Ziele sich auch auf lokaler Ebene auswirken und ob die Cybersicherheits-Maßnahmen der Europäischen Union zukünftig einen Werkzeugkasten für Hackerangriffe auf kritische Infrastrukturen zur Verfügung stellen können.
Leseempfehlung:
„Blackout – Morgen ist es zu spät“ – ein Roman von Marc Elsberg
An einem kalten Februartag brechen in Europa alle Stromnetze zusammen. Der totale Blackout. Der italienische Informatiker Piero Manzano vermutet einen Hackerangriff und versucht, die Behörden zu warnen – erfolglos. Als Europol-Kommissar Bollard ihm endlich zuhört, tauchen in Manzanos Computer dubiose Emails auf, die den Verdacht auf ihn selbst lenken. Er ist ins Visier eines Gegners geraten, der ebenso raffiniert wie gnadenlos ist. Unterdessen liegt ganz Europa im Dunkeln, und der Kampf ums Überleben beginnt … (Elsberg)
Hörempfehlung:
„KRITIS“ – ein Podcast vom Chaos Computer Club
Im BSI-Gesetz werden Kritische Infrastrukturen definiert als „Organisationen und Einrichtungen [..] bei deren Ausfall [..] Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten“. Weil es im Krisenfall zumindest in der IT nicht so weit kommen soll, hat sich die AG KRITIS gegründet. Was sind die Ziele der AG KRITIS? Wie kann ein IT-Krisenfall aussehen? Was ist ein Cyber-Hilfswerk? Das und mehr erfährt Marcus Richter im Chaosradio 263 von HonkHase und Ijon. (Chaosradio 2020)
Quellen
Amtsblatt der Europäischen Union. 2021. „Verordnung (EU) 2021/887 Des Europäischen Parlaments und des Rates vom 20. Mai 2021 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren.“ < https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32021R0887&from=EN > (22.07.2021)
Benediek, Annegret; Kettemann, Matthias C. 2021. „EU-Strategie zur Cybersicherheit: Desperat Cyberdiplomatie.“ SWP-Aktuell 12 < https://www.swp-berlin.org/publications/products/aktuell/2021A12_EUCyberdiplomatie.pdf > (22.07.2021)
Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. „Glossar – Kritische Infrastrukturen (KRITIS).“ < https://www.kritis.bund.de/SubSites/Kritis/DE/Servicefunktionen/Glossar/Functions/glossar.html?lv2=4968594 > (22.07.2021)
Chaosradio. 2020. „KRITIS – Kritische Infrastruktur.“ < https://chaosradio.de/cr263-kritis > (06.08.2021)
Deutschlandfunk. 2021. „Nato warnt vor zunehmenden Cyberattacken auf kritische Infrastruktur.“ < https://www.deutschlandfunk.de/hackerangriffe-nato-warnt-vor-zunehmenden-cyberattacken-auf.1939.de.html?drn:news_id=1282263 > (22.07.2021)
Deutschlandfunk Nova. 2021. „Erster deutscher Cyber-Katastrophenfall“ < https://www.deutschlandfunknova.de/nachrichten/hack-in-anhalt-bitterfeld-erster-deutscher-cyber-katastrophenfall > (11.07.2021)
Elsberg, Marc. „Blackout – Morgen ist es zu spät“ < https://marcelsberg.com/buecher?isbn=9783442380299 > (06.08.2021)
Europäische Kommission. 2020a. „Gemeinsame Mitteilung an das Europäische Parlament und den Rat – Die Cybersicherheitsstrategie der EU für die digitale Dekade.“ < https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020JC0018&from=EN > (22.07.2021)
Europäische Kommission. 2020b. „Kommission begrüßt politische Einigung über das Kompetenzzentrum und das Netz für Cybersicherheit.“ < https://ec.europa.eu/commission/presscorner/detail/de/IP_20_2384 > (22.07.2021)
Handelsblatt. 2018. „Im Fadenkreuz der Hacker.“ < https://www.handelsblatt.com/technik/it-internet/kritische-infrastruktur-schuetzen-im-fadenkreuz-der-hacker/20877220.html > (22.07.2021)
Sempf, Julia. 2019. „Kritische Infrastrukturen – der wohl verwundbarste Punkt eines Landes.“ < https://www.hornetsecurity.com/de/security-informationen/kritische-infrastrukturen/ > (22.07.2021)
Statista Research Department. 2020. „Umfraeg zu Vorbereitungen auf künftige Cyberattacken in Deutschland 2019.“ < https://de.statista.com/statistik/daten/studie/1088587/umfrage/vorbereitungen-auf-zukuenftige-cyberattacken-in-deutschland/ > (22.07.2021)
Tremmel, Moritz. 2020. „Daten von Stadtwerken Ludwigshafen im Darknet veröffentlicht.“ < https://www.golem.de/news/nach-hack-daten-von-stadtwerken-ludwigshafen-im-darknet-veroeffentlicht-2005-148484.html > (22.07.2021)
Zierer, Maximillian; Tanriverdi, Hakan. 2021. „Zahlreiche Fälle von digitaler Erpressung in deutschen Behörden“ < https://www.br.de/nachrichten/deutschland-welt/hacker-angriffe-digitale-erpressung-in-deutschen-behoerden,SbduLPs > (11.07.2021)
After looking at a number of the articles on your web page, I honestly appreciate your way of blogging. I book-marked it to my bookmark website list and will be checking back in the near future. Take a look at my website as well and tell me how you feel.