Cybersecurity | Experten-Interview So sicher sind Sachsen-Anhalts kritische Infrastrukturen
Hauptinhalt
07. März 2021, 10:45 Uhr
Gerhard Oppenhorst und Marian Kogler aus Halle helfen zum Beispiel Versorgungsunternehmen und Krankenhäusern bei ihrer IT-Sicherheit. Oppenhorst beugt vor allem vor. Kogler testet und klärt Angriffe auf. Im Doppel-Interview mit MDR-SACHSEN-ANHALT erklären sie, wie gefährdet Sachsen-Anhalts kritische Infrastrukturen sind.
Sie beide kümmern sich um Cybersecurity vor allem von Unternehmen der kritischen Infrastrukturen: Gerhard Oppenhorst, Sie sind Geschäftsführer von ESC in Halle. Marian Kogler, Sie führen die Geschäfte von syret in Halle. Wie gut schlafen Sie nachts?
Marian Kogler: Sehr gut, weil ich zwei Möglichkeiten habe: Entweder, ich mache mir spätabends Gedanken über all die Risiken, die uns bei der Cybersecurity drohen. Oder ich lasse Arbeit Arbeit und Freizeit Freizeit sein und denke an schöne Dinge.
Gerhard Oppenhorst: Ich kann gut schlafen – genau so gut wie unsere Kunden. Unsere Kunden, weil sie aus unseren Status-Reports den Zustand ihrer Sicherheits-Infrastruktur und die Maßnahmen der ESC kennen. Und ich kann gut schlafen, weil unser Monitoring ein positives Feedback gibt. Die Übersicht aller von uns betreuten Systeme zeigt eine Torte mit roten, gelben und grünen Tortenstücken – und grün beruhigt ungemein.
Marian Kogler, Geschäftsführer von syret aus Halle
Kogler ist in Wien geboren, 29 Jahre alt, hat an der Technischen Universität Wien Informatik und Informatikmanagement studiert und in Leipzig und Halle in der IT gearbeitet. Die Firma syret (angelehnt an das französische Wort für Sicherheit, "sûreté", und "sy" von System) hat er 2018 gegründet. Mittlerweile hat Kogler fünf Mitarbeiter. Die syret bietet auch Seminare zur IT-Sicherheit an und ist Teilnehmer der Allianz für Cyber-Sicherheit, die das BSI ins Leben gerufen hat. Kogler beschäftigt sich in seiner Freizeit gern mit Elektronik und Mikrocontrollern, spielt Tischtennis und druckt auf seinem 3D-Drucker mehr oder weniger nützliche Dinge aus.
Wie schätzen Sie die IT-Sicherheitslage der kritischen Infrastrukturen in Sachsen-Anhalt ein? Welcher Sektor sticht positiv, welcher negativ heraus?
Kogler: Das ist eine Frage für die Statistiker. Nach meiner Erfahrung hat der Finanzsektor die beste IT-Sicherheitslage, die schlechteste der medizinische Bereich. Es scheint wohl mit der Höhe des IT-Budgets und der Sicherheitslage zusammenzuhängen. Aber natürlich gibt es auch Finanz-Unternehmen, die sehr schlecht abgesichert sind und hervorragend abgesicherte Krankenhäuser und Arztpraxen. Die sind aber eher die Ausnahmen.
Oppenhorst: In Sachsen-Anhalt ist es nicht besser und nicht schlechter als in anderen Bundesländern. Und Branchen eignen sich auch wenig als Unterscheidungsmerkmal. Aber mit jedem Security-Audit bei einem neuen Kunden kann man fast immer vorhersagen: Die Sicherheitslage ist dort gut, wo Firmen mit externen Partnern zusammenarbeiten, die zum Beispiel regelmäßige Tests machen oder durchlaufend am Sicherheitsniveaus arbeiten. Wo überwiegend reagiert wird, ist die Sicherheit stark verbesserungsbedürftig. Das gilt aber nicht nur für den KRITIS-Sektor. In der Aussage zur Gesundheitswirtschaft schließe ich mich Herrn Kobler an. Kliniken setzen häufig die geringsten Mittel im Verhältnis zur Bedrohung ein. Der Bund fördert die Krankenhäuser in diesem Jahr mit 4,3 Milliarden Euro. Dabei müssen in jedem Projekt mindestens 15 Prozent auf IT-Sicherheit entfallen. Es dürfen aber auch 100 Prozent sein. Hoffentlich fehlt nicht gerade den Kliniken mit Personalmangel im IT-Bereich die Zeit, diese Mittel zu beantragen.
Gerhard Oppenhorst, Geschäftsführer von ESC aus Halle
Oppenhorst ist 59 Jahre alt und hat Jura und Informatik studiert. 1991 gründete er die Firma ESC in Halle (Saale), die später Gründungsmitglied des Cluster IT Mitteldeutschland war. ESC hat 1993 die ersten Internet-Zugänge nach Mitteldeutschland gebracht und ist ein ausschließlich auf IT-Sicherheit spezialisierter Dienstleister. ESC betreut deutschlandweit große mittelständische Unternehmen, Kommunen und viele Krankenhäuser und Klinikverbünde. 2020 hat sich ESC einer Gruppe von IT-Security-Firmen angeschlossen, der Swiss IT Security AG, und sein Angebot deutlich erweitert. In seiner Freizeit bastelt Oppenhorst seit 1998 an seinem Smart Home.
Fehler bei der IT-Sicherheit
Sie beide sind in der Cybersecurity tätig. Welches war der haarsträubendste Fehler, den Sie bei einem Unternehmen der kritischen Infrastruktur in Sachsen-Anhalt bislang gesehen haben?
Kogler: Das war ein von außen erreichbarer Server, auf dem man sich mit einem Passwort ähnlich „admin123“ als Administrator einloggen konnte. Der Server selbst war zwar nur ein Testserver. Aber von ihm aus konnte man ungestört Angriffe auf das interne Netzwerk fahren. In dem Netzwerk befanden sich mehrere Steuerungssysteme, die noch mit Windows XP liefen. Wir sollten die Sicherheit überprüfen und waren im Wesentlichen nach einer halben Stunde heimlicher Administrator von allen Systemen.
Oppenhorst: Gerade schnell bestellbare günstige Cloud-Angebote ersetzen oft den steinigen Beschaffungs- und Integrationsweg. Wir haben schon mehrfach eine Office-365-Installation oder eine Dropbox gefunden, die nicht in das Sicherheitskonzept eingebunden waren. Es fehlte also nicht nur die Sicherheit, es fehlte auch an den Kontrollstrukturen für diese Installationen. Der Kreis der zugriffsberechtigten Personen war nicht geregelt und es konnten Daten abfließen und Schadcode eingeschleust werden.
Das sind kritische Infrastrukturen
Als kritische Infrastrukturen gelten Systeme, Werke oder Anlagen, die wichtig sind, um eine Gesellschaft aufrechtzuerhalten. Der Bund hat sie in insgesamt acht Sektoren unterteilt:
Energie, Transport und Verkehr, Informationstechnik und Kommunikation, Gesundheit, Wasser, Ernährung, Finanzen und Versicherung, Staat und Behörden, Medien und Kultur.
Oft sind die Sektoren voneinander abhängig. Fällt zum Beispiel der Strom aus, ist auch die Kommunikation bedroht. Können Lebensmittel nicht transportiert werden, sind auch Krankenhäuser betroffen. Derzeit wird viel darüber gesprochen, dass kritische Infrastrukturen von IT-Angriffen bedroht sind (Cybersecurity). Aber auch Naturkatastrophen, technisches oder menschliches Versagen stellen Gefahren für sie dar.
Was halten Sie für die größere Bedrohung: Kriminelle, die Lösegeld erpressen wollen, in dem Sie zum Beispiel die Daten von Rechnern eines Stromversorgers verschlüsseln? Oder staatliche Akteure, die sich unbemerkt in Systeme einschließen, mitlesen und irgendwann auch zuschlagen könnten?
Kogler: Für die allermeisten Unternehmen und Organisationen sind das eindeutig die Kriminellen. Staatliche Akteure konzentrieren sich meist auf sehr hochwertige Ziele wie Regierungen, Parlamente, Geheimnisträger oder Großkonzerne insbesondere in sensiblen Branchen. Es kann aber auch jemand dadurch ins Fadenkreuz geraten, dass er Kunde oder Zulieferer des eigentlichen Ziels ist. Aber es gibt durchaus einige Länder, für die ich vor einer Reise Smartphone und Laptop kaufen und nach der Reise entsorgen würde.
Oppenhorst: Unseren eigenen Staat halte ich im Inland für keine echte Bedrohung. Hier macht mir nur Sorge, dass auch unsere Geheimdienste Schwachstellen in IT-Systemen für ihre Arbeit nutzen und ihre Erkenntnisse verheimlichen. Kriminelle und solche, die Kriminellen im Darknet Werkzeuge verkaufen oder vermieten, stellen die Hauptbedrohung dar.
Cybersicherheit: Lösungen und Tests aus Sachsen-Anhalt
Herr Oppenhorst, Sie stellen Sicherheitslösungen für Unternehmen auf, damit es erst gar nicht zu IT-Vorfällen kommt. Was ist derzeit die größte Bedrohung?
Oppenhorst: Die Scheinsicherheit, wenn man meint, ausreichend für die IT-Sicherheit investiert zu haben. Häufig unterbleiben dann Audits der IT-Sicherheit. Falls die eingesetzte Schutztechnik keine Mitteilungen macht oder Mitteilungen nicht ausgewertet werden oder große Mengen solcher Meldungen nicht richtig ausgewertet werden, dann bleiben Bedrohungen und erfolgreiche Angriffe unerkannt. Und die Verantwortlichen haben Eindruck, alles Notwendige getan zu haben. Aber das gibt Cyberkriminellen die Zeit, ihren Angriff langsam und leise zu gestalten und unterhalb des Radars zu arbeiten. Einem Daten-Vorfall geht meist wochen- und monatelanges unbemerktes langsames Eindringen voraus. Jeder kann das zu Hause nachspielen: Wer hat von seiner eingebauten Firewall oder der Fritzbox schon einmal Nachrichten über Angriffe erhalten? Dass solche Nachrichten fehlen, ist kein Zeichen, dass es keine Angriffe gibt, sondern ein Zeichen, dass man blind für solche Angriffe ist.
Herr Kogler, Sie machen Penetrationtests, also greifen Unternehmen in deren Auftrag an, um zu testen, wie gut sie vorbereitet sind, müssen also wie ein Hacker denken. Wenn Herr Oppenhorst seine Arbeit richtig gemacht hat, sind dann nicht die Mitarbeiter und Mitarbeiterinnen das schwächste Glied beim Schutz von IT-Systemen?
Kogler: Im Prinzip ja. Leider hat nicht jedes Unternehmen einen Herrn Oppenhorst oder bleibt nicht ständig am Ball. Wer ein sicheres System oder Netzwerk nach Stand der Technik heute aufsetzt und sich nicht regelmäßig darum kümmert, kann davon ausgehen, dass er in spätestens in zwei Jahren ein offenes Scheunentor hat. Ansonsten sehen wir bei Sicherheitsvorfällen häufig eine Kombination aus menschlichen und technischen Faktoren: Ein Mitarbeiter, der zum Beispiel das infizierte Word-Dokument öffnet und so einen Schädling hinter die Firewall ins Firmen-Netzwerk bringt. Der Schädling verbreitet sich dann selbstständig über technische Schwachstellen. Ein andere Beispiel: Der E-Mail-Account der Geschäftsführerin wird auf technischem Weg übernommen und der Angreifer schreibt der Buchhaltung im Stil der Geschäftsführerin und weist sie an, sofort einen größeren Geldbetrag zu überweisen.
Bekannt gewordene Hacker-Angriffe und Warnungen
Immer wieder wird über spektakuläre Hacker-Angriffe berichtet.
- "Stuxnet" hat zum Beispiel die iranische Atomaufbereitung gestört und geht wohl auf die USA und Israel zurück.
- In Florida wurde ein Hacker-Angriff auf die Trinkwasserversorgung nur knapp verhindert.
- Die Berliner Wasserbetriebe sind angeblich ungenügend gegen Angriffe geschützt.
- Auch die Europäische Arzneimittel-Agentur sollte wohl angegriffen werden.
- Hunderte US-Unternehmen und US-Ministerien sind vom SolarWinds-Hack betroffen.
- Der Datenabfluss aus dem Bundestag ist noch immer nicht vollständig aufgeklärt.
- Nicht immer ist es die Schuld von Hackern: In das geheime Treffen der EU-Verteidigungsminister im November 2020 per Videokonferenz hat sich ein niederländischer Journalist quasi mit dazu gesetzt hat. Die niederländische Verteidigungsministerin hatte ein Foto mit einem Teil des Zugangscodes zur Videokonferenz getwittert.
- Und regelmäßig warnen Behörden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik), Bundesverfassungsschutz und BND warnen Energieversorger zum Beispiel vor russischen Angriffen und der BSI-Lagebericht (PDF) aus dem Oktober 2020 bezeichnet die IT Sicherheitslage in Deutschland als "angespannt".
Die Pandemie und IT-Sicherheit
Inwieweit hat die Pandemie die Sicherheitslage eigentlich verschärft?
Kogler: Homoffice hat die Sache schwieriger gemacht, weil sich unternehmenseigene Geräte jetzt plötzlich in privaten Netzwerken befinden. Sie haben oft keine schützende Firewall oder werden nicht professionell gewartet. Wer eine verdächtige E-Mail bekommt, kann derzeit den Kollegen ein Büro weiter nicht schnell fragen, ob er etwas darüber weiß.
Aber es scheint auch einen Zusammenhang zwischen der Wirtschaftslage und der Zahl der Cyberangriffe zu geben. Das konnte man auch während der Wirtschaftskrise 2007 bis 2009 beobachten. Ich erkläre mir das so, dass bei einer Wirtschaftskrise auch viele IT-ler arbeitslos werden, insbesondere in Ländern ohne Kurzarbeit und Arbeitslosengeld. Sie beschließen dann, ihren Lebensunterhalt künftig auf die kriminelle Art und Weise zu bestreiten.
Oppenhorst: Mit der Pandemie wurden Millionen von Arbeitsplätzen aus den geschützten internen Netzwerken ins Home Office verlegt und zusammen mit privaten und oft leicht zu kapernden Geräten wie Webcams oder WLAN-Lautsprechern über das heimische WLAN direkt an das öffentliche Internet angeschlossen. Meist ging das nicht umgehend mit der Erhöhung der sogenannten Endpoint-Security Hand in Hand. Aber auch dort, wo bereits Technik zum Schutz externer IT eingesetzt wurde, wird die nun hinzugekommene externe IT meist nicht überwacht. Es fehlt zum Beispiel eine übergreifende Analyse von Datenflüssen. Bedrohungen bleiben unbemerkt. Daraus entstehen in der Folge die größten Risiken.
Was empfehlen Sie Unternehmen grundsätzlich als erste Maßnahme, um Angriffen vorzubeugen?
Kogler: Immer Updates einspielen. Denn ein Großteil der Angriffe läuft über längst breit dokumentierte und in aktuellen Versionen behobene Schwachstellen in verbreiteter Software. Wenn man immer die neuesten Versionen und Patches einspielt, bleibt man zumindest von diesen 08/15-Angriffen verschont. Außerdem müssen die Mitarbeiter und Mitarbeiterinnen sensibilisiert werden und verdächtiges Verhalten, verdächtige E-Mails melden oder im Zweifelsfall das Netzwerkkabel ziehen und die IT-Abteilung verständigen.
Oppenhorst: Die ersten Maßnahmen sollten eine Analyse und ein Plan sein. Die Werte, die zerstört werden können, müssen dokumentiert werden. Die Gefahren für diese Werte müssen ermittelt werden. Und dann müssen Maßnahme-Pläne aufgestellt und Prozesse eingeführt werden. Dabei muss die Chefetage einbezogen werden. Sie muss auch dafür sorgen, dass der IT-Abteilung die notwendigen Mittel zur Verfügung stehen. Man kann Fehler vermeiden, wenn man in diesen Prozess externe Fachleute einbezieht.
Experten-Tipps
Und was tun, wenn die IT-Abteilung einen Angriff bemerkt oder eine Lösegeldforderung von Erpressern auf dem Tisch liegt?
Kogler: Zuerst sollte man prüfen, ob der Angriff überhaupt erfolgreich war. Ungezielte Angriffe sieht man als Betreiber von IT-Infrastruktur regelmäßig. Die Angreifer setzen oft auf Masse. Das ist so ähnlich, als würde jemand an einer Straße alle Türklinken ausprobieren, um zu schauen, welche sich öffnen lassen. Auch eine Lösegeldforderung kann nur auf gut Glück verschickt worden sein. Sind also tatsächlich Dateien verschlüsselt und kann der Erpresser das nachweisen oder hofft er nur, dass man einfach aus Schreck zahlt?
Nach einem echten und erfolgreichen Angriff, sollte man den Notfallplan aus dem Regel ziehen können. Dort steht üblicherweise so etwas drin wie Netzwerkverbindungen kappen, Überprüfen, welche Rechner kompromittiert wurden, Rechner neu aufsetzen und auf Hintertüren achten, die der Angreifer geöffnet, aber noch nicht genutzt hat und beim Wiederhochfahren Netzwerk und Verbindungen nach außen engmaschig überwachen.
Aber das Wichtigste bei Erpressungsversuchen ist, auf keinen Fall Lösegeld zahlen. Das schafft nur einen Anreiz für Kriminelle, es immer wieder zu versuchen und niemand garantiert, dass der Erpresser noch höheres Lösegeld fordert oder überhaupt das tut, was er verspricht.
Oppenhorst: Ein Notfallplan wird bei KRITIS-Unternehmen vorhanden sein. Aber in den meisten Unternehmen existiert so etwas nicht oder nur sehr lückenhaft. Hier gilt: Schreiben lassen kann man sich das nicht und Checklisten aus Büchern können den eigenen Notfallplan nicht ersetzten. Der Plan muss im Unternehmen selbst gemacht werden. Unsere Kunden lassen sich zwar beraten, entscheiden aber selbst und finden so zu ihrem Notfallplan. Liegt dieser Plan vor, kann die IT-Bereitschaft auch nachts und am Wochenende schnell reagieren.
Und zum Schluss bitte noch drei Tipps, die jeder Sachsen-Anhalter und jede Sachsen-Anhalterin Zuhause berücksichtigen sollte, um sich zu schützen.
Kogler: Regelmäßige Updates sind auch für Privatanwender wichtig. Das gilt für PC, Smartphone und Tablet. Auch auf seine Passwörter muss man acht geben. Regelmäßig werden auch Internet-Plattformen gehackt und so Passwörter gestohlen und veröffentlicht. Wer zum Beispiel überall ein unsicheres Passwort hat, dessen gesamte digitale Identität können Angreifer dann schnell übernehmen. Ich empfehle, einen Passwort-Manager zu benutzen. Und Nachdenken kann auch mehr Sicherheit bringen: Wenn mir eine Webseite kostenlos ein Programm anbietet, das normalerweise 5.000 Euro kostet und ich bei der Installation meinen Virenscanner ausschalten soll, dann soll mir da sehr wahrscheinlich etwas untergejubelt werden. Genauso wenn jemand angeblich von Microsoft anruft und meinen PC von einem Virus befreien will. Microsoft ruft nie Benutzer von sich aus an.
Oppenhorst: Das zu ergänzen ist schwer. Wer das liest, hat schon die größte Hürde genommen: sich für IT-Sicherheit interessiert und sensibilisiert. Diese Aufmerksamkeit muss man erhalten und sich bei jeder ungewöhnlichen Situation am Computer zu fragen, ob das ein Sicherheitsvorfall sein kann. Allein dieser Gedanke hilft ungemein, Gefahren besser zu beherrschen.
Der Heim-PCs ist mit Windows Firewall und Microsoft Defender meist schon sehr leistungsfähig geschützt und der heimische Router hat eine eingebaute Firewall. Diese Schutztechniken kann man sich einmal ansehen und nach Möglichkeiten zur Einstellung suchen. Allein dadurch wird man die Gefahren und Schutzmöglichkeiten besser verstehen. Ein Blick in die Protokolle bzw. Logdaten solcher Geräte und Programme hilft, wenn man diese aktiviert hat.
Über den Autor Marcel Roth arbeitet seit 2008 als Redakteur und Reporter bei MDR SACHSEN-ANHALT. Nach seinem Abitur hat der gebürtige Magdeburger Zivildienst im Behindertenwohnheim gemacht, in Bochum studiert, in England unterrichtet und in München die Deutsche Journalistenschule absolviert. Anschließend arbeitete er für den Westdeutschen Rundfunk in Köln. Bei MDR SACHSEN-ANHALT berichtet er über Sprachassistenten und Virtual Reality, über Künstliche Intelligenz, Breitbandausbau, Fake News und IT-Angriffe. Außerdem ist er Gastgeber des MDR SACHSEN-ANHALT-Podcasts "Digital leben".
MDR/Marcel Roth
Dieses Thema im Programm: MDR SACHSEN-ANHALT – Das Radio wie wir | 06. März 2021 | 12:00 Uhr
Not Found
The requested URL /api/v1/talk/includes/html/11a53724-453f-4e03-b46a-182058980d66 was not found on this server.