Politisch motivierte Hacker greifen Unternehmen an, um den demokratischen Staat Deutschland zu treffen. Ihr Ziel ist es, Infrastrukturen zu zerschlagen und zu vernichten. Mit dieser Entwicklung hat sich die Bedrohungslage gewandelt. Wolfgang Kurz, Geschäftsführer indevis, beschreibt, warum Cyber Defense heute bedeutet, dass Firmen sich darum kümmern müssen, resilient zu sein; was die EU-Richtlinie NIS2 dazu beiträgt und warum sie immer noch nicht ausreicht.
Die Natur von Cyberangriffen wandelt sich. Früher ging es meistens um Erpressung, heute auch um Zerstörung. Dass politische Spannungen sich in den digitalen Raum ausweiten, hat direkte und spürbare Auswirkungen auf deutsche Unternehmen. Sie müssen dafür sorgen, cyberresilient zu sein, denn die Cyberabwehr auf nationaler Ebene ist in Deutschland bisher ziemlich lückenhaft.
Die Zeiten, in denen Cyberangriffe hauptsächlich auf finanziellen Gewinn abzielten, sind vorbei. Bereits zu Beginn des Ukraine-Kriegs intensivierten russische Hackergruppen ihre Angriffe auf deutsche Firmen. Mit dem Aufflammen des Israel-Palästina-Konflikts sind die politisch motivierten Attacken weiter angestiegen und werden im kommenden Jahr voraussichtlich noch zunehmen. Ähnliches stellte auch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) im Lagebericht zur IT-Sicherheit in Deutschland fest.
Die Gründe dafür? Unsere amerikafreundliche Haltung, die NATO-Mitgliedschaft und die Position des Landes als eine der größten Volkswirtschaften Europas. All das macht Deutschland zu einem Hauptangriffsziel. Die Attacken sind also auch Ausdruck politischer und ideologischer Auseinandersetzungen, die auf dem digitalen Schlachtfeld ausgetragen werden. Leider ist in Deutschland eine nationale Cyberabwehr auf Landesebene praktisch nicht vorhanden. Dadurch stehen Unternehmen selbst in der Pflicht, wirksame Vorkehrungen zu treffen.
Was können Unternehmen tun?
Organisationen müssen sich darauf einstellen, nach einem Vorfall nicht mit Erpressern verhandeln zu können, sondern dass hinter ihm Hacker aus totalitären Staaten oder terroristische Vereinigungen stehen. Und diesen geht es darum, Systeme zu infiltrieren, Informationen zu löschen und handlungsunfähig zu machen.
Verantwortliche sollten ihren Fokus daher darauf richten, ihre Cyber-Resilienz zu stärken. Als Leitfaden kann und sollte die NIS2-Richtlinie dienen, die im Januar dieses Jahr in Kraft trat. Sie markiert einen entscheidenden Schritt der EU, ein einheitliches Sicherheitsniveau für Netz- und Informationssysteme in allen Mitgliedsstaaten zu etablieren und Demokratien resilienter zu machen. Im Vergleich zur ersten Version hat sich der Anwendungsbereich dabei maßgeblich erweitert.
Während in der ersten Version der Fokus auf Unternehmen und Organisationen aus dem direkten KRITIS-Umfeld (kritische Infrastrukturen) lag und die Privatwirtschaft nur wenig betroffen war, hat sich der Kreis mit NIS2 deutlich erweitert: Die neue Einteilung in „wesentliche“ und „wichtige“ kritische Sektoren gilt nun auch für die Privatwirtschaft.
Betroffene Unternehmen müssen Maßnahmen ergreifen, die Auswirkungen von Cyberbedrohungen begrenzen, die Widerstandsfähigkeit gegenüber Angriffen stärken und die Fähigkeit verbessern, sich von einem Sicherheitsvorfall schnell zu erholen. Best Practices wie ISO-Normen und IT-Grundschutz zu implementieren, ist ein solider Anfang. Externe Security-Berater und Managed Security Service Provider können hier wertvolle Hilfestellung leisten, denn moderne Sicherheitstechnologie ist komplex und benötigt Know-how und ausreichende Ressourcen.
Schritte zu landesweiten Cyber-Resilienz
Bedauerlich ist jedoch, dass die NIS2-Direktive Ausnahmen formuliert, die den öffentlichen Sektor betreffen. Diese Schlupflöcher erlauben es, sich vor der Umsetzung von IT-Sicherheitsmaßnahmen zu drücken. Da staatliche Institutionen vor dem Hintergrund der aktuellen weltpolitischen Lage bevorzugte Ziele für Angreifer sind, ist anzunehmen, dass dies den sicherheitstechnischen Fortschritt Deutschlands insgesamt behindert.
Es wird aller Voraussicht nach nicht genügen, wenn Unternehmen allein die Initiative ergreifen. Um das Land ausreichend widerstandsfähig zu machen, sollten wir grundsätzlich die Möglichkeit einer national organisierten Cyber Defence andenken, wie es die USA, England oder Australien bereits vormachen und diese zum Beispiel bei der Bundeswehr verankern. Denn IT-Sicherheit ist heute ein wesentlicher Teil der Landesverteidigung. Das müssen wir uns bewusst machen.