cassini

Joint Cybersecurity – Pflicht statt Kür

NIS2 rückt die Lieferketten in den Fokus

Die digitalen Infrastrukturen der Ukraine sehen sich gezielten Cyberoperationen gegenüber, die das Ziel haben, diese zu beschädigen oder abzuschalten. Jeder Staat, der die Ukraine unterstützt, muss mit ähnlichen Aktionen oder Ausläufern von Angriffen rechnen. Doch nicht nur KRITIS-Betreiber, sondern auch mittlere und kleine Unternehmen mit einem hohen Sicherheitsrisikoprofil sind davon betroffen. Passend dazu konnte sich das europäische Parlament am 13. Mai 2022 auf die Grundpfeiler der NIS2-Richtlinie einigen – die Sicherheit der Lieferketten werden eine entscheidende Rolle einnehmen.

Microsoft veröffentlichte vor Kurzem einen Bericht über die russische Cyberkriegsführung in der Ukraine. Beschrieben wird darin eine Verstärkung der Angriffe am Vorabend der russischen Invasion. Dabei wurde die komplexe Schadsoftware „HermeticWiper“ eingesetzt, um hunderte Systeme in mehreren Einrichtungen der Ukraine zu zerstören. Die Attacken mit Wipern, deren Schwerpunkt die erste Woche des Krieges waren, haben das Ziel, die angegriffenen Computer unbrauchbar zu machen.

Aktuell sehen die G7-Staaten weiterhin die Notwendigkeit verstärkter Alarmbereitschaft. Die russische Aggression gegen die Ukraine hat die Abhängigkeit unserer vernetzten Gesellschaft von „digitaler Infrastruktur“ und den entsprechenden Vulnerabilitäten verdeutlicht. Die Auswirkungen treffen auch verstärkt Organisationen und Personen, die nicht direkt am Krieg beteiligt sind.

Zu Beginn des Kriegs waren tausende Windräder der deutschen Firma Enercon nicht mehr zu erreichen. Betroffen waren Windenergieanlagen in Europa mit einer Gesamtleistung von 11 Gigawatt. Fernüberwachung und Fernsteuerung fielen weitgehend aus. Die Anlagen produzierten glücklicherweise weiter Strom. Nach Erkenntnissen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Bundesamtes für Verfassungsschutz (BfV) wurde Enercon im Rahmen eines Spill-Over-Effekts gewisser Maßnahmen als Kollateralschaden getroffen, als Hacker einen US-Satellitenbetreiber angegriffen haben. Der Ausfall der Fernsteuerung der Windräder war dabei nur Teil eines deutlich größeren Schadens. Das nationale IT-Krisenreaktionszentrum, welches der Bewältigung von schweren Cyber-Sicherheitsvorfällen und IT-Krisen dient, wurde daraufhin durch das BSI aktiviert.

Sorge vor globaler Eskalation der Cyberattacken steigt

Bisher bleibt der große russische Cyberangriff direkt auf Ziele in Deutschland zwar aus, allerdings zeigt die Vergangenheit, zum Beispiel als die Hackergruppe Fancy Bear den Bundestag angriff und ein nicht unerhebliches Volumen von Daten erbeutete, dass hohe Aufmerksamkeit geboten ist. Als nicht unwahrscheinlich gilt es, dass die Akteure im Hintergrund eine langfristige Strategie verfolgen. Eine gestaffelte Angriffskampagne stellt dabei ein übliches Szenario dar. Die Sonderlageberichte des BSI gehen von einer erhöhten Bedrohungslage aus.

Angriffe von Hackern auf beispielsweise Unternehmen der deutschen Rüstungsindustrie sowie deren Lieferketten bleiben eine Gefahr. Ihre Möglichkeiten haben Angreifer in der Ukraine bereits 2015 bei einem Cyberangriff gezeigt und 30 Umspannwerke vom Netz getrennt, so dass über 200.000 Menschen mehrere Stunden lang keinen Strom hatten.

Fraglich bleibt, ob die Kritische Infrastruktur und weitere gefährdete Unternehmen in Deutschland gegen Cyberangriffe hinreichend gewappnet sind. Man denke in jüngerer Vergangenheit an die Berliner Wasserbetriebe (schwere Mängel unter anderem in den Firewalls), das Uniklinikum Düsseldorf (Ransomware) oder die Landkreisverwaltung von Anhalt-Bitterfeld (Lahmlegen des Verwaltungsnetzes), um nur einige zu nennen.

Zu oft sind es leider noch die Grundlagen der Informationssicherheit, die nicht berücksichtigt werden. Cybersicherheitsbehörden aus Kanada, Neuseeland, den Niederlanden, den USA und dem Vereinigten Königreich bestätigen dies in einer aktuellen gemeinsamen Sicherheitsmeldung zu Schwachstellen in Sicherheitskonzepten, die am häufigsten von Angreifern missbraucht werden.

Die Kombination aus diesen leicht auszunutzenden Schwachstellen mit der seit 2020 merklich ansteigenden Anzahl der Supply-Chain Angriffe, birgt das explosive Bedrohungspotenzial. Uns allen ist der Angriff über Kaseya Ltd. noch gut in Erinnerung.

NIS2-Direktive erweitert Betroffenheit, Pflichten und Aufsicht

Angesichts dieser Umstände kann man nur begrüßen, dass durch NIS2 mehr Cybersicherheit für Europa erreicht werden soll und durch die bevorstehende Anpassung des nationalen Rechts die Dringlichkeit des Handelns unterstrichen wird. Bei der adäquaten Umsetzung der Vorgaben werden auf Unternehmen, Einrichtungen und auch öffentliche Verwaltungen insbesondere folgende Themen zukommen:

  • Eine deutliche Erweiterung des Anwendungsbereichs und damit ein deutlich größerer Kreis betroffener Unternehmen.
  • Eine Verschärfung der Anforderungen, indem ein Risikomanagementkonzept vorgeschrieben wird, das eine Mindestmaß grundlegender Sicherheitsartefakte enthält, die auch anzuwenden sein werden.
  • Zur Sicherheit von Lieferketten und Lieferbeziehungen werden die Unternehmen verpflichtet, sich mit Cybersicherheitsrisiken in ebendiesen zu befassen.
  • Veränderte Bestimmungen über das Verfahren zur Meldung von Vorfällen, den Inhalt der Berichte und die einzuhaltenden Fristen.
  • Geänderte Regelungen zur Sanktion mit starker Orientierung an der DSGVO.

Fazit

Zusammenfassend kann festgestellt werden, dass mit NIS2 wesentliche Grundlagen der Informationssicherheit weiter normiert werden, um nicht nur weitere Vorgaben zu etablieren, sondern praktische Hilfestellungen zur Risikominimierung zu geben.

Weiterhin bedarf es des Beitrags aller Beteiligten zur Sicherstellung der Cybersicherheit und dem Schutz der digitalen Infrastrukturen. In Punkto Sicherheit gilt eben noch das alte Sprichwort: „Eine Kette ist nur so stark wie ihr schwächstes Glied“. Die aktuellen Ereignisse verdeutlichen, dass die Cybersicherheit alle betrifft, direkt oder indirekt. Sicherheit können wir nur gemeinsam dauerhaft sicherstellen.