Warum wir unsere kritischen Infrastrukturen schützen müssen

Angriffe nehmen massiv zu – Die Folgen sind fatal

Krankenhäuser sind Angriffsziele von Hackern

© Manuel Schönfeld / stock.adobe.com

Die Cyberangriffe auf KRITIS-Einrichtungen stehen im Fokus der medialen Öffentlichkeit. Doch der Staat geht von einem sogenannten „All-Gefahren-Ansatz“ aus. Dazu gehören beispielsweise Naturkatastrophen wie Hochwasser oder auch terroristische Anschläge. Angesichts des Klimawandels und der zunehmenden weltpolitischen Spannungen macht dieser allgemeine Ansatz Sinn.

KRITIS-Einrichtungen werden dazu verpflichtet, Notfallszenarien durchzuspielen und geeignete Abwehrmaßnahmen vorzubereiten. Brandschutz und der Einbruchschutz sind hier typische Aktionsfelder. Die Bedeutung von Abwehrmaßnahmen gegen Cyberangriffe ist enorm gestiegen, denn die zunehmende Digitalisierung der Arbeitswelt führt zu Abhängigkeiten von Einrichtungen der kritischen Infrastruktur untereinander. Das erhöht das Ausfallrisiko. So ist beispielsweise ein Wasserversorger auch immer auf den Energieversorger angewiesen – denn er benötigt Strom, um das Wasser verteilen zu können. Wenn künftig intelligente Stromnetze, sogenannte Smart-Grids, verstärkt zum Einsatz kommen, wird die Stromversorgung noch stärker von einer funktionierenden IT-Infrastruktur abhängen. Auch für Krankenhäuser kann ein Cyberangriff schwere Auswirkungen haben: Wenn hier die gesamte Informationstechnologie ausfällt, kann der weitere Betrieb unter Umständen verhindert werden. Operationen können nicht durchgeführt werden, da wichtige Geräte über das Netzwerk betrieben werden. Personal- und Operationsplanungen stehen nicht mehr zur Verfügung. Patienten müssen in andere Kliniken verlegt werden. Rettungswagen können die betroffene Klinik nicht anfahren. Die Folgen können für den Einzelnen lebensbedrohlich sein.

Domino-Effekt befürchtet

Ein entwickeltes Land wie Deutschland ist in vielen Bereichen angreifbar. Kritische Infrastrukturen (KRITIS) finden sich in den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Öffentliche Verwaltung, Gesundheit, Ernährung, Trinkwasser, Abwasser, Abfallentsorgung, IT, Telekommunikation und Weltraum. Gute Beispiele dafür sind neben Krankenhäusern auch Flughäfen und Bahntrassen, Wasser- und Kraftwerke und Mobilfunknetze. Wenn sie nicht mehr funktionieren, bricht die laufende Versorgung der Bevölkerung in sich zusammen. Die Bürgerinnen und Bürger müssten sich in vielen Aspekten für einen unbestimmten Zeitraum ohne Smartphone, Strom und Wasser und ohne die Versorgung über Supermärkte zurechtfinden. Das würde das Funktionieren unserer Gesellschaft radikal in Frage stellen und die Mehrheit der Bevölkerung massiv überfordern. Nicht nur Demonstrationen, sondern auch Plünderungen und Selbstjustiz wären zu befürchten. Noch gab es in Deutschland keinen koordinierten großen Angriff auf die Kritischen Infrastrukturen, doch das ist möglicherweise gar nicht nötig, um einen großen Schaden auszulösen. Ein großflächiger Ausfall der Stromversorgung kann schnell zu Dominoeffekten führen und weitere überlebenswichtige Bereiche außer Betrieb setzen.

Erst seltsame Zeichen, dann verschwinden die Daten

Meist betreffen die Angriffe die internen Server und Datenbanken aber auch das Mobilfunknetz und den Austausch mobiler Daten via Internet. Bei den Angriffen wird arbeitsteilig vorgegangen. Es gibt Hacker, die die Sicherungssysteme von Institutionen und Betrieben überwinden, ohne einen konkreten Auftrag dafür zu haben. Diese sogenannten „Initial Access Broker“ handeln dann mit dem Zugang zu Angriffszielen. Die eigentlichen Angriffe werden schließlich von anderen Hackergruppen durchgeführt. Durch den Einsatz von KI-Instrumenten ist die Hacker-Industrie heute in der Lage, viel effizientere und häufigere Angriffe als in den Vorjahren durchzuführen. KI wird auch genutzt, um das Vertrauen der Opfer zu gewinnen. Dabei werden Identitäten, etwa eines Geschäftsführers, immer realistischer vorgetäuscht, um Mitarbeiter zu verleiten, einer fremden Person Zugriff auf das IT-System zu gewähren. Das wird meist dazu genutzt, Schadsoftware auf den Servern des Unternehmens zu platzieren. Infolge eines Hacker-Angriffs auf einen IT-Dienstleister im Oktober 2023 kam es zu Beeinträchtigungen bei 72 Kommunen, erläutert das Bundeslagebild Cybercrime 2023. So fiel unter anderem die Telefon- und E-Mail-Kommunikation aus, die Koordination von Rettungskräften wurde erschwert und es kam zu Verzögerungen bei den Fahrerlaubnisbehörden. Die Folgen eines Angriffs können die Beschäftigten mitunter live am Bildschirm mitverfolgen: „Wir fühlten uns in guten Händen, alles war wunderbar. Dachten wir. Und dann tauchten plötzlich komische Zeichen auf dem Bildschirm auf. Und danach verschwanden nach und nach unsere Daten“, beschreibt der Geschäftsführer eines ambulanten Pflegedienstes in Berlin gegenüber der ARD den Angriff auf sein Unternehmen: „Offensichtlich sind wir schon Tage oder Wochen vorher angegriffen worden. Mit einem sogenannten stillen Trojaner, der sich dann verbreitet hat und dann nach und nach die einzelnen Bereiche lahmgelegt hat.“

Im Bundesinnenministerium werden neue gesetzliche Schutzvorschriften erarbeitet

© nmann77 / stock.adobe.com

Zwei neue Gesetze

Um die Versorgung der Bevölkerung mit Strom, Trinkwasser und anderen essenziellen Gütern jederzeit sicherzustellen, arbeitet die Bundesregierung derzeit an strengeren gesetzlichen Schutzvorschriften für Einrichtungen der kritischen Infrastruktur. Das KRITIS-Dachgesetz wird die Resilienz und physische Sicherheit Kritischer Infrastrukturen verbessern. Es setzt die EU-Direktive „EU RCE“ in Deutschland durch zusätzliche Pflichten für Betreiber kritischer Anlagen um. Dabei geht es zum Beispiel um Alarmketten, um den Schutz von Anlagen gegen Starkregen oder Waldbrände, aber auch um die Anschaffung von Notstromaggregaten. Die Umsetzung der EU-Richtlinie NIS 2 in nationales Recht soll zudem dafür sorgen, dass sehr viel mehr Unternehmen als heute vor digitalen Gefahren geschützt werden. Um die Vorgaben der EU-Kommission zu erfüllen, sollen beide Gesetze im Oktober 2024 in Kraft treten. WL (12.07.2024)