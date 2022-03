Russlands Krieg in der Ukraine verändert die Sicherheitslage fundamental – und wir verschlafen das gerade. Denn es genügt nicht, auf diesen Angriffskrieg mit höheren Militärausgaben zu antworten. Es ist allerhöchste Zeit, dass wir unsere IT-Sicherheit deutlich stärken.

Die Gefahr, dass Putin gezielte Cyber-Strikes gegen Deutschland anordnet, ist sehr real. Denn letztlich ist das eine der wenigen Optionen, wie er auf unsere Sanktionen und Waffenlieferungen wirkungsvoll reagieren kann. US-Präsident Biden warnt bereits vor solchen Cyberangriffen durch Russland. Und auch der deutsche Bundeskanzler Olaf Scholz appelliert "an die Wirtschaft und insbesondere an alle KRITIS Unternehmen, sich ihrer Abwehrfähigkeit zu versichern und die Warnhinweise der zuständigen Behörden ernst zu nehmen und umzusetzen."

Ein Kommentar von Jürgen Schmidt Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Doch mich beschleicht das Gefühl, dass diese Appelle nicht ankommen. Ich sehe keine Aufbruchstimmung à la: "Jetzt müssen wir endlich die Sicherheit unserer IT auf Vordermann bringen" – im Gegenteil. Wir versenken noch mehr Milliarden in dem Fass ohne Boden namens Bundeswehr und ansonsten wurschteln eigentlich alle weiter, wie bisher. Und das ist fatal.

Zu viel Horror, zu wenig Betroffenheit

Ein Grundproblem der Warnungen "insbesondere an alle KRITIS Unternehmen" ist, dass sie die falschen Assoziationen hervorrufen. Die Menschen denken dabei an explodierende Atomkraftwerke und schieben diesen Gedanken angesichts des damit verbundenen Schreckens auch gleich wieder weg, in der Hoffnung, dass es so weit schon nicht kommen wird. Außerdem ist die IT-Sicherheit von Atomkraftwerken ja auch nicht ihre Aufgabe.

Doch die drohende Gefahr und deren Abwehr betrifft uns alle, und zwar sehr konkret. Das sieht man schon, wenn man sich die BSI-Definition von KRITIS ansieht, die etwa "Medien und Kultur" mit einschließt. Demnach ist fast alles irgendwie kritisch – besonders dann, wenn man die jeweiligen Zulieferer noch miteinbezieht. Und das ist angesichts unserer allgegenwärtigen Abhängigkeit von IT auch berechtigt.

Realistische Szenarios

Russische Cyber-Strikes gegen KRITIS werden zum jetzigen Zeitpunkt nicht auf echte Katastrophen abzielen. Denn an einem Krieg mit Deutschland und der NATO ist Putin zumindest aktuell nicht interessiert. Der würde ihm wenig helfen, die Ukraine unter seine Knute zu bekommen. Sein unmittelbares Ziel sind die Rücknahme der Sanktionen und die Einstellung der Waffenlieferungen.

Dabei spielt ihm am ehesten Verunsicherung und Panik in der Bevölkerung in die Karten. Um die zu erzeugen, genügen schon ein paar spektakuläre, aber in ihren Auswirkungen begrenzte IT-Vorfälle. Da muss dann beispielsweise DHL (Transport und Verkehr) für ein paar Tage alle Lieferungen einstellen, sabotierte Krankenhäuser (Gesundheit) stellen auf Notbetrieb um, bei einem Mobilfunkprovider (Telekommunikation) fällt das Handynetz aus und so weiter.

Und auf dem Höhepunkt der Kampagne erscheint Putins Drohung einer Cyber-Apokalypse als Fake-News auf gehackten Startseiten führender Online-Portale (Medien). Parallel dazu befeuert Putins Troll-Armee die Panik durch völlig überzeichnete Darstellungen der Vorfälle und fordert eine Rücknahme der Sanktionen und Einstellung der Waffenlieferungen an die Ukraine.

Was zu tun wäre

Das sind natürlich nur Beispiele. Letztlich sind wir alle potenzielle Ziele solcher Cyber-Strikes. Und als Antwort hilft es herzlich wenig, dass die Bundeswehr jetzt 100 Milliarden Euro zusätzlich bekommt. Als Antwort auf diese ganz konkrete Bedrohung müssen wir alle unsere IT-Sicherheit verbessern. Und mit "wir alle" meine ich wirklich alle. Also Staat, Wirtschaft und auch Endanwender.

Was vielleicht noch gestern mit "von mir will doch keiner was", "wird schon gut gehen" und "wenn nicht, zahlt die Versicherung" kleingeredet und auf "irgendwann mal" verschoben wurde, gehört jetzt ganz oben auf die Liste der Dinge, die man anpackt.

Ich rede da übrigens nicht von KI-gesteuerter, Quantencomputer-sicherer Blockchain-Technik oder hochgerüsteten Cyberkriegern, die "zurück hacken". Gegen Angriffe auf die IT hilft nur eine bessere Verteidigung und mehr Resilienz. Und die erfordert als allererstes solide Basis-Sicherheit quer durch alle Bereiche. Also Dinge wie Zweifaktor-Authentifizierung, Awareness und sichere Backups.

Dass wir noch weit von guter Basis-Security entfernt sind, zeigt das organisierte Verbrechen, das mit recht simplen Ransomware-Angriffen Milliardenschäden anrichtet. Die überwiegende Mehrzahl dieser Cybercrime-Angriffe nutzt ganz triviale Versäumnisse bei der IT-Sicherheit. Und genau diese Lücken würden sich auch Putins Hacker als allererstes zunutze machen. Dabei ließen sich viele dieser Sicherheitsprobleme vergleichsweise leicht abstellen, wenn man IT-Sicherheit höher priorisieren würde.

Der Security-Ruck

Was wir jetzt also brauchen, ist ein Ruck, hin zu mehr IT-Sicherheit, der quer durch die ganze Gesellschaft geht! Deshalb appelliere ich an:

Politiker: IT-Sicherheit schafft keine neuen Umsätze und spart keine Ausgaben ein – im Gegenteil. Wir brauchen deshalb dringend "Anreize" zur Verbesserung der IT-Sicherheit auf allen Ebenen.

IT- und Sicherheits-Verantwortliche in Unternehmen und Behörden: Ihr wisst in aller Regel, woran es fehlt. Erklärt euren Vorgesetzten, dass dieser Krieg die Prioritäten ändert. IT-Sicherheit ist nicht mehr "nice to have", sondern tatsächlich überlebenswichtig – ihr seid kritische Infrastruktur. Zeigt ihnen, welche Maßnahmen jetzt aus eurer Sicht kurz- und mittelfristig anzugehen sind.

Anwender: Achtet auf Sicherheit –, auch wenn es manchmal etwas unbequemer ist. Einen guten Einstieg geben die Security-Checklisten der c't.

