Zero Trust: Bund will bei IT-Sicherheit niemandem mehr vertrauen

Das Innenministerium plädiert im Kampf gegen Schläfersoftware für einen Paradigmenwechsel. Laut Außenressort hat Russland die Hunde von der Kette gelassen.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 305 Beiträge
Angriff, Cybersicherheit
Von
  • Stefan Krempl

Der Bund will auf die aktuelle Cybersicherheitslage reagieren, die sich mit dem Angriffskrieg Russlands auf die Ukraine nach offizieller Darstellung "massiv geändert" hat. Insbesondere die mit der Hackerattacke auf den Bundestag bekannt gewordenen Netze des Bundes müsse der Staat so aufstellen, "dass wir schrittweise in Richtung Zero-Trust-Architektur gehen", erklärte Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium (BMI), am Dienstag auf der Jahreskonferenz des Verbands Teletrust in Berlin.

IT-Sicherheitsfirmen werben seit ein paar Jahren für den Umstieg auf das Modell Zero Trust ("Traue niemandem"). Jeder einzelne Zugriff soll daher eine Authentifizierung erfordern.

Das Innenministerium habe bei den bisherigen Cyberscharmützeln "mehr erwartet", etwa "mit schlafender Schadsoftware" in kritischen Infrastrukturen (Kritis). Dennoch will der Bund laut Könen künftig von vornherein verhindern, dass solche Angriffsmittel in seinen IT-Systemen installiert werden können. Eine entsprechende Attacke auf das Auswärtige Amt habe es schon gegeben.

Es gehe um einen "Paradigmenwechsel" vom Schutz der Peripherie "hin zu einzelnen Assets", führte der Diplom-Mathematiker aus. Die Frage der Umsetzung des neuen Prinzips sei eine der digitalen Souveränität. Es gelte, erst mal Transparenz zu erzeugen, "was verwendet wird". Bei einer kritischen IT-Infrastruktur sollten dann nur Produkte und Dienste "aus kontrollierter, europäischer oder deutscher Provenienz" eingesetzt werden.

Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium (BMI)

Vor allem an Cloud-Infrastrukturen werde der Staat gesonderte Ansprüche stellen, um auch die heimische Wirtschaft zu stärken, stellte Könen klar. Die deutsche Verwaltungscloud etwa werde "mit wesentlichen Sicherheitsanforderungen" hinterlegt. Dazu solle eine Open-Source-Struktur kommen, an der sich dann aber angesichts der damit einhergehenden prinzipiellen Offenheit auch US-Unternehmen beteiligen könnten.

Mit der geplanten Cybersicherheitsagenda will das Innenressort zudem die "operative Sicherheit" stärken, kündigte der Abteilungsleiter an. Die Auflagen aus dem IT-Sicherheitsgesetz beschränkten sich derzeit auf eine Meldepflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalte darüber Informationen über Computer Emergency Response Teams (CERTs) aus der Wirtschaft. Die Fachkräfte, "die den Betrieb aufrechterhalten", sprächen bislang aber nicht miteinander.

Das Cyberabwehrzentrum muss Könen zufolge daher "auch eine Rolle im Operativen einnehmen". Er stelle sich das so vor, dass das CERT Bund auf einer Seite des Flurs liege, auf anderer Seite das für Energie. Dazwischen noch viele andere solche Informationsdrehscheiben eingebunden. Darüber lasse sich dann gezielt mit Providern etwa darüber reden, dass in einem Angriffsfall nur noch eine Streckenabschaltung bleibe, um den Gegner auszuschalten. Auf EU-Ebene gebe es bei der Cybersicherheitsbehörde Enisa ähnliche Vorstellungen, um "näher an die Verantwortlichen" heranzukommen.

Ransomware, die hierzulande neben Unternehmen und öffentlichen Einrichtungen auch ganzen Landkreisen zusetzt, bezeichnete der Ministeriale als "weltweite Seuche", die auch global bekämpft werden müsse. Hier gelte es national, noch mal einen Aufschlag im IT-Sicherheitsrecht zu machen. Um das BSI als Zentralstelle gegenüber den Ländern und so als Dienstleister zu etablieren, "müssen wir die Verfassung ändern". Bei der Kritis-Absicherung gehe der Bund hier zudem jetzt mit rein über die Neuaufstellung des Zivilschutzes.

Nicht ganz eins waren sich Könen und Regine Grienberger, Beauftragte für Cybersicherheitspolitik des Auswärtigen Amts, in der Einschätzung der mit dem Ukraine-Krieg verknüpften Cybervorfälle. Während der BMI-Vertreter diesen trotz Wiper-Attacken etwa auf Viasat und den damit verknüpften Ausfällen auch bei Windradbetreibern in Deutschland vor allem einen "Lästigkeitsfaktor" attestierte, sprach die Diplomatin von einer "Zeitenwende auch für den Cyberraum". Den Angriff auf Viasat schreibe man dem russischen Militärgeheimdienst GRU zu. Könen gab dagegen zu bedenken: "Die technische Attribution fehlt noch immer."

Betitelt hatte Grienberger ihre Ausführungen zwar mit "Mythos Cyberwar". Trotzdem konstatierte sie mit Blick auf Russland: "Es ist ein Cyberkrieg", der parallel zu einem konventionellen Krieg stattfinde. Diese Form der Kriegsführung verlängere die Kampfhandlungen, vergrößere den Schaden und erschwere den Waffenstillstand, selbst wenn die von der Ukraine einberufene "IT-Armee" den Gegner auch mit Unterstützung durch westliche Partner auf gewissem Abstand halten könne.

Die unsauberen Online-Schlagabtausche hörten leider auch mit einem potenziellen Ende des klassischen Kriegs nicht auf, beklagte die Diplomatin: "Die Hunde sind jetzt von der Kette." Jenseits der mit Russland verknüpften Cybergang Conti gebe es viele kleinere Akteure, die insbesondere auf Erpressungstrojaner setzten. Auch westliche Hacktivisten und Angehörige der ukrainischen IT-Armee machten die Lage "völkerrechtlich extrem schwierig": sie würden durch ihre Beteiligung zu Kombattanten.

Wenn die selbst ernannten Online-Kämpfer "einen deutschen Pass haben, ziehen die uns mit rein", verdeutlichte Grienberger. Da lasse sich dann nicht mehr unterscheiden, ob es sich um eine private oder staatliche Aktion handle. Wenn Russland "auf uns zukommt und verlangt", die virtuellen Eindringlinge zu bestrafen, "sind wir in einer schwierigen Situation". Es müsste daher dringend geklärt werden, "wie kann man diese Leute wieder demobilisieren?"

Vertreter aus dem Publikum forderten, den "Closed Shop"-Ansatz bei der Allianz für Cyber-Sicherheit abzuschaffen. Zur Teilnahme sei schon eine Mitgliedschaft nötig. Zusätzlich müsse man eine Verschwiegenheitserklärung unterschreiben, um Lageberichte zu bekommen. Dies sei weit weg von der von Könen verlangten offenen Kommunikationsstruktur.

(mki)