Ein defektes Netzwerkkabel vor einem Banner, auf dem das Wort Cyber Attack und ein binärer Code zu sehen sind.  | REUTERS

Cybersicherheit Kritische Infrastruktur in Gefahr?

Stand: 09.01.2023 14:05 Uhr

Die Zahl von Cyberattacken nimmt weltweit stark zu. Besonders im Fokus steht die sogenannte Kritische Infrastruktur wie etwa Stromnetze. Wie gut kann sie vor Angriffen aus dem Netz geschützt werden?

Von Leander Beil, BR

Kritische Infrastrukturen (KRITIS) stellen Strom und Wasser zur Verfügung, sichern den Verkehr und die medizinische Versorgung. Sie umfassen all die Einrichtungen und Systeme, die ein Gemeinwesen braucht, um zu funktionieren. Fallen sie aus, kann das zu Problemen bei der Versorgung und der öffentlichen Sicherheit führen.

Digitale Bedrohungslage verschärft sich

Weltweit sind Kritische Infrastrukturen immer stärker bedroht, und zwar besonders durch Cyberangriffe. Für das Jahr 2022 beläuft sich der durch sie verursachte Schaden in deutschen Unternehmen geschätzt auf mehr als 200 Milliarden Euro. Martin Voss, Professor für Krisen- und Katastrophenforschung an der Freien Universität Berlin, sieht die Lage kritisch: "Wir haben uns die Schwachstellen in der digitalen Infrastruktur so gezimmert, dass Cyberangriffe weitgehend unterschätzt werden. Was schon alles an Daten abgeflossen ist, kann in der Regel niemand sagen."

Ein Problem: Die Bedrohungsszenarien ändern sich ständig. Bei sogenannten DDoS-Angriffen werden Server mit so vielen Anfragen überschüttet, dass sie zusammenbrechen. Eine wesentlich aufwändigere Methode ist ein APT, ein "advanced persistent threat". Dahinter können Hackerkollektive stecken, die gezielt in IT-Netzwerke eindringen und diese langfristig ausspionieren. Die wohl größte Bedrohung geht jedoch von Ransomware aus: Über das Aufrufen eines korrumpierten Links in einer E-Mail dringt Malware in das System ein. Diese verschlüsselt dann zum Beispiel alle Daten und gibt sie erst nach Zahlung eines Lösegelds wieder frei. Größerer Schaden lässt sich dann meistens nur noch abwehren, wenn man den Forderungen der Erpresser nachkommt.

Verordnungschaos soll beseitigt werden

Seit Mai 2021 ist das IT-Sicherheitsgesetz 2.0 in Kraft. Es erweitert die Cybersicherheitsanforderungen an die KRITIS deutlich. So sind Vorkehrungen, die Bedrohungen automatisiert mittels Mustern identifizieren und bekämpfen, vom 1. Mai 2023 an Pflicht. Darüber hinaus müssen Betriebe der KRITIS bei gravierenden Störungen dem BSI, dem Bundesamt für Sicherheit in der Informationstechnik, Informationen zur Fehlerbeseitigung bereitstellen. Die Meldepflichten und Befugnisse des BSI wurden also ausgedehnt.

Doch diese Regelungen betreffen nicht alle Bereiche der Kritischen Infrastrukturen. Laut bundesdeutscher Definition werden unter KRITIS ganze zehn Sektoren zusammengefasst. Das BSI hingegen behält sich vor, die KRITIS in nur acht Sektoren zu gliedern. Staat und Verwaltung sowie Medien und Kultur sind nicht miteingeschlossen. Ein Definitionswirrwarr, das für die Einhaltung einheitlicher Normen nicht förderlich ist und mithilfe des neuen Dachgesetzes zur Kritischen Infrastruktur beseitigt werden soll.

Schwellenwerte in der Kritik

Das BSI legt in seiner KRITIS-Verordnung auch Schwellenwerte fest, die bestimmen, ab wann ein Unternehmen überhaupt zu den Kritischen Infrastrukturen gezählt wird. Manuel Atug, Experte für IT-Sicherheit, sagt dazu in der neuen Doku-Reihe ARD Wissen "Deutschland im Ernstfall": "In der BSI-KRITIS-Verordnung wird genau definiert, nach welchem Schwellenwert, nach welchem Maßstab jemand Kritische Infrastruktur ist. Versorge ich beispielsweise 500.000 Menschen mit Frischwasser, bin ich eine Kritische Infrastruktur aus dem Sektor Wasser."

Atug sind diese Schwellenwerte zu pauschal, denn: Sind nur etwas weniger als 500.000 Menschen von der Wasserversorgung betroffen, muss sich das Unternehmen nicht an die Vorgaben halten.

Forschung gegen Cyberangriffe: ein Frühwarnsystem für alle

Wie sich in Zukunft besser auf Cyberangriffe reagieren lässt, ist auch ein Forschungsthema, zum Beispiel an der TU Darmstadt. Dort wurde zuletzt ein Frühwarnsystem entwickelt, genannt CYWARN. Ein Projektpartner ist das Bundesland Hessen. CYWARN erstellt ein Lagebild der Cyberbedrohungen, das alle öffentlich verfügbaren Informationen sammelt. Mithilfe dieses Schwachstellenberichts erhalten dann IT-Notfallteams von staatlichen Behörden alle relevanten Daten zur Sicherheitslage. Nach einer Testphase soll die sogenannte hessenWARN-App die Informationen künftig der Bevölkerung zur Verfügung stellen.

Die digitalen Bedrohungen dürften in nächster Zeit also wohl kaum abnehmen. Aber sie sollten die Kritischen Infrastrukturen und die Bürger zumindest nicht unvorbereitet treffen.

Über dieses Thema berichtet ARD Wissen am 09. Januar 2023 um 22:50 Uhr im Ersten.