Der Krieg Russlands gegen die Ukraine und den Westen findet auch im Internet statt, heißt es. Was das für Unternehmen in Südbaden bedeutet – und was nicht.
VON KATHRIN ERMERT
„Es hat sich nichts verändert“, sagt Holger Wiedel zur Gefahr für Cyberangriffe. Das heißt: Sie war schon vor dem Ausbruch des Kriegs in der Ukraine immens hoch, und das ist sie auch weiterhin. Wiedel hat vor 17 Jahren seine Firma HWI-IT in Malterdingen gegründet. Sie ist auf IT-Infrastrukturen in der Industrie spezialisiert, unterstützt Unternehmen also dabei, ihre Fertigung oder andere Prozesse zu digitalisieren.
Wenn Maschinen oder Anlagen untereinander und mit ihren Nutzern kommunizieren, geht das oft übers Internet. Industrie 4.0 macht die Produktion verwundbar, deshalb begleitet das Thema Sicherheit Wiedels Arbeit von Anfang an. In den vergangenen zwei Jahren hat die Coronapandemie große Schritte in der Digitalisierung und Vernetzung angestoßen, häufig allerdings ohne die Sicherheit einzubeziehen.
„Das ist wie bei der Feuerwehr. Die muss auch regelmäßig üben, um im Notfall richtig handeln zu können.“
Holger Wiedel, HWI IT, Malterdingen
Welche Folgen das haben kann, zeigte gleich zu Kriegsbeginn das Beispiel des Satellitendienstes Ka-Sat, den wahrscheinlich russische Angreifer lahmlegten. Auch Windräder der Freiburger Ökostromgruppe waren davon betroffen, weil sie diesen Satelliten nutzten. Sie laufen zwar weiterhin, können aber Störungen nicht mehr automatisch der Technikzentrale melden.
Bis die betroffenen Modems ausgetauscht sind, müssen das Mitarbeiter erledigen. Experten gehen davon aus, dass die Störung der Windanlagen eine Art Kollateralschaden war. Denn über Ka-Sat kommunizierte wohl auch das ukrainische Militär, dem der Angriff offenbar galt.
Wir hätten es seit 2007 wissen müssen
Es hat sich nichts verändert: Das gilt auch für die russischen Cyberattacken auf die Ukraine. Im Netz habe der Krieg schon vor Jahren begonnen, sagte Stefanie Frey bei einer Onlinegesprächsrunde von Sicherheitsexperten zwei Wochen nach Beginn der russischen Invasion. Geändert habe sich nur die öffentliche Aufmerksamkeit.
Seit die Bomben fallen, hören ihr mehr Menschen zu. Frey leitet das Unternehmen Deutor Security Solutions, das auf Cyberberatung und -krisenmanagement spezialisiert ist. Sie gilt als versierte Kennerin der Cyberszene. Vor ihrer Selbstständigkeit hat sie sich um die Cybersicherheit der Schweiz gekümmert. Heute beraten sie und ihr Kompagnon Michael Bartsch Staaten, Behörden und Unternehmen.
Sie helfen im Angriffsfall mit einem Netzwerk aus Technikern, Krisenmanagern und Strafverfolgern. Bei ihrer Einschätzung der aktuellen Situation denkt Frey weit zurück: „Wir hätten es seit 2007 wissen müssen.“ Damals sagte der russische Präsident in seiner Rede auf der Münchner Sicherheitskonferenz der westlichen Hegemonie den Kampf an.
„Ich wunder mich immer, wie sich ver-antwortungsvolle Unternehmer nicht mit dem Thema befassen können.“
Reinfried Zwerenz, Deutor-Vertriebskoordinator Baden-Württemberg
Die russischen Attacken seither müsse man in diesem Kontext sehen. 2007 beispielsweise gab es in Estland eine massive Blockade von Servern, 2008 in Georgien. Und seit der Annexion der Krim sowie dem Beginn der Kämpfe in der Ostukraine 2014 zielen russische Hacker verstärkt auf die Ukraine.
2015 griffen sie das Stromnetz an und manipulierten bei der Parlamentswahl die Website der Wahlkommission. 2015 und 2016 legten zahlreiche Cyberangriffe den Gesundheitssektor lahm. 2017 wütete ein Computerwurm in Ministerien, Banken und Flughäfen der Ukraine und darüber hinaus. Einen Tag vor den ersten Bombenangriffen befiel eine Schadsoftware zahlreiche ukrainische Rechner.
Die kritische Infrastruktur in Deutschland stand ebenfalls schon im Visier, wie Angriffe auf deutsche Krankenhäuser zeigen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Lage angesichts des russischen Angriffskriegs gegen die Ukraine fortwährend beobachtet, erkennt jetzt „eine abstrakt erhöhte Bedrohungslage“ für Deutschland.
„Wir haben unsere Zielgruppen, darunter die Bundesverwaltung, Betreiber kritischer Infrastrukturen und weitere Organisationen und Unternehmen wiederholt sensibilisiert, gezielt informiert und zu einer erhöhten Wachsamkeit und Reaktionsbereitschaft aufgerufen“, teilt Pressesprecher Tim Griese mit.
Der Angriff ist ein Mittel zum Zweck
Auch Experten wie Frey und Wiedel gehen davon aus, dass diese Gefahr zunimmt – vor dem Hintergrund der Sanktionen insbesondere für das Finanzwesen. „Zum einen könnte Russland mit vermehrten Sabotageakten darauf reagieren, zum anderen brauchen die ja neue Einnahmenquellen“, sagt Wiedel. Einige seiner Kunden müssen sich wappnen, denn dazu zählen Energieversorger und Pharmahersteller.
HWI macht regelmäßig sogenannte Pen-Tests mit Firmen. Pen steht für Penetration, also Eindringen. Man testet, ob Externe sich Zugang zum Unternehmensnetzwerk verschaffen können. „Es gab noch kein einziges Unternehmen, bei dem das nicht gelungen ist“, sagt Wiedel. Es sei immer nur eine Frage des Aufwands.
Ähnlich wie bei einem Einbrecher: Der komme auch rein, wenn er will. „Wir reden uns teilweise den Mund fusselig, um die Kunden ausreichend zu sensibilisieren“, sagt Wiedel. Ähnliche Erfahrungen macht Reinfried Zwerenz. Er koordiniert den Vertrieb von Deutor, das seinen Sitz im nordrhein-westfälischen Siegburg hat, an mittelständische Unternehmen in dieser Region und merkt dabei, wie wenig viele sich um die Cybersicherheit kümmern.
Dabei sei die Frage nicht, wer gehackt wird, sondern wann. „Ich wunder mich immer, wie sich verantwortungsvolle Unternehmer nicht mit dem Thema befassen können oder wollen“, sagt Zwerenz und präsentiert eine „kleine Liste von Vorfällen“. Darauf stehen ein Hardware-Hersteller, eine Marketingagentur, ein Lieferdienst, eine Kulturstiftung, ein Dax-Konzern und ein Logistikunternehmen. Die Vergehen: Verschlüsselte Server, Datenabfluss, Erpressung. „Glauben Sie mir“, sagt Zwerenz, „diese Unternehmen hatten angeblich alle vorgesorgt.“
„ Cybersicherheit kann man nicht kaufen, man muss sich aktiv drum kümmern.“
Holger Wiedel, HWI IT, Malterdingen
„Cybersicherheit ist nicht nur IT-Sicherheit“, betont Stefanie Frey. Die Deutor-Chefin schaut sich die Lage nicht nur technisch, sondern auch strategisch an. Der Angriff sei immer nur ein Mittel zum Zweck, nie Selbstzweck. Daher stellt sie die Frage: Was könnte das Ziel sein – Sabotage, Spionage, Erpressung? Die Angriffe auf die Ukraine und kritische Infrastrukturen hierzulande fallen in die ersten beiden Kategorien, das Gros der Attacken auf Firmen in die dritte. Da geht es um Geld, das die Hacker wiederum für ihre virtuelle Kriegsführung brauchen.
Einfach mal anfangen
Mit der Sicherheit im Netz verhält es sich ähnlich wie mit dem Brand-schutz: Schutzmauern bauen und vorsorgen ist das eine, bei einer Attacke das Schlimmste verhindern das andere. „Das ist wie bei der Feuerwehr“, sagt HWI-Chef Wiedel. „Die muss auch regelmäßig üben, um im Notfall richtig handeln zu können.“ In Sachen Krisenmanagement könnten wir von der Ukraine lernen. Trotz wiederholter Attacken ist das Land immer noch online. Die Notfallsysteme funktionierten binnen kurzer Zeit.
Das hat laut Wiedel zwei Gründe: Die Ukrainer seien geübt in der Krisenreaktion und sie hätten ein wirklich gutes Back-up-Management. Das bedeute nicht nur, Daten regelmäßig zu sichern, sondern auch zu wissen, wie man sie im Notfall schnell nutzen kann. Es sei ein technisches und organisatorisches Thema, sagt Wiedel: „Cybersecurity ist eine Mannschaftssportart“. Es reiche nicht, dass man eine IT-Abteilung, einen Dienstleister oder eine Cyberversicherung habe (letzteres ist übrigens nur bei knapp einem Viertel der Firmen der Fall).
Die Prozesse müssten ineinandergreifen – „das muss ein richtiges Team sein, in das interne wie externe Mitarbeiter gehören“. Außerdem brauche es Eigenverantwortung: Es gebe kein Rund-um-sorglos-Paket. „Cybersicherheit kann man nicht kaufen, man muss sich aktiv drum küm-mern“, sagt Wiedel und plädiert dafür, die jetzige Situation als Chance zu nutzen: Einfach mal anfangen.
