/Gehacktes GPS, Fachkräftemangel, Social Engineering: Herausforderungen der Cyber Defence

Gehacktes GPS, Fachkräftemangel, Social Engineering: Herausforderungen der Cyber Defence

Gehacktes GPS, Fachkräftemangel, Social Engineering: Herausforderungen der Cyber Defence

Am 17. Juni 2017 kollidierte der Zerstörers “USS Fitzgerald” südwestlich von Yokosuka mit dem unter philippinischer Flagge fahrenden Containerschiff “ACX Crystal”. Es wird gemutmaßt, dass das der digitale Autopilot des Containerschiffs gehackt worden sein könnte.

(Bild: US Navy)

Was ein James-Bond-Film vor 20 Jahren fiktional vorführte, scheint heute durchaus machbar. Auf der Cyber Defence Conference in Bonn wurde deutlich, welche Sicherheitsherausforderungen im Cyberspace lauern.

Noch vor wenigen Jahren sei “Cyber” ein Begriff aus der Science-Fiction gewesen, sagte Rainer Schuwirth, Vorsitzender der Deutschen Gesellschaft für Wehrtechnik (DWT), zur Eröffnung der Cyber Defence Conference in Bonn. Inzwischen habe uns die Fiktion jedoch eingeholt. Einer Studie der Unternehmensberatung McKinsey zufolge seien allein in Europa Investitionen in Höhe von 130 Milliarden bis 150 Milliarden Euro erforderlich, um die Sicherheit der IT-Infrastruktur zu gewährleisten. Grund genug für die DWT, zum Gedankenaustausch über das Thema nach Bonn einzuladen.

Dort blieb Schuwirth nicht der einzige, der die Verbindung zur Science Fiction knüpfte. Christian Leitges (BAAINBw), der am Beispiel des Mehrzweck-Kampfschiffes (MKS) 180 die IT-Sicherheit auf See erörterte, verwies auf den James-Bond-Film “Der Morgen stirbt nie”, der im Jahr 1997 ein Szenario durchspielte, in dem das Navigationssystem eines Kriegsschiffes gehackt und dadurch eine bewaffnete Auseinandersetzung provoziert wurde. Damals sei das als abwegig abgetan worden, heute habe es bereits mehrere Schiffskollisionen gegeben, die auf ähnliche Ursachen zurückgehen könnten.

Cyberangriffe auf hoher See seien nicht zu unterschätzen, warnte Leitges. Eine Havarie zwischen einem großen Containerschiff und einem Kreuzfahrtschiff könne Schäden bis zu 4 Milliarden US-Dollar verursachen. Ein Kampfschiff sei im Grunde ein schwimmender Computer mit vielfältigen Ansatzpunkten für potenzielle Angreifer: Schadsoftware könne über das Radar ebenso ins System eindringen wie über die Versorgungskette oder – ganz wichtig – soziale Medien.

Letztere werden insbesondere in Verbindung mit Social Engineering zum Problem. Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), nannte als Beispiel die Technik des CEO Fraud, bei dem die Täter unter anderem über soziale Medien Informationen über ein Unternehmen sammeln, um dann gezielt Stress zu erzeugen und Firmenmitarbeiter mit gefälschten E-Mails zu übereilten Geldüberweisungen zu verleiten.

Ohnehin erschien die Digitalisierung, die Schabhüser zufolge noch am Anfang steht, in den meisten Vorträgen vor allem als soziale Herausforderung. Ludwig Leinhos, Inspekteur des Cyber- und Informationsraums der Bundeswehr betonte, dass tradierte Verfahren einer rasanten technischen Entwicklung mit neuen, häufig nicht-staatlichen Akteuren gegenüberstünden. Etablierte Prozesse und Strukturen würden überlagert durch vernetztes Denken, sodass sich für das Militär die Frage stelle, wie viele Führungsebenen eigentlich noch benötigt würden. Auch bei der Personalgewinnung müsse der gesellschaftlichen Entwicklung Rechnung getragen werden. Die Erwartungen junger Leute passten nicht zu den Hierarchien des Militärs.

Aber sind kompetente Mitarbeiter zu gewinnen, wenn der Arbeitsmarkt wie “leergefegt” erscheint und sich Firmen mehr und mehr um das Personal bewerben müssen statt umgekehrt, wie Onno Kreuzinger von der Beratungsfirma CGI formulierte? Für die Motivation seien das Arbeitsumfeld, eine offene Firmenkultur und eine langfristige Perspektive wichtig. “Wir lassen es uns etwas kosten, dass die Leute sich bei uns wohl fühlen, gerade am Anfang”, sagte Kreuzinger. Eine weitere Schwierigkeit sah er beim Thema Cyber Security darin, dass Datenschützer bislang eher den Ruf der “Bremser” hatten.

Umdenken in vielerlei Hinsicht ist offensichtlich erforderlich, um sich vor Cyberangriffen zu schützen. “Investieren Sie in Ihre Mitarbeiter”, empfahl Volker Kozok vom Bundesverteidigungsministerium. Ebenso wichtig sei die Entwicklung einer Fehlerkultur. Denn bislang ist es bei der Bundeswehr nicht unbedingt karrierefördernd, auf Probleme hinzuweisen.

Beim Personal scheint es Österreich etwas leichter zu haben, nachdem dort nach einer Volksbefragung 2013 die Wehrpflicht beibehalten wurde. Unter den 30.000 Wehrpflichtigen pro Jahr kämen 3500 von relevanten Schulen, sagte Josef Schröfl (Bundesministerium für Landesverteidigung und Sport). Davon wiederum würden 700 als Cyberrekruten eingestuft. Das sei Österreichs Basis für professionelle Cybersoldaten. Daneben hat sich die 2012 erstmals ausgetragene Cyber Security Challenge als ausgesprochen erfolgreich erwiesen und ist mittlerweile zu einem europäischen Wettbewerb mit Teilnehmern aus zehn Nationen herangewachsen.

Wie schwerwiegend die Bedrohung sein kann und wie geplant die Angreifer vorgehen, verdeutlichte Michael Ebner vom Gas- und Stromanbieter EnBW am Beispiel von Cyberattacken auf die Stromversorgung in der Ukraine in den Jahren 2015 und 2016. Dabei war nicht nur die Schadsoftware BlackEnergy per E-Mail an Mitarbeiter des Unternehmens verschickt worden, die es den Angreifern (als Täter wird die Sandworm-Gruppe verdächtigt) ermöglichte, über die Fernwartungssoftware in Umspannwerken die Schalter umzulegen. Zugleich wurden die Überwachungssysteme eingefroren, Callcenter blockiert, Daten gelöscht und Firmware überschrieben, sodass die Netzbetreiber die Störung zunächst gar nicht bemerkten und sich dann nur schwer einen Überblick über die Lage verschaffen konnten. Das sei “militärisches Vorgehen par excellence” gewesen, schilderte Ebner. Möglichen Schutz davor sieht er weniger in der Technik als in Organisationen und Prozessen. Es müsse im Voraus klar sein, was im Fall einer Krise zu tun sei.

Am Ende ist jeder Einzelne gefragt. Thorsten Kodalle, der an der Führungsakademie der Bundeswehr Serious Games einsetzt, um die Vielschichtigkeit des Problems zu vermitteln, verglich die Bedrohung mit biologischen Viren. Wenn 85 Prozent der Bevölkerung gegen einen Erreger geimpft seien, könne sich keine Epidemie entwickeln. “Cyberhygiene muss so selbstverständlich werden wie Zähneputzen.”
(Hans-Arthur Marsiske) /


(anw)