GE DIGITAL CAMERA
GE DIGITAL CAMERA

„Gegenwärtig steigen die gezielten Angriffe auf Unterneh- men der Energiebranche stark an“, berichtete Matthias Hofherr, Chief Operating Officer des IT-Unternehmens atsec* in München bei seinem Vortrag anlässlich des 14. Deutschen IT-Sicherheitskongresses des Bundesamtes für Sicherheit (BSI) in der Bonn- Bad Godesberger Stadthalle.

Der große Saal war fast bis auf den letzten Platz gefüllt. Die Zuhörer aus Wirtschaft und Verwaltung lauschten gebannt. Es war kein Mucks zu vernehmen. Schließlich wussten alle, dass das, was hier von Hofherr geschildert wurde, gerade zeitnah im Deutschen Bundestag passiert war.
Hinter der jüngsten Cyberattacke auf das Datennetz des Deutschen Bundestags stecke womöglich ein ausländischer Geheimdienst, hatte der Spiegel gerade berichtet. Und weiter hieß es da, dass die mit der Aufklärung des Falls befassten Sicherheitsbehörden diesem Verdacht nachgingen. Nach ersten Analysen der Spionage-Software, die inzwischen auf mehreren Bundestagscomputern gefunden worden seien, sei dieser Verdacht bestärkt worden. Während des laufenden BSI-Kongresses wurde auch die Pressemitteilung des BSI bekannt , nach der die Spezialisten des Bonner Amtes die IT-Exper- ten des Bundestages bei ihren Bemühungen den Schaden zu erkennen und zu beheben, unterstützten.

BSI-Vize Andreas Könen: Netze des Bundes besonders gut gesichert
BSI-Vize Andreas Könen: Netze des Bundes besonders gut gesichert

Während Referent Hofherr darüber berichtete, dass zum Schutz von kritischer Infrastruktur zurzeit der IT-Sicherheits- katalog der Bundes- netzagentur sowie das IT-Sicherheitsgesetz erarbeitet werden, stellten sich den Zuhö- rern im Stillen die Fragen die Standards des Sicherheitskataloges und die Anforderungen des Sicherheitsgesetzes werden doch sicher längst vom Bundestag und in den Infrastrukturen der Regierung realisiert worden sein. Und dennoch passiert so etwas?! Und, hatte nicht gerade der Vizeprä- sident des BSI, Andreas Könen nach der Cyber-Attacke auf den französischen Fernsehsender TV 5 Monde am 10. April erst erklärt:
“Angriffe auf kritische Infrastrukturen ist genau das, was wir seit langem befürchten.” Es sei “tatsächlich Glück”, dass bislang in der deutschen Infrastruktur nicht mehr passiert sei. Gerade in den Netzen des Bundes sei allerdings besonders gut Vorsorge getroffen worden. Das BSI sei bemüht, diese Sicherheit auch in den Netzen der Industrie voranzutreiben.

Nun sind die seit langem schwersten Angriffe auf Netze des Bundes gefahren worden.
Hofherr schilderte darüber hinaus in seinem Referat wie leicht es heute doch noch ist mittels Cyber-Attacken erhebliche Probleme zu bereiten. Stuxnet habe uns gezeigt, so Hofherr, dass motivierte Angreifer erfolgreich sein können, ebenso habe Dragonfly den Hinweis geliefert, das ein Angreifer nicht das Budget eines amerikanischen Geheimdienstes benötige , um Netzbetreiber erfolgreich anzugreifen.

GE DIGITAL CAMERA
GE DIGITAL CAMERA

Die gezielten Einschläge verdichteten sich, laut dem COO hier mittlerweile im Monatstakt. Unabhängig davon, ob diese Angriffe von Kriminellen oder mehr oder weniger befreundeten Geheim- diensten gefahren würden, stellten sie doch eine enorme Gefahr für kritische Infrastrukturen dar.
Hofherr ging dann tiefer auf die Realisierung von Information Security Management Systemen, ISMS, also Managementsystemen für Informationssicherheit ein, wonach Verfahren und Regeln innerhalb eines Unternehmens aufgestellt werden, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, darüber hinaus fortlaufend zu verbessern. Ein schier endloses Unterfangen, wenn man daran denkt, dass es in Deutschland über 900 Verteilnetzbetreiber gibt, die den Strom bis zum Endkunden transportieren. Alle diese Netze müssten einem ISMS –System entsprechen und vielleicht auch zertifiziert werden. 22.05.15 Tagungsband BSIHofherr warf dabei den Gedanken auf, dass sich Verteil-Netzbetrei- ber, die schon heute enger zusammenarbei- teten, vielleicht zu sogenannten Clu- stern zusammenschließen könnten, um ein gemeinsames ISMS aufzubauen und das dann als ein einziges zertifiziert werden könnte. Das bedeutete natür- lich auch, das eine zentrale Instanz das ISMS verwalte und betreibe. Die Folge: Jeder Teilnehmer müsse zwangsweise ein Stück seiner Autonomie abgeben. Aber nicht nur das, wurde anschlie- ßend aus dem Publikum kritisch vorgetragen, es bedeute natürlich auch, dass sich Wettbewerber am Strommarkt gegenseitig in die Karten schauen könnten.
*Ein COO leitet das operative Geschäft des Unternehmens. Das bedeutet, laut Wikipedia, dass er verantwortlich ist für die Qualität und die Wettbewerbsfähigkeit der Produkte beziehungsweise Dienstleistungen, die das Unternehmen am Markt anbietet.