Den Hinweis beim Aufrufen der eigenen Bank-App am Smartphone kennt inzwischen vermutlich jeder: „Achtung! Es sind Phishing-Mails im Umlauf“. Doch Cyberkriminalität hat es längst nicht nur auf einzelne Nutzer/innen und ihre Bankkonten abgesehen. Selbst ganze Staaten können Opfer von Cyberangriffen werden. „Die Methode von Phishing-Attacken wurde auch bei Angriffen auf das Stromnetz in der Ukraine verwendet“, erinnert Carina Kloibhofer vom AIT Austrian Institute of Technology an den weltweit ersten Blackout durch einen Hackerangriff im Jahr 2015.
Die Expertin war am 16. September bei einer öffentlichen Debatte an der Österreichischen Akademie der Wissenschaften (ÖAW) zu Gast. Sie diskutierte mit Dietmar Mandl (Austrian Power Grid), August Reinisch (Universität Wien und ÖAW) und Walter Unger (Bundesministerium für Landesverteidigung) über „Blackout durch Cyberwar – Fiktion oder Realität?“.
Frau Kloibhofer, was ist Cyberwar eigentlich?
Carina Kloibhofer: Je nach Definition kann der Begriff sehr viel umfassen, grundsätzlich geht es aber meist um gezielte Cyberangriffe auf z.B. Firmen und Institutionen.
Macht es einen Unterschied, wenn es sich bei den Angriffszielen um Staaten handelt?
Kloibhofer: Man kann einen Staat wie jede andere Organisation sehen. Es gibt dieselben Bedrohungen. Allerdings sind die potentiellen Auswirkungen auf die Gesellschaft um ein Vielfaches höher, als wenn es um Angriffe auf einzelne Unternehmen geht. Daher wird die Situation heute genau beobachtet, durch zentrale Stellen wie etwa dem Cert.at, die Angriffe registrieren und überwachen.
Es passieren ständig größere und kleinere Angriffe.
Wie lange werden Cyberangriffe schon ernsthaft diskutiert?
Kloibhofer: In der akademischen Welt ist das Thema schon länger aktuell. An der EU-NIS-Richtlinie und anderen Gesetzen ist aber zu erkennen, dass auch die Gesetzgebung reagiert. Dass Staaten hier einheitliche Meldewege und Strukturen zum Schutz ihrer Infrastruktur aufbauen, ist wichtig.
Wenn man davon ausgeht, dass kein System absolut sicher sein kann, dann muss es ein regelrechter Albtraum sein, die ganzen vernetzten Systeme in einem Staat schützen zu müssen.
Kloibhofer: Zum Glück sind die Systeme in unterschiedliche Einheiten gegliedert. Die einzelnen Betreiber kritischer Infrastrukturen kennen ihre Netze gut und können auch das Risiko einschätzen und entsprechende Maßnahmen setzen. Wichtig ist, dass es auch auf staatlicher Ebene entsprechende Rahmenbedingungen gibt, damit alle wissen, welche Stellen bei welchen Vorfällen zu informieren sind.
Warum entkoppelt man kritische Systeme nicht komplett vom Netz, um sie zu schützen?
Kloibhofer: Das ist nicht so einfach. Natürlich kann man Systeme offline nehmen, das passiert teilweise auch schon. Aber Organisationen und Betriebe brauchen oft eine Internetanbindung, um ihren Aufgaben nachkommen zu können. Man muss immer im Einzelfall abschätzen, wie hoch das Risiko ist und ob man bereit ist, dafür großen Mehraufwand in Kauf zu nehmen.
Die Bewusstseinsbildung unter Mitarbeitern ist das A und O für Unternehmen und Organisationen, die sich vor Cyberangriffen schützen möchten.
Welche Cyberangriffe aus den vergangenen Jahren sind Ihnen in Erinnerung geblieben?
Kloibhofer: Es passieren ständig größere und kleinere Angriffe. Viel Medienaufmerksamkeit hat etwa die Wannacry-Sicherheitslücke bekommen. Ob man solche Vorfälle unter Cyberwar einordnet oder von gezielten Einzelangriffen ausgeht, hängt von der verwendeten Definition ab.
Welche Art von Angriffen sind heute am häufigsten?
Kloibhofer: Es gibt immer noch viele Phishing-Attacken. Diese Methode wurde auch bei Angriffen auf das Stromnetz in der Ukraine verwendet. Auch Ransomware,die Daten verschlüsselt und nur gegen Bezahlung wieder freigibt, ist weit verbreitet. DDOS-Angriffe, die Systeme durch eine Flut von Anfragen überlasten, sind mittlerweile rückläufig.
Das heißt, dass viele Angriffe auf die Nutzer abzielen, nicht auf die Systeme?
Kloibhofer: Die Bewusstseinsbildung unter Mitarbeitern ist das A und O für Unternehmen und Organisationen, die sich vor Cyberangriffen schützen möchten. Im österreichischen Cybersicherheitsbericht 2018 ist zu erkennen, dass solche Maßnahmen bereits greifen.
Am Ende ist die Frage immer, wie viele Ressourcen ein Angreifer bereit ist zu investieren, um ein System zu knacken. Das ist ein Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern.
Ist der Mensch der größte Risikofaktor?
Kloibhofer: Es kann auch ein Vorteil sein, dass die letzte Instanz immer ein Mensch ist. Aber am Ende ist die Sicherung von Systemen ein kontinuierlicher Prozess, der niemals enden sollte. Angriffe entwickeln sich weiter und Fehler können immer passieren. Daher ist die Schaffung von Bewusstsein und das Training von User/innen so essentiell.
Zielen deshalb viele neue Maßnahmen eher darauf ab, Eindringlinge zu erkennen?
Kloibhofer: Die Strategien greifen bereits eher dazu über, Irregularitäten im System zu erkennen statt Angriffe abzuwehren, denn man kann heute davon ausgehen, dass es hundertprozentige Sicherheit nicht gibt. Das funktioniert über KI-Systeme, die lernen, wie der Normalbetrieb aussieht, und sich melden, wenn Anomalien auftreten. Absolute Sicherheit bietet auch dieser Ansatz nicht. Am Ende ist die Frage immer, wie viele Ressourcen ein Angreifer bereit ist zu investieren, um ein System zu knacken. Das ist ein Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern.
Staaten haben vermutlich beachtliche Ressourcen zur Verfügung.
Kloibhofer: Die Angreifer sind auch nur Menschen, die zuerst die niedrig hängenden Früchte pflücken. Deshalb ist es für Firmen und Organisationen wichtig, grundlegende Sicherheitsstandards zu erfüllen. Aber Staaten haben natürlich mehr Mittel zur Verfügung. Die Budgets für Cybersicherheit bei Staaten und Firmen steigen seit einigen Jahren tendenziell an.
Gegenangriffe sind schwierig. In erster Instanz sollten infiltrierte Systeme deshalb eher abgesichert werden.
Wird das irgendwann zu teuer?
Kloibhofer: Das muss man immer in Relation sehen. Die digitalen Geschäftswerte wachsen, dann müssen auch die Schutzmaßnahmen besser werden. Ein Teil der Effizienzgewinne durch die Digitalisierung muss eben wieder in die Sicherung der Systeme investiert werden.
Lassen sich staatlich angeordnete Angriffe überhaupt erkennen?
Kloibhofer: Wenn Expert/innen am Werk waren, lässt sich nur schwer nachvollziehen, wer hinter einem Angriff steckt. Es gibt aber Möglichkeiten, etwa durch forensische Analysen und Plattformen, die z.B. Transaktionen in Kryptowährungen nachvollziehbar machen, um Urheber zu finden und Missbrauch zu verhindern.
Droht hier eine Eskalation, wenn Angriffe vorschnell erwidert werden?
Kloibhofer: Gegenangriffe sind schwierig. In erster Instanz sollten infiltrierte Systeme deshalb eher abgesichert werden. Danach wäre es wichtig, dass eine Meldung an die entsprechenden Behörden erfolgt und die notwendigen Nacharbeiten, wie z.B. forensische Analysen durchgeführt werden um daraus dann die lessons learned zu ziehen und neue Maßnahmen setzen zu können.
Was gilt heute als kritische Infrastruktur?
Kloibhofer: Die NIS-Richtlinie legt sieben Sektoren fest, die in diese Kategorie fallen. Dazu gehören die Dinge, die das öffentliche Leben am Laufen halten, etwa die Bereiche Energie, Verkehr und Finanzwesen.
Wichtig ist, dass die Verantwortlichen proaktiv handeln, indem sie die Risken ständig analysieren und ihre Schutzmaßnahmen und Prozesse regelmäßig üben und prüfen.
Wie ist Österreich beim Schutz dieser Strukturen aufgestellt?
Kloibhofer: Es gibt immer Verbesserungsbedarf, aber der Cybersicherheitsbericht zeigt, dass wir auf einem guten Weg sind. Es gibt bereits einheitliche Meldewege. Die wesentlichen Betreiber der Infrastruktur können das Risiko gut einschätzen und auch andere Firmen und Organisationen haben erkannt, dass es hier Handlungsbedarf gibt.
Was muss hier in Zukunft noch passieren?
Kloibhofer: Wichtig ist, dass die Verantwortlichen proaktiv handeln, indem sie die Risken ständig analysieren und ihre Schutzmaßnahmen und Prozesse regelmäßig üben und prüfen. Das passiert in entsprechenden Planspielen bereits vielerorts, so auch z.B. am AIT, bei dem wir mit Behörden, der öffentlichen Hand und Betreibern kritischer Infrastrukturen die Erkennung und Abwehr von Cyberangriffen üben.
