Interview mit dem Bundesamt für Sicherheit in der Informationstechnik „Angriffskampagne noch nicht beendet“

Bild: iStock, Serdarbayraktar
20.08.2018

Deutsche Energieversorger sind das Ziel einer groß angelegten Serie von Cyberattacken geworden. Das gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt. Wer dahinter steckt und welche Ziele die Angreifer verfolgen, hat Energy 4.0 beim BSI nachgefragt.

Energy 4.0:

Mitte Juni hat das BSI auf einen groß angelegten Cyberangriff auf deutsche Energieunternehmen hingewiesen. Ist dieser weiterhin aktiv?

BSI:

Es handelt sich hierbei nicht um einen einzelnen Angriff, sondern eine Angriffskampagne, also eine Serie von Angriffen. Selbst wenn einzelne Attacken nicht mehr beobachtet werden, bedeutet dies nicht, dass die Kampagne selbst beendet wäre. Das BSI hat keine Anzeichen für ein Ende der Angriffsserie.

Welche Unternehmen wurden Ziel der Attacke? Richten sich die Angriffe gezielt gegen bestimmte Unternehmen oder Strukturen?

Ziel der großangelegten weltweiten Cyber-Angriffskampagne waren deutsche Unternehmen aus der Energiewirtschaftsbranche. Informationen zu betroffenen Unternehmen behandelt das BSI vertraulich.

Wer steckt hinter den Attacken?

Aufgrund der Verschleierungsmöglichkeiten lassen sich Cyber-Angriffe mit technischen Mitteln nur sehr schwierig und in der Regel nur bis hin zu einer bestimmten geografischen Region zurückverfolgen, nicht aber zu verantwortlichen Personen oder Institutionen. Daher kann das BSI zu den Urhebern der Angriffe keine Aussage treffen.

Welche Ziele verfolgen die Angreifer? Versuchen sie Zugang zu Daten zu erhalten oder handelt es sich um Sabotage?

Beides ist möglich. In mehreren Fällen ist davon auszugehen, dass die Angriffe nicht erfolgten, um unmittelbaren Schaden anzurichten oder Informationen auszuspähen. Sie dienen wahrscheinlich eher als Vorbereitungen zur späteren Ausnutzung, etwa im Falle einer politischen oder wirtschaftlichen Eskalation.

Welcher Methoden bedienen sich die Angreifer?

Sie nutzen unterschiedliche Methoden. Mit diesen konnten sie sich in einigen Fällen Zugriff auf Büronetzwerke der Unternehmen verschaffen. Details über Angriffsmethoden kann das BSI nicht veröffentlichen.

Konnten sich die Angreifer außer zu Büronetzen auch Zugang zu Anlagen oder Steuersystemen verschaffen?

Dem BSI sind derzeit keine Angriffe bekannt, die über die Büronetze hinausgehen. Die bekanntgewordenen Zugriffe auf Büronetzwerke sind aber ein deutliches Signal an die Unternehmen, ihre Computersysteme noch besser zu schützen. Diese Entwicklung offenbart, dass es womöglich nur eine Frage der Zeit ist, bis kritische Systeme erfolgreich angegriffen werden.

Wie können Firmen den Schutz ihrer IT-Infrastruktur verbessern?

Wichtigste Maßnahme ist die Etablierung eines nachhaltigen IT-Sicherheitsmanagements. Neben einzelnen technischen, organisatorischen und personellen Maßnahmen gehört dazu auch, die IT-Sicherheitslage zu beobachten und die eigenen Maßnahmen dieser IT-Sicherheitslage anzupassen. Unterstützung hierbei liefert unter anderem der IT-Grundschutz des BSI.

Lange Zeit galt der Air Gap als entscheidende Maßnahme, um besonders kritische Systeme zu schützen. Ist sein Einsatz angesichts der zunehmenden Vernetzung von Systemen überhaupt noch realistisch und bietet er ausreichend Schutz?

Konsequent umgesetzt ist der Air Gap auch heute noch eine Maßnahme mit hoher Wirksamkeit, um besonders kritische Systeme zu schützen. Wir sehen jedoch, dass er immer seltener eingesetzt wird, da eine entsprechende Vernetzung der Systeme benötigt wird. In diesem Fall müssen andere, vergleichbar wirksame Maßnahmen eingeführt und umgesetzt werden.

Bei den Attacken handelt es sich um gezielte Aktionen. Wie schätzen Sie die Bedrohung für deutsche Energieunternehmen durch ungezielte Angriffe ein, etwa durch Ransomware oder durch Versuche, Anlagen und Maschinen zu Teilen von Bot-Netzwerken zu machen?

Gegen ungezielte Angriffe durch Ransomware, die über Spam-Wellen verteilt wird, oder auch die großen Vorfälle des vergangenen Jahres, wie WannaCry und NotPetya, können sich die Unternehmen gut schützen. Möglich ist das zum Beispiel durch die konsequente Umsetzung von grundlegenden IT-Sicherheitsmaßnahmen, wie sie etwa im IT-Grundschutz des BSI beschrieben sind oder im IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz gefordert werden.

Neben gezielten Angriffen stellt oft auch die Sorglosigkeit von Mitarbeitern eine Bedrohung für die IT-Infrastruktur von Unternehmen dar. Was können Firmen dagegen unternehmen?

Cyber-Sicherheit ist immer eine Kombination aus technischen, organisatorischen und personellen Maßnahmen. Die regelmäßige Sensibilisierung der Mitarbeiter für Cyber-Gefährdungen, wie Phishing, CEO Fraud oder Ransomware, ist ein wesentlicher Bestandteil einer nachhaltigen Cyber-Sicherheitsstrategie eines Unternehmens. Parallel sollten die Verantwortlichen technische Maßnahmen ergreifen, welche die Auswirkungen eines möglichen Fehlverhaltens von Mitarbeitern eindämmen.

Die Energieerzeugung in Deutschland ist in den letzten Jahren dezentraler geworden. Steigt dadurch die Gefahr eines erfolgreichen Angriffs auf die Energieversorgung?

Das BSI empfiehlt auch kleineren Versorgern, die Sicherheit ihrer Netzwerke mit hoher Priorität voranzutreiben. Dazu unterstützt das Bundesamt auch kleinere Betreiber kritischer Infrastrukturen mit einer Reihe von Angeboten.

Können Sie kurz erläutern, um welche Angebote es sich hier handelt?

Zum einen schließt das BSI auch solche kleineren KRITIS-Betreiber an sein Melde- und Informationswesen an und versorgt sie dadurch mit aktuellen Informationen zur IT-Sicherheit und Cyber-Sicherheitswarnungen. Zum anderen können auch diese Unternehmen dem UP KRITIS beitreten. Der UP KRITIS ist die öffentlich-private Kooperation zwischen Betreibern kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen. In den Arbeitskreisen des UP KRITIS werden sowohl branchenspezifische als auch branchenübergreifende Themen der IT-Sicherheit besprochen, Informationen zur Sicherheitslage ausgetauscht und gemeinsame Initiativen zur Verbesserung der Informationssicherheit in kritischen Infrastrukturen vorangebracht.

Verwandte Artikel