Cybersecurity : So wehrt sich Österreich gegen Cyberangriffe

Der Angriff war massiv, und er bediente sich unterschiedlicher Mittel. Mehrere Unternehmensbereiche standen unter Beschuss, zuletzt auch die kritischen Kontrollsteuerungen. Dahinter stand offenbar ein Könner. Rund eine Stunde hatten die Teams alle Hände voll zu tun, ehe sie die Cyberattacke abgewehrt hatten.

Der Angreifer war kein Unbekannter. Helmut Leopold, Leiter des Center for Digital Safety & Security am AIT, hatte im Zuge des Cybersecurity-Planspiels, in dem ein nationales Cyber-Krisenfall-Szenario simuliert wurde, alle Register gezogen, um die Teilnehmer unter Stress zu setzen. Das Unternehmen war ein virtuelles, und in den Security-Teams saßen je sechs bis acht IT-Experten aus Behörden, wissenschaftlichen Einrichtungen und Unternehmen. „Besonders spannend fand ich, dass letztlich jedes Team eine andere Lösungsstrategie gefunden hat“, erzählt Helmut Leopold.

Das jährliche Planspiel des Kuratoriums Sicheres Österreich hat – darauf verweist nicht nur die semantische Nähe zum militärischen Bereich – einen ernsten Hintergrund. Je vernetzter die Welt wird, desto schwieriger wird der Schutz gegen Cyberattacken. „Natürlich ist die steigende Komplexität in diesem Bereich ein Feind der Sicherheit“, sagt Helmut Leopold. Die Vorteile, die etwa das Internet of Things mit sich bringt, bestreitet auch er nicht – „dass in diesem Zusammenhang aber kaum über Cybersecurity gesprochen wird, ist ein echtes Problem.“

Der Angriff, der im Zuge des Planspiels simuliert wurde, war ein „Advanced Persistent Threat“ (APT), also ein komplexer strategischer Angriff, der mehrere Methoden kombiniert. APTs sind gewissermaßen die hohe Schule der Cyberkriminalität, das Ende eines Bogens, der bei den massenhaft versandten und leicht zu erkennenden Betrugs-Mails beginnt. Rein technisch unterscheiden sich die verschiedenen Angriffsmethoden nicht prinzipiell – eher nach dem Aufwand und der technischen Raffinesse –, womit auch für die Abwehr generalisierbare Methodiken entwickelt werden können.

Besondere Sorge bereitet den Experten eine sehr junge Entwicklung: Crime as a Service. Im Darknet können paketweise die Adressen infizierter Computer gekauft werden. Deren Infektion kann Jahre zurück liegen, und sie besteht ausschließlich aus der Installation eines Zugangsweges über den Angreifern bekannte Sicherheitslücken, ohne dass der IT-Nutzer dies selbst weiß, weshalb das auch oft nicht auffällt. An diese Rechner kann der Käufer nun die Schadsoftware seiner Wahl schicken. Damit entkoppelt sich Cybercrime vom klassischen Hacken.

Ist Österreich auf solche Szenarien vorbereitet? Ein Teilnehmer des jüngsten Planspiels war Manfred Spanner. Der Konzern Chief Information Security Officer der ÖBB sieht Österreich hier zwar auf einem guten Weg, „allerdings noch nicht auf jenem Niveau, welches in Deutschland und in der Schweiz gelebt wird.“ Österreich lasse durch sehr generische gesetzliche Vorgaben einen großen Auslegungsspielraum bei der Umsetzung durch die Unternehmen im Bereich Cybersecurity. „In Deutschland gibt es beispielsweise das BSI, das als unabhängige staatliche Stelle Best-Pratice-Lösungen für die Cybersecurity auf sehr granularem Niveau kostenlos anbietet. Des Weiteren gibt es branchenspezifische Gesetzgebungen und regulatorische Anforderungen wie etwa MARisk für die Finanzwirtschaft und das IT-Sicherheitsgesetz für kritische Infrastrukturen.“

Michael Krausz, Geschäftsführer des Sicherheitsunternehmens information security consulting und bekannt als scharfer Kritiker der Szene, hält das Planspiel jedenfalls für den richtigen Ansatz. „Im Bereich der Cybersecurity gab es zuletzt eine sehr gute Entwicklung, der ganze Markt ist reifer geworden. Natürlich haben solche Planspiele den Haken, dass sich die Angriffs-Szenarien ständig verändern. Gleichzeitig muss man aber konzedieren, dass auch Hacker faul sind und sich gerne auf bewährte Methoden verlassen. Insofern sind die Planspiele, in denen es neben der konkreten technischen Antwort ja auch um die Grundmuster der Reaktionen geht, sehr sinnvoll.“

Das Grundmuster, das im Planspiel geübt wird, ist tatsächlich mindestens so holistisch wie die Attacken selbst. Die klassischen Methoden wie Firewalls oder Virenscanner verlieren nicht an Bedeutung, betont Helmut Leopold, doch die Abwehr muss viel weiter gehen. Der nächste Schritt ist Security by Design: Auf der Basis eingehender Risikoanalysen kann man bestimmte Bedrohungsszenarien durch das Systemdesign eliminieren. Einfaches Beispiel: IoT-fähige Haushaltsgeräte wie Kühlschränke können gehackt und zum Abschalten gezwungen werden. Ändert man das Design dahingehend, dass vor jedem Abschalten eine Bestätigung durch den Nutzer erfolgen muss (in Kombination mit dem Einsatz von Verschlüsselungstechnologien für die Kommunikation und Speicherung von Daten), besteht dieses Problem nicht mehr. Das kann grundsätzlich auf die Ebene von Kraftwerken, Flugzeugen oder Autonomen Fahrzeugen umgelegt werden. „Security by Design sollte im Idealfall natürlich zu Standardisierung führen“, sagt Leopold.

Und wie findet man, was man nicht suchen kann? Hier betritt man den Bereich von KI und Machine Learning: Programme, die die Abläufe beobachten und daraus Muster induzieren. Warum es geschieht, muss das System nicht begreifen – nur Abweichungen vom Muster erkennen und eine zuvor festgelegte Prozesskette in Gang setzen. „In diesem Bereich steigt natürlich der Aufwand“, sagt Helmut Leopold, „man benötigt dafür besonders geschulte Fachleute für den IT-Betrieb, Cyber-Managementsysteme, und man muss spezielle Prozesse implementieren.“ Der letzte Schritt schließlich, der ein zentraler Bestandteil des Planspiels ist, betrifft das Teilen der Information. Also die Frage, wer bei Bekanntwerden einer Bedrohung die für ihn relevanten Informationen auf welchem Weg schnellstmöglich bekommt.

In Österreich hat sich dafür in den vergangenen Jahren ein dichtes Netz zwischen den Behörden und der Wirtschaft entwickelt. Als Bindeglied fungiert vor allem CERT.at. Das nationale „Computer Emergency Response Team“ ist Ansprechpartner für IT-Sicherheit im nationalen Umfeld. Es vernetzt andere CERTs aus den Bereichen kritische Infrastruktur und IKT und veröffentlicht Warnungen, Alerts und Tipps für Regierungsstellen und Industriebetriebe. Derzeit werden weitere spezielle CERTs konzipiert für bestimmte Branchen wie das Energy-CERT. Der Schulterschluss zwischen allen Zuständigen ist laut Helmut Leopold schon „herzeigbar“: „Die CERTs haben hohes Know-how, die haben das Thema wirklich gut im Griff.“

Dass ein Thema wie Cybersecurity nach Internationalisierung ruft, liegt auf der Hand. ÖBB-Sicherheitschef Manfred Spanner ist mit deren Status auch weitgehend zufrieden. Das Engagement der EU für dieses Thema ist in seinen Augen „mehr als vorbildhaft. Nicht nur, dass aufgrund steigender Cyberbedrohungen eine NIS-Richtlinie erarbeitet und umgesetzt wurde, sondern auch innereuropäische Initiativen wie beispielsweise die Critical Infrastructure Protection CIP zeigen die Bedeutung und vor allem die Notwendigkeit von Kooperationen zwischen den EU-Mitgliedsstaaten.“

Sicherheitsberater Michael Krausz sieht Probleme eher außerhalb des Bereichs der kritischen Infrastruktur: „Vor allem bei Angriffen mit kriminellem Hintergrund, etwa Rechnungsbetrug, gibt es Probleme. Hier scheitert es oft an banalen bürokratischen Hürden. Das ist extrem ärgerlich, denn dieser Art von Kriminalität hätte man längst den Hals umdrehen können.“

Dass eine intensivere Kooperation zwischen den EU-Mitgliedern wünschenswert wäre, unterstreicht auch Helmut Leopold. Vor allem auch angesichts des spannenden Gedankens, eines Tages ein ähnliches Planspiel zu einem europäischen Cyber-Krisenfall aufzusetzen. Die Lösung, meint er, werde wohl eher aus der Szene selbst kommen: „Auf der technischen Ebene gab es ja schon immer ein grundlegendes Verständnis in der Internetcommunity, einander über staatliche Grenzen hinweg zu helfen oder vor Bedrohungen zu warnen. Und zwar ohne irgendeinen Business Case im Hinterkopf. Genau so müssen wir das weiter spielen. Wir selbst müssen das gestalten.“

Aus dem Wunsch, kritische Infrastruktur EU-weit besser zu schützen, entstand 2016 die EU-Richtlinie zur Netz- und Informationssicherheit (NIS). Sie muss bis August 2018 von den Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Richtlinie zielt auf möglichst einheitliche Standards in der Cybersicherheit ab, und sie will die Kooperation der Staaten untereinander sowie zwischen staatlichen Organisationen und Unternehmen stärken.

Für die „Betreiber wesentlicher Dienste“ (etwa im Energie-, Verkehrs-, Banken- oder Gesundheitsbereich) gelten verbindliche Sicherheitsbestimmungen und Berichtspflichten – wer diese Betreiber sind, muss allerdings jeder Staat für sich definieren.

Betroffen sind von der NIS-Richtlinie auch Anbieter digitaler Dienste (etwa Suchmaschinen oder Marktplätze). Sie müssen gewisse Sicherheitsmaßnahmen nachweisen und den Behörden größere Zwischenfälle melden. KMU unter 50 Mitarbeitern sind davon ausgenommen.

Manchen geht die Richtlinie nicht weit genug. Manfred Spanner, Konzern-CISO der ÖBB: „Es hätte sich die Chance ergeben, aus der NIS-Richtlinie eine NIS-Verordnung zu machen, da eine Verordnung ohne nationales Gesetz wirksam in den Mitgliedstaaten ist und diesen weniger Spielraum bei der nationalen Umsetzung gelassen hätte. Dies hätte insbesondere für EU-weit gleich strenge Anforderungen im Bereich Cybersecurity gesorgt, was vor allem EU-weit tätigen Unternehmen geholfen hätte.“