Sicherheitsmesse ItsaExperten warnen vor dem IT-Blackout

Die Corona-Pandemie hat der Digitalisierung in Deutschland einen kräftigen Schub verliehen - gleichzeitig haben Cyberangriffe deutlich zugenommen. Denn viele Bereiche sind nur unzulänglich abgesichert, etwa Homeoffice-Arbeitsplätze oder die IT-Sicherheit von Krankenhäusern. Das muss sich dringend ändern.

Von Peter Welchering | 16.10.2021

Bildschirm im OP-Saal Sergey Mironov
Für eine bessere IT-Sicherheit auch in Krankenhäusern ist die Kooperation zwischen Fachleuten und Politik entscheidend (imago / Sergey Mironov)
"Die aktuelle Sicherheitslage in Deutschland ist ungenügend und auf keinen Fall eine gute Basis für unsere digitale Zukunft." Diese Bilanz hat Informatik-Professor Norbert Pohlmann zum Auftakt der Itsa-Sicherheitskonferenzmesse in Nürnberg gezogen. Durch die fortschreitende Digitalisierung in Deutschland sind zahlreiche Bereiche von Cyberattacken bedroht, die bisher nicht so sehr im Fokus standen. IT-Sicherheitsfachleute und Wirtschaftsvertreter fordern eine IT-Sicherheitsstrategie.
Welche Bereiche sind besonders gefährdet?
Die Corona-Pandemie hat die Aufmerksamkeit auf zwei Bereiche gelenkt, die vorher kaum im Fokus standen: Homeoffice und Krankenhäuser. Ein Großteil der Heimarbeitsplätze war während der Pandemie unzulänglich bis gar nicht abgesichert - darüber sind Kriminelle in Firmennetze eingedrungen. Wenn Homeoffice als zusätzliche Option zum Büroarbeitsplatz – auch aus ökologischen Gründen - ausgebaut werden soll, muss sich diese Situation schnell ändern.
Zwei Mitarbeiterinnen in einem Krankenhaus vor Computer-Bildschirmen.
Wenn Hacker Kliniken angreifen
Vor einigen Jahren haben Hacker ein Kinderkrankenhaus in Boston attackiert. Die Klinik konnte den Angriff abwehren, weil sie gut vorbereitet war. Doch weltweit häufen sich Angriffe auf Krankenhäuser.
Der zweite Bereich sind die zahlreichen Ransomware-Attacken auf Kliniken, die daraufhin ihren Betrieb herunterfahren mussten. Sicherheitsexperten fordern, diese wesentliche Schwachstelle anzugehen. Hier wird eine Neuberechnung des Personalschlüssels gefordert, weil IT-Sicherheit in den Krankenhäusern die Arbeitszeit der Pflegekräfte erfordert und ohne diese überhaupt nicht umgesetzt werden kann. Die Warnung der Sicherheitsexperten ist drastisch: Wenn wir nicht riskieren wollen, dass wir in den nächsten zwei oder drei Jahren großflächige Ausfälle im Gesundheitsbereich durch Ransomware-Attacken haben, muss hier etwas geschehen.
Warum ist die Wirtschaft mit der Sicherheitslage unzufrieden?
Nicht nur die ausgewiesenen IT-Sicherheitsfachleute haben Bedenken, sondern die Wirtschaft ist generell mit der Sicherheitslage unzufrieden. Die Pandemie hat die Probleme wie unter einer Lupe noch einmal deutlich und groß werden lassen. Udo Littke vom Branchenverband Bitkom:
"Cyberangriffe sind zu einer existenziellen Bedrohung für die deutsche Wirtschaft geworden. Bereits jedes zehnte Unternehmen sieht seine geschäftliche Existenz bedroht. In 86 Prozent der Unternehmen haben Cyberangriffe einen Schaden verursacht. Im Jahr 2019 waren es noch 70 Prozent."
Eine Cyberattacke treibt die Bundesregierung um
Cyberangriffe auf Daten von Corona-Impfstoffen
Der Aufschrei war groß, als die Europäische Arzneimittelbehörde digital angegriffen wurde. Hacker erbeuteten Daten zum Biontech-Impfstoff. Dabei gibt es gute Sicherheitstechniken.
Ransomware-Angriffe gehören zu den häufigsten Cyberangriffen. Aber auch klassische Datenspionage, Sabotage von Produktionsanlagen und Manipulation von betrieblicher Informationstechnik haben deutlich zugenommen. Der durch solche digitalen Angriffe verursachte Schaden betrug im Jahr 2020 223 Milliarden Euro. Im Jahr 2019 waren es 103 Milliarden. Wirtschaft und Wissenschaft haben die Ursache dafür einheitlich benannt: Eine völlig verfehlte und planlose IT-Sicherheitspolitik.
Was sagt die Politik zu den Vorwürfen?
Andreas Könen, Leiter der Abteilung Cyber- und Informationssicherheit im Bundesinnenministerium, will die Vorwürfe nicht gelten lassen. Die Strategie der Bundesregierung sei richtig, meint er.
"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zu einer Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden und damit neben dem BKA im Polizeigesetz und dem BfV im Verfassungsschutz zu einer dritten Säule der föderal integrierten Cyber-Sicherheitsarchitektur weiterentwickelt werden."
Das Rathaus von Angermünde.
Erpressung von Behörden - Wenn Hacker die Hochzeit verhindern
Kommunen, Ämter und Gerichte sind häufig Ziel von Attacken mit Ransomware: Die Schadprogramme legen IT-Systeme teilweise monatelang lahm. Über 100 Fälle haben der BR und Zeit Online recherchiert.
Das bringe alles nicht den gewünschten Effekt, solange die Politik Sicherheitslücken nicht konsequent beseitige, meint Professor Norbert Pohlmann. Er fordert von der sich demnächst neu konstituierenden Bundesregierung ein klares Bekenntnis zur unbeschränkten IT-Sicherheit.
"Diese ist die Grundvoraussetzung für den Erfolg der Digitalisierung. Mit dem Hin und Her der Diskussion über eine eingeschränkte Sicherheit wie beim Bundestrojaner oder geschwächte Verschlüsselung verspielt Bund und Länder ihre Vertrauenswürdigkeit. Der Staat muss zu seiner Verantwortung, zu seinem Auftrag, zur Gewährleistung einer hohen IT-Sicherheit stehen und sein Verhalten darauf ausrichten." Das führte zu Widerspruch aus dem Innenministerium. Andreas Könen:
"Es ist erforderlich, dass Strafverfolgungs- und Sicherheitsbehörden ihren gesetzlichen Auftrag auch im digitalen Raum erfüllen können. Dabei muss es einen verantwortungsvollen Umgang mit Schwachstellen da geben, wo sie genutzt werden müssen im Rahmen rechtlicher Vorschriften, etwa der Strafprozessordnung und des Bundeskriminalamtgesetzes. Darum werden wir einen Coordinated Vulnerability Disclosure Process mit einer proaktiven Schwachstellen-Governance einrichten, wie es auch das Bundesverfassungsgericht genau in unserem Sinne im Falle Baden-Württemberg des Polizeigesetzes eingefordert hat."
(Anm. d. Red. Bei einer Responsible Disclosure oder auch Coordinated Disclosure stimmt sich der Entdecker mit den verantwortlichen Stellen ab und veröffentlicht Einzelheiten zu der Schwachstelle erst, wenn der Entwickler genügend Zeit hatte, diese zu beheben. Quelle: wikipedia)
Welche Konflikte gibt es zwischen Politik und Fachleuten?
Eine Kompromisslösung brachte Kai Grunwitz, Geschäftsführer des IT Unternehmens NTT Deutschland, ins Spiel. Bessere IT-Sicherheit und die Erfüllung des gesetzlichen Auftrags der Strafverfolgung im digitalen Raum müssen keine Gegensätze sein. Politik, Wissenschaft und Sicherheitspolitik müssen einfach besser kooperieren.
Ein Radfahrer fährt nachts über eine grüne Kreuzung.
Wie Hacker Ampel manipulieren können
Verkehrsleitsysteme helfen, Staus zu vermeiden. In vielen Städten steuern sie Ampeln so, dass der Verkehr möglichst gut fließt. Doch die Technik birgt Risiken: Hacker könnten damit für Chaos auf den Straßen sorgen.
Doch das geschieht auch bei den IT-Sicherheitsanbietern bisher nur unzureichend. Kai Grunwitz: "Man braucht hier eine Kollaboration zwischen den verschiedenen Cybersecurity Anbietern, weil einer allein wird es nicht lösen können. In der Cyberkriminalität gibt es Zusammenarbeit. Auf der anderen Seite, bei den White Guys, den Cyber defenders, brauchen wir diese Zusammenarbeit in gleicher Form."
Ob Sicherheitsbehörden und Regierungsinstitutionen zu den White Guys zählen, wurde und wird von vielen IT-Sicherheitsexpertinnen und -experten angezweifelt. Für viele von ihnen gilt es als ausgemacht, dass die Bundesregierung bei der Verabschiedung des IT-Sicherheitsgesetzes 2.0 Anfang dieses Jahres gepatzt hat. Fast alle Sachverständigen hatten ihre Bedenken gegen das Gesetz vorgetragen -diese Bedenken wurden aber nicht berücksichtigt. Massive Gegensätze zwischen Regierung und Sicherheitsexperten traten deutlich zutage. Dennoch sind auch Fachleute davon überzeugt, dass wir einen gesellschaftlichen Konsens in Sachen IT-Sicherheit dringend brauchen.
Welche Probleme liegen bei KI-Sicherheitssystemen vor?
Über den Einsatz von neuronalen Netzwerken und generativen Netzen in Sicherheitssystemen herrscht in dem Bereich Ernüchterung, wie Debatten auf der Sicherheitsmesse Itsa zeigen. Zeitweise gab es die Erwartung, dass, wenn wir neuronale Netze mit Angriffsmustern füttern, wir sowohl Frühwarnsysteme als auch sehr effektive Abwehrtechniken gegen diese Angriffe haben. Beides hat sich so nicht erfüllt.
Die Konsequenz daraus muss sein, die Defizite bei den Trainingsdaten und bei den Validierungsdaten für die KI-Sicherheitssysteme genau zu analysieren und dann zu beseitigen. Denn von einigen Herstellern gab es teilweise unseriöse Versprechungen. Zudem muss bei der Entwicklung der entsprechenden Algorithmen jetzt neu angesetzt werden.
Bei einem Angriff haben Hacker auch Zugriff auf den Quellcode bei Microsoft erlangt 
Solarwind-Attacke betrifft auch deutsche Firmen
Der Hackerangriff auf die digitale US-Infrastruktur Ende 2020 hatte auch Auswirkungen in Deutschland. Etliche Ministerien und Firmen waren betroffen. Fachleute sprechen vom gefährlichsten Hack des Jahrhunderts.
Konkret heißt das, die Qualität der Trainingsdaten muss verbessert werden. Da ist oft mit Daten nur eines Herstellers gearbeitet wurden. Deshalb war die Bandbreite der trainierten Muster für solche Angriffe viel zu schmal. Da wird sogar über Open-Source-Modelle für Trainingsdaten diskutiert, damit die herstellerunabhängig und von den Anwendungsfällen her breit genug angelegt sind. Hersteller sehen dadurch zwar ihre Geschäftsgeheimnisse bedroht, aber da muss die Sicherheitsbranche nachvollziehen, was auch für andere Bereichen längst klar ist: Security by obscurity funktioniert eben nicht.
Wie lässt sich die Validierung der Daten gewährleisten?
Das gleiche Problem besteht bei den Validierungsdaten. Oftmals gibt es die gar nicht, das heißt, es wird nicht validiert. Das KI-Sicherheitssystem wird einmal trainiert und dann läuft es los. Das muss sich ändern. Aber Validierung kostet Zeit und Geld. Deshalb halten sich einige Sicherheitsdienstleister und Hersteller auch zurück.
Zunächst einmal brauchen wir einen Standard für die Validierung der Systeme, der auch eingehalten wird. Der muss festlegen, mit welchen Methoden Entscheidungen des neuronalen Netzes bei der Erkennung und Abwehr von Angriffen nachvollzogen werden, welche Veränderungen an den Gewichtungen des neuronalen Netzes durch den Betrieb erfolgt sind und wie das System auf neue Angriffe reagiert. Dann kann in einem zweiten Schritt validiert werden. Die Validierungsdaten müssen sich von den ursprünglichen Trainingsdaten natürlich unterscheiden. Aber sie müssen auch möglichst breit angelegt sein und von verschiedenen Herstellern stammen. Da bestehen bei der Kooperation noch Probleme.