Wie verwundbar sind wir wirklich?

Unser tägliches Leben hängt vom Internet ab: Energie, Verkehr, Wasser, Bankwesen – all diese Systeme sind miteinander verbunden und anfällig für Cyberangriffe. Die gute Nachricht: Man kann die Folgen eines Ausfalls simulieren.

Der Internetvorläufer ARPANET, das ab Ende der 1960er Jahre von den Vereinigten Staaten entwickelt wurde, war als dezentrales Kommunikationssystem konzipiert, das einen Atomangriff überstehen könnte. Das Internet ist also von Haus aus ein unglaublich widerstandsfähiges System; und das ist einer der Gründe, die das Wachstum der digitalen Wirtschaft in den vergangenen Jahrzehnten ermöglicht haben. Folglich ist es ziemlich schwierig, das gesamte Internet auszuschalten – es besteht aus einem Netz von unabhängig verwalteten Netzen, die alle miteinander Informationen austauschen.

Unsere Infrastruktur hängt am Netz

Das heißt aber nicht, dass wir uns entspannt zurücklehnen können: Es gibt viele wahrscheinliche Szenarien, in denen ein lokales Netzwerk ausfällt oder ein Internetdienstanbieter angegriffen wird. Das könnte die Bürger einer ganzen Stadt oder eines ganzen Landes in Mitleidenschaft ziehen und die kritische nationale Infrastruktur, von der wir alle abhängig sind, zum Erliegen bringen.

Wenn wir ein Jahrhundert zurückgehen, waren die Dinge ziemlich einfach. Energie war das wichtigste Infrastruktursystem, das alles andere untermauerte. Daneben gab es das Verkehrsnetz, Abfallbeseitigung und die Wasserversorgung. Aber in den vergangenen Jahrzehnten sind durch das Internet fantastische neue Technologien entstanden und aus verschiedenen Gründen – vor allem aber aus Kostengründen – haben wir begonnen, alle diese neuen Technologien in die Gesellschaft, unsere Wirtschaft und sogar in unsere kritischen Infrastruktursysteme einzubinden. Die kritische Infrastruktur eines Landes ist heute sehr viel komplizierter und auf vielfältige Weise miteinander vernetzt. Auch andere wichtige Stützen unserer Gesellschaft wie das Gesundheits- und das Bildungswesen sind von der kritischen Infrastruktur abhängig.

Viele dieser lebenswichtigen Netze werden zunehmend „smart“ verwaltet. Ob es sich nun um smarte Infrastrukturen, smarte Energieversorgung oder smarte Städte handelt: Geräte, die im Internet hängen, werden dazu genutzt, unsere Gesellschaft und Wirtschaft zu steuern – das Internet der Dinge (IoT) bestimmt mehr und mehr unseren Alltag. Das macht die Dinge oftmals nicht nur einfacher, sondern auch billiger – was einerseits der Grund ist, warum der Markt auf diese Technologien setzt, andererseits aber auch soziale Vorteile bringt. Aber diese Technologien sind ein zweischneidiges Schwert, denn sie machen uns auch unglaublich verwundbar. Was passiert, wenn ein ruchloser Krimineller, ein Terrorist oder ein Nationalstaat versuchen, die Funktion dieser Geräte zu stören?

Können Cyberangriffe London vom Netz nehmen?

Vor einem Jahrzehnt hielten die meisten Menschen das für unmöglich. Sie gingen davon aus, dass die kritische Infrastruktur eines Landes zu gut gesichert ist, um durch einen Cyberangriff lahmgelegt zu werden. In den vergangenen zehn Jahren haben wir jedoch gesehen, wie viele dieser Systeme durch immer raffiniertere Cyberangriffe gestört wurden. So wurden beispielsweise in den östlichen Regionen der Ukraine Cyberangriffe auf das Stromnetz durchgeführt, die höchstwahrscheinlich von russisch gesponserten Cybergruppen ausgeführt wurden.

Bei einem Cyberangriff auf ein Umspannwerk würde sich der Ausfall kaskadenartig auf die kritische Infrastruktur auswirken.

In den vergangenen Jahren hat sich meine Forschung speziell mit diesen ukrainischen Cyberangriffen befasst. Wir haben diese Angriffe genommen und simuliert, welche Auswirkungen sie auf das Stromnetz in London gehabt hätten. Wir waren in der Lage zu modellieren, was passieren würde, wenn es in diesem Netz zu verschiedenen Ausfällen käme. Bei einem Cyberangriff auf ein Umspannwerk würde sich der Ausfall kaskadenartig auf andere kritische Infrastruktursysteme auswirken, die Strom benötigen, und auch andere Unternehmen und Haushalte beeinträchtigen. Die Modellierung dieser Auswirkungen ist für die Schadensbegrenzung und die Vorbereitung unerlässlich.

Aber es ist immer noch sehr schwer vorherzusagen, was bei einem massiven Internetausfall in einer Großstadt tatsächlich passieren würde. Die Realität sieht so aus, dass die Betreiber kritischer Infrastrukturen über ihre eigenen privaten Kommunikationssysteme verfügen, dass aber die Netzarchitektur und das Niveau der Cybersecurity von Unternehmen zu Unternehmen, von Stadt zu Stadt und auch von Branche zu Branche (Energie, Verkehr und so weiter) unterschiedlich sind. So sollte die Steuerung einer kritischen Infrastruktur theoretisch vom öffentlichen Internet isoliert sein, so dass sie im Falle einer Abschaltung des Internets im Prinzip weiter funktionieren sollte.

Blick in die Geschichte

Staatliche Cyberangriffe sind kaum abzuwehren

Wir wissen jedoch, dass dies nicht immer der Fall ist, und dass es auch andere Möglichkeiten für Angreifer gibt, diese Netze zu stören. Die meisten Unternehmen sind anfällig für Störungen in ihrer eigenen externen Lieferkette, in die oft Cyber-Abhängigkeiten eingebettet sind, und zwar durch eine ganze Reihe verschiedener Software und Produkte, die im Betrieb eingesetzt werden. In der Tat ist es unvermeidlich, dass viele Bereiche der Unternehmenstätigkeit über öffentlich zugängliche IT-Systeme verfügen, da sie für die Zusammenarbeit mit Kunden und anderen Geschäftspartnern unerlässlich sind. Es gibt also viele Schwachstellen.

Die möglichen Auswirkungen solcher Angriffe hängen stark davon ab, wer sie durchführt und welche Ziele sie verfolgen. Es gibt Kriminelle, die darauf aus sind, Geld zu verdienen. Daher werden sie wahrscheinlich Daten oder ein ganzes System als Geisel halten, bis man ihnen Lösegeld in Kryptowährung zahlt. Terroristische Organisationen hingegen sind darauf aus, maximale Zerstörung zu verursachen. Staatliche Cyberangriffe, die wohl am schwersten zu bekämpfen sind, können mehrere Ziele verfolgen – Störung eines Systems, Aufklärung und Sammlung von Informationen, Diebstahl geistigen Eigentums und so weiter.

×

Zahlen & Fakten

Für die demokratischen Industrienationen stellen Russland, China, Nordkorea und der Iran das größte Cyberrisiko dar, da es gut dokumentierte Beweise für Cyberangriffe gibt, die von staatlich geförderten Hackergruppen durchgeführt werden, die mit diesen Nationen verbunden sind. Das Problem ist, dass es für Infrastrukturbetreiber sehr schwierig ist, sich vor Cyberangriffen zu schützen, die von Staaten gesponsert werden. Nur ein Beispiel: Selbst die größten Ölgesellschaften der Welt geben an, dass sie trotz ihrer beträchtlichen Budgets nicht in der Lage sind, sich gegen einen ausgeklügelten, staatlich gesponserten Cyberangriff zu verteidigen, weil die Ressourcen nicht ausreichen.

Cyberangriffe: Gefährdung schwer einschätzbar

In gewisser Weise ähneln Cyberangriffe anderen Naturkatastrophen wie Erdbeben oder Wirbelstürmen, da sie unsere Gesellschaft und Wirtschaft beeinträchtigen können. Sie sind jedoch in vielerlei Hinsicht anders und viel unvorhersehbarer. Wir haben keine historischen Aufzeichnungen, auf die wir zurückgreifen könnten. Das Problem ist also, dass man nicht mit Sicherheit sagen kann, wie hoch die Wahrscheinlichkeit ist, dass ein solches Ereignis eintritt. Wenn es sich beispielsweise um einen Hurrikan handelt, kann man Investitionen in den Schutz von Gebäuden nach einem bestimmten Standard rechtfertigen, weil dieser beispielsweise statistisch gesehen alle zehn oder zwanzig Jahre auftritt. Deshalb muss man das Gebäude bis zu einem bestimmten Grad der Gefährdung schützen. Die Kosten-Nutzen-Rechnung ist jedoch bei Cyberangriffen schwieriger, was Investitionen zurückhalten kann.

Vor allem, wenn Unternehmen schwere Zeiten durchmachen, kürzen sie oft ihre Ausgaben für Cybersicherheit.

Sehr oft besteht ein Zusammenhang zwischen den Investitionen in die Cybersicherheit und der Wahrscheinlichkeit negativer Cyber-Ereignisse – gut geschützte Unternehmen werden weniger oft angegriffen. Daher ist es wichtig, dass Entscheidungsträger nicht zu wenig investieren, da sie sich sonst unnötig angreifbar machen könnten. Vor allem, wenn Unternehmen schwere Zeiten durchmachen, kürzen sie oft ihre Ausgaben für Cybersicherheit. Das ist ein ernstes Problem, vor allem in Ländern, die einen großen Teil ihrer kritischen Infrastrukturen privatisiert haben. Viele Regierungen bieten den Netzbetreibern zunehmend Anreize, ihr Schutzniveau zu verbessern, und verhängen gleichzeitig mit Hilfe von Vorschriften Geldstrafen, wenn bestimmte Standards nicht eingehalten werden – nach dem Prinzip Zuckerbrot und Peitsche.

Maximale Auswirkungen auf die Bevölkerung

In vielen Ländern Europas gibt es oft nur eine Handvoll Stromnetzbetreiber, so dass es einfach ist, sie auf einen hohen Sicherheitsstandard zu bringen. Im Vergleich dazu gibt es in den USA etwa 2.000 Unternehmen, die im Bereich der Energieerzeugung, -verteilung und -übertragung tätig sind – was ein enormes Koordinierungsproblem mit sich bringt. Es bedeutet, dass etwa General Electric an der Spitze der Skala steht, während kleine lokale Betreibern am unteren Ende nicht über sehr gute Cybersicherheitsfähigkeiten verfügen. Möglicherweise arbeiten sie auch in ländlichen Gebieten, in denen es schwierig ist, Personal mit guten Cybersicherheitskenntnissen zu finden.

Außerdem haben viele Länder smarte Stromzähler eingeführt, und es gibt erhebliche Bedenken hinsichtlich der Cybersicherheit dieser Geräte. Ein Cyberangriff auf smarte Stromzähler mag ein komplett anderes Ereignis sein als eine Naturkatastrophe, aber letzten Endes fällt bei beiden der Strom aus. Wie stark Sie davon betroffen sein werden, hängt von einer Reihe anderer Faktoren ab. Wenn im tiefsten Winter der Strom ausfällt, ist das natürlich ein katastrophales Ereignis, das zu vielen Toten vor allem unter der älteren Bevölkerung führen könnte. Böswillige Cyberangriffe auf kritische Infrastrukturen könnten durchaus so konzipiert und durchgeführt werden, dass sie maximale Auswirkungen auf die Bevölkerung haben. Die Realität ist, dass wir auf einen großen Cyberangriff vorbereitet sein müssen. Er ist keine Frage des Ob, sondern des Wann. Würden Sie im tiefsten Winter ohne Strom überleben?