"Wir beobachten die Anzahl der Aktivitäten von Cyber-Kriminellen im Bereich Kritischer Infrastrukturen (KRITIS) ehmen zu", sagt Carsten Meywirth, Leiter Abteilung Cybercrime beim Bundeskriminalamt auf dem VKU-Stadtwerkekongress 2020. Dabei würden die Täter immer komplexere Angriffswerkzeuge verwenden. Ist der Angreifer erst einmal im System, beginen er nicht sofort mit der Attacke, erst werden die IT-Systeme ausspioniert, um langfristig Zugang dazu erhalten. "Wichtig ist, dass die OPfer solcher Attacken die Polizie benachrichtigen. Wir können die Täter nur stoppen wenn wir von einem Angriff erfahren", unterstreicht Meywirth.
Auch Nadine Nagel, Leiterin der Abteilung Cyber-Sicherheit für Wirtschaft und Gesellschaft im Bundesamt für Sicherheit in der Informationstechnik (BSI), sieht eine hohe Bedrohungslage. Auch wenn nicht alle Angriffe gemeldet würden, beobachte man inzwischen eine Verbesserung im Meldeverhalten. Betreiber kritischer Infrastrukturen gehen dazu über, Vorfälle zu melden, so Nagel.
Angriffe melden hilft anderen Unternehmen
So geschehen auch bei den Technischen Werken Ludwigshafen (TWL): Deren Technischer Vorstand Thomas Mösl berichtet: "Wir wurden Opfer einer Hackergruppe. Die menschliche Firewall hat hier versagt." Grund war eine Phishing-Mail, die geöffnet wurde und so das IT-System der TWL infizieren konnte. Die Kriminellen hätten sich ausgebreitet, ohne bemerkt zu werden. Erst als jede Menge Daten abgezogen wurden, wurde man aufmerksam. "Wir haben dann das BSI sofort eingeschaltet und das BKA und die Unterstützung hier war hervorragend", lobt Mösl.
Wie wichtig das Melden solcher Vorfälle ist, unterstreicht auch BKA-Mann Meywirt: "Für andere Unternehmen ist es sehr hilfreich von den Erfahrungen von den anderen zu profitieren." Zudem: Die Polizei könne so die Spuren im Netz verfolgen.
Schutz vor Angreifern
Wie können sich Versorger allerdings überhaupt schützen, wie können sie sich auf solche Angriffe vorbereiten? Frau Nagel vom BSI rät als erstes zu einem Informationssicherheits-Managementsystem (ISMS). Darauf aufbauend könne man Übungen für Krisensituationen aufbauen. "Wir unterstützen hier". Und natürlich wieder der Hinweis, Vorfälle zu melden.
"Wir haben damals sehr schnell reagiert", erinnert sich Mösl. Schon 2019 habe man die IT mit externer Unterstützung analysieren lassen. "Das kann man nur jedem empfehlen, egal, wie gut die eigene IT aufgestellt ist, bei Cybersecurity gibt es Spezialisten auf dem Markt, die die Schwachstellen aufspüren", sagt der TWL-Vorstand.
Kriminelle Dienstleistungsindustrie
Die Täter würden sich zunehmend professionalisiert organisieren. "Es gibt eine Art kriminelle Dienstleistungsindustrie", so die Erfahrung von Meywirth vom BKA. Somit könnten auch weniger technisch versierte Angreifer, erfolgreich sein. Zudem sei es möglich, die Infrastruktur zu kaufen, um die Schadsoftware zu verteilen.
Hauptziel seien bislang die Büronetzwerke, sagt Nagel vom BSI. Dennoch müssten die technischen Infrasturkturen weiterhin gut geschützt werden. Und Meywirth ergänzt, dass man es derzeit vor allem auf die Systeme abgesehen habe, von denen man Daten abziehen könne oder die sich verschlüsseln lassen, um ein möglichst hohes Lösesgeld einfordern zu können – durchaus auch mehrmals, etwa beim Entschlüsseln des Systems und nochmals für die abgezogenen Daten.
Lösegeldforderungen nicht nachgeben
"Bei uns war auch „nur“ das Büro betroffen, nicht die Prozesstechnik", bestätigt Mösl. Zudem seien beide Netze strikt voneinander getrennt. Bei dem Angriff auf die TWL habe man Glück gehabt, dass man verhindern konnte, dass das System verschlüsselt wurde. Mit den gestohlenen Daten sei man aber erpresst worden. "Lösegeldforderung zu akzeptieren war für uns zu keinem Zeitpunkt eine Alternative. Wir haben es hier mit hochagilen Kriminellen zu tun, die sehr gut organisiert sind", so Mösl.
Krisenkommunikation
Bei der Kundenkommunikation waren die TWL offensiv: "Für uns war klar, wir müssen aktiv inofrmieren, da Daten von Kunden gestohlen wurden." Daher sei man an die Öffentlichkeit gegangen, habe Pressemitteilungen herausgegeben und die Kunden angeschrieben. Wichtig sei aber auch gewesen, vorher zu klären, welche Bereiche überhaupt angegriffen wurden. Die Reaktionen waren laut dem TWL-Vorstand vorwiegend positiv. "Es gab natürlich auch Kunden, die verärgert waren. Wir haben teilweise persönliche Gespräche mit den Kunden gesucht. Uns war es wichtig, die Ängste der Kunden ernst zu nehmen", so Mösl. Darüber hinaus habe man Tipps gegeben, wie die Kunden ihren Passwortschutz verstärken und womöglichen Identitäsdiebstahl feststellen können.
Und Meywirth vom BKA betonen nochmals: "Wenn ein Unternehmen betroffen ist, soll es sich relativ schnell professionelle Hilfe holen, wir haben Erfahrung in vielen Fällen und haben von den Unternehmen positive Resonanzen bekommen." Dies bestätigt auch Mösl, der die gute Zusammenarbeit mit den Behörden lobte.
Was tun bei mangelnden Ressourcen?
Schwieriger haben es kleine Wasser und Abwasserversorger, die kaum Ressourcen und Personal für den geeigneten Schutz haben. Mösl von den TWL rät hier zu Kooperationen mit externen Dienstleistern. Das BSI erklärte, man gebe hier verschiedene Empfehlungen, an denen sich die kleineren Unternehmen orieniteren können. Zudem stehe über die Behörde ein Netzwerk zur Verfügung, die es ermögliche, sich mit Gleichgesinnten zusammentun, sich über Sicherheitsvorfälle zu unterhalten. "Das hilft kleinen und mittleren Unternehmen schon bereits ein Stück weiter", so Nagels Erfahrung.
Welches sind die wichtigsten Schritte, die man im Bereich Informationssicherheit machen sollte, so die Schlussfrage der Diskussionsrunde: Das BKA rät dazu, sich beraten zu lassen, das BSI sei hier ein kompetenter Berater. Die Behörde selbst verweist darauf, dass Informationssicherheit von der Geschäftsführung gelebt werden müsse, die in diesen Bereich auch investieren müsse. Und Mösl rät zuletzt: "Nehmen Sie das Thema ernst, machen sie die entsprechenden Analysen und denken Sie nicht, mich kann es nicht treffen". (sg)
