Das zurückliegende Jahr hatte es für IT-Sicherheitsverantwortliche in sich: Hunderte Millionen Angriffe und zu Ende ging es mit „Log4j“, der größten IT-Sicherheitslücke der Dekade. Mit dem digitalen Fortschritt nehmen auch Cyberangriffe zu. Und sie werden immer ausgeklügelter. Expert*innen prognostizieren für 2022 einen weiteren Anstieg. Damit ist klar: Ohne ganzheitlichen Cyber-Schutz ist Digitalisierung nicht möglich.
Laut Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden im vergangenen Jahr 144 Millionen neue Schadprogramm-Varianten erfasst. Das sind 27 Millionen mehr als im Vorjahr und entspricht fast 400.000 neu aufgedeckten Schadprogrammen pro Tag. Eine der größten Bedrohungen sind für die Cyber-Expert*innen gezielte Erpressungsangriffe auf Unternehmen und staatliche Einrichtungen. Das BSI nannte das zugehörige Kapitel in seinem rund hundertseitigen Bericht „Big Game Hunting mit Ransomware“. Ein Beispiel solcher Ransomware-Attacken, mit denen Cyber-Kriminelle den Zugriff auf Daten oder Systeme verhindern, war der Angriff auf den Landkreis Anhalt-Bitterfeld im letzten Jahr – mit verheerenden Folgen für viele Bürger*innen. Fast zwei Wochen lang war die Kreisverwaltung kaum noch arbeitsfähig und konnte unter anderem Sozialleistungen nicht mehr auszahlen. Bis die IT-Systeme wiederhergestellt waren, dauerte es über zwei Monate. Für Ursachenforschung und Wiederaufbau der Infrastruktur wurde erstmals die Bundeswehr um Amtshilfe gebeten.
IT-Sicherheit als Top-Thema
Auch für das laufende Jahr sieht die Prognose düster aus: Der aktuelle Lagebericht des Digitalverbands Bitkom zeigt auf, dass die Anzahl der Ransomware-Angriffe seit 2019 um 358 Prozent gestiegen ist. Michael Sentonas, Chief Technology Officer beim US-amerikanischen Anbieter von Informations- und Cybersicherheitslösungen CrowdStrike, befürchtet sogar, dass sich Cyberattacken 2022 verdoppeln, wenn nicht verdreifachen werden. Deshalb müssten sich potenzielle Angriffsziele frühzeitig auf die Risikoerfassung konzentrieren und entsprechende Schutzmaßnahmen vornehmen.
Das fordert auch Martin Kaloudis, Chief Executive Officer der BWI. Vor allem kritische Infrastrukturen und sicherheitsrelevante staatliche Aktivitäten erfordern für ihn das höchste Sicherheitsniveau. „Digitale Infrastrukturen sind für Staat und Bürger*innen heute genauso wichtig wie Strom-, Gas- und Wasserleitungen, Verkehrsverbindungen oder Mobilfunknetze.“ Denn Cyberangriffe verursachen nicht nur immense Kosten. Im militärischen Bereich können sie im wahrsten Sinne des Wortes kriegsentscheidend sein und bei kritischer Infrastrukturen gefährden sie im schlimmsten Fall Menschenleben.
„IT-Sicherheit müsste also eigentlich Top Topic sein“, sagt Kaloudis. „So ist es aber nicht.“ Laut E-Government Development Index der UN-Mitgliedsstaaten wird Deutschland in Sachen IT-Sicherheit sogar abgehängt. 2020 war das Land von Platz zwölf auf 25 von 193 Ländern gerutscht. „Wir müssen dringend besser werden und mit der Komplexität lernen zu leben“, fordert der CEO des IT-Systemhauses der Bundeswehr. Die zunehmende Vernetzung habe die Verwundbarkeit von Systemen vervielfacht. „Wir sollten den Umstand annehmen und daraus einen Vorteil machen.“
Resilient – auch in der Krise
Bereits 2020 hat die Bundeswehr beispielsweise eine Vulnerability Disclosure Policy eingeführt und Sicherheitsforscher und Hacker über soziale Medien eingeladen, den verschiedenen Bundeswehrportalen sprichwörtlich auf den Zahn zu fühlen. Das daraus resultierende erhöhte Angriffsvolumen konnte die BWI mit dem Aufbau weiterer Infrastrukturen bewältigen, die die Resilienz der Bundeswehr-IT erhöht haben. Denn im Verständnis der BWI muss ein resilientes IT-System nach einer Krise nicht nur wieder zum Ursprungszustand zurückkehren. Vielmehr muss es an die äußeren Veränderungen angepasst werden. So wie das IT-System der Streitkräfte in der Pandemie: Wie andere Organisationen war auch die Bundeswehr gefordert, ihr Personal zu schützen und Arbeit, wo möglich, in das Homeoffice zu verlagern. Binnen weniger Monate konnten BWI und Bundeswehr mobiles Arbeiten mehr als verzehnfachen – ohne Beeinträchtigung der IT-Sicherheit.
Die Weichen für eine resiliente und zukunftssichere IT hat die Bundeswehr schon vor 15 Jahren gestellt, indem sie Sicherheit, Standardisierung und Skalierbarkeit technischer Lösungen investiert hat. Bundeswehr und BWI setzen seitdem auf einen systematischen Ansatz, der bei der Plattform anfängt und beim einzelnen User aufhört. Eine Security Governance stellt klar, wer in welchem Bereich welche Verantwortung und Zuständigkeit hat und was im Krisenfall zu tun ist. Und der Ernstfall wird regelmäßig geübt. „Das ist unverzichtbare Krisenprävention“, sagt Martin Kaloudis. Zudem nutzt die BWI bewährte und neue Technologien als integralen Ansatz in allen Services, das fängt bei der Entwicklung an (Security by Design). Und das Unternehmen entwickelt die eigene Expertise permanent weiter und bindet Partner aus Industrie und Forschung ein. Dritte Säule ist für die BWI die frühzeitige Detektion, also die Entwicklung eines Echtzeit-Security-Lagebilds, um Anzeichen für einen Angriffsversuch früh zu erkennen, reflexartig einzudämmen und so das Schadensausmaß zu minimieren oder Schaden gänzlich zu vermeiden.
Ohne Cybersecurity keine Digitalisierung
„Mit unserer langen Erfahrung in der Cyber- und Informationssicherheit, der ständigen Anhebung des Sicherheitsniveaus, Steigerung der Resilienz, kontinuierlichen Weiterentwicklung von Abwehrmechanismen bis hin zum Aufbau einer Security Suite tragen wir zur IT-Sicherheit der Streitkräfte bei“, erklärt Kaloudis. Aktuell arbeitet die BWI an einem neuen bundeswehrweiten System, das die bestehende Sensorik zur Erkennung von Cyberangriffen sowie die Darstellung und Analyse von Daten und Systemen verbessert – unter anderem durch den Einsatz neuer Technologien wie KI.
Klar ist also: Digitalisierung wird nur mit Cyber-Sicherheit möglich sein. Unternehmen, Behörden und Institutionen müssen ausreichend abgesichert sein, um die Entwicklung zu begleiten. Wichtig ist vor allem, gut für die digitale Zukunft vorbereitet zu sein. Die Devise lautet: Agieren statt nur zu reagieren.