Cisco-Security-Experte zum Schutz vor Cyberkrieg: Angriffe in Deutschland nehmen dramatisch zu, aber Ukraine zeigt, wie die Abwehr geht

Deutschland kann in Sachen Cyber-Abwehr von der Ukraine lernen, schreibt Jonas Rahe, IT-Experte und Geschäftsführer bei Cisco Deutschland. - Copyright: picture alliance/Jochen Tack

Jonas Rahe ist Direktor für die Öffentliche Hand bei Cisco Deutschland und leitet damit alle Digitalisierungsaktivitäten für Kunden in der Verwaltung sowie im Gesundheits- und Bildungswesen. Rahe ist Teil der Geschäftsführung, wo er zusätzlich den Bereich „IT-Security“ verantwortet. Cisco zählt zu den weltweit führenden Technologie-Unternehmen mit Schwerpunkt Internet, Kommunikation und Datensicherheit. Der gebürtige Hamburger und studierte Wirtschaftswissenschaftler Rahe lebt mit seiner Familie in Berlin. Zumindest sein Fußballherz ist allerdings in der Hansestadt geblieben. 

Dieser Artikel ist seine Meinung und vermittelt seine Sicht. Hier findet ihr andere Informationen zum Thema.

Auf der Berliner Sicherheitskonferenz 2022 trifft sich ab dem 30. November das „Who is Who“ der internationalen Verteidungs-Community – und immer mehr von ihnen sind Cybersecurity-Experten. Der Schwerpunkt wird in diesem Jahr mehr als sonst auf der Analyse und Abwehr von Cyberangriffen liegen. Das liegt nicht nur an den russischen Cyberattacken auf die Ukraine – auch Deutschland ist stark betroffen.

Von Januar bis September 2022 wurden in der Bundesrepublik insgesamt 56 Attacken auf Einrichtungen der kritischen Infrastruktur (kurz: KRITIS) sowie auf Verbände und Forschungs- bzw. Bildungsinstitutionen öffentlich bekannt. Im Vergleichszeitraum des Vorjahres waren es lediglich 24, so die Auswertungen des Analyseunternehmens "KonBriefing". Der Trend ist eindeutig – und es ist nur die Spitze des Eisbergs.

Laut Analysen der Cisco Malware Research Einheit „Talos“ lag weltweit vor allem das Bildungswesen, der Finanzsektor, Behörden und Energieversorger im Visier von Angreifern. Die häufigste Form der Attacke ist mit 40 Prozent im letzten Quartal Ransomeware – also Erpresser-Software – gewesen. Dabei ist es egal, ob es ein gezielter Angriff ist oder nur ein Zufallstreffer per Massen-Pishing, die Gefahr bleibt hoch. Denn die Vorgehensweise der Angreifer hat sich verschärft: Sie kopieren und verschlüsseln nicht nur die Server und veröffentlichen personenbezogene Daten im Darknet, sondern löschen zum Teil auch die Backups und Wiederherstellungssystem. Und auch mit dem Bezahlen der Lösegelder ist das Problem oft nicht erledigt. Der Trend geht zur Mehrfach-Erpressung getreu dem Motto: „Wer einmal zahlt, zahlt auch zweimal.“

Deutschland nicht ausreichend vorbereitet

Auf diese verschärfte Bedrohungslage ist Deutschland nicht gut vorbereitet. Laut der Cisco Security Outcomes Study vom März 2022 sagen fast die Hälfte (48 Prozent) der befragten IT-Entscheider in Deutschland, dass die Sicherheitstechnologien in ihrem Unternehmen veraltet sind. Somit sehen sich nur 20 Prozent der ExpertInnen in der Lage, die wichtigsten Risiken zu bewältigen und größere Vorfälle zu vermeiden. Das sind die niedrigsten Werte im weltweiten Vergleich. Im Umkehrschluss bedeutet das: 80 Prozent aller Unternehmen und Organisationen in Deutschland sind nicht optimal gegen Cyberangriffe geschützt.

Neben den technischen Defiziten gibt es leider auch operative. Eine weitere Cisco-Befragung aus dem Mai 2022 zeigt, dass 55 Prozent der Angestellten in Deutschland die Sicherheitsmaßnahmen ihres Unternehmens mindestens einmal pro Woche umgehen, um ihre Aufgaben zügiger zu erledigen. Der Grund: Sie finden die Nutzung der IT-Security-Systeme zu kompliziert und zeitraubend. 13,5 Minuten sind es im Schnitt pro Tag. Auch die Arbeit im Home-Office ist oft nicht genug abgesichert: Nur 47 Prozent der Arbeitnehmer greifen über Multifaktor-Authentifizierung und 61 Prozent über VPN-Leitungen auf das Unternehmensnetzwerk zu.

Einer gefährdet alle

Mit der globalen Vernetzung vergrößert sich auch die Angriffsfläche für jedes Unternehmen immer weiter. Cyberkriminelle klopfen systematisch das Ziel-Umfeld ab und greifen dann die einfachsten Ziele an, also diejenigen mit den schwächsten Sicherheitsvorkehrungen oder größten Schwachstellen. Somit wird sehr schnell aus einer Lieferkette ein Sicherheitsrisiko. Wenn also ein Mitglied im Partner-Netzwerk die Mindeststandards in Sachen Cybersecurity unterschreitet, gefährdet es damit das gesamte System.

Bereits 2011 hat Wendy Nather, heute Head of Advisory CISOs bei Cisco, das Konzept der „Cybersecurity Povertyline“ – der „Cybersicherheits-Armutsgrenze“ – entwickelt. Demnach fällt unter die Armutsgrenze, wer nicht über die notwendigen Ressourcen oder das Know-how verfügt, um ein Mindestmaß an Sicherheit zu erreichen. In einer vernetzten Welt ist ein Unternehmen nur dann sicher, wenn auch die Zulieferer geschützt sind. Daher muss es nicht nur die eigene IT-Security, sondern auch die seiner Geschäfts- und Netzwerkpartner im Blick behalten, damit das Gesamtsystem sicher bleibt.

Die Analyse zeigt: Es braucht eine gemeinsame Anstrengung für höhere IT-Sicherheit in Deutschland. Erstens muss die allgemeine IT-Bildung in der Schule von Anfang an gestärkt werden. Wir benötigen bessere digitale Querschnittskompetenzen bei möglichst allen Menschen. So schaffen wir ein besseres Verständnis für Digitalisierung und die damit verbundenen Bedrohungen.

Zweitens müssen wir gezielt Entscheidungskompetenz aufbauen - in der öffentlichen Hand ebenso wie in Unternehmen. Denn es fehlt nicht an technischen Lösungen auf dem Markt, sondern oft an Verständnis von Entscheidern und Anwendern. Damit einher ginge dann ein Bewusstseinswandel, sodass ausreichende IT-Sicherheit von Anfang an in alle Digitalisierungsprojekte integriert wird – und nicht am Ende noch dazu geschustert wird.

Drittens brauchen wir einen Mentalitätswandel von der impliziten zur expliziten Sicherheit. Wir müssen uns davon lösen, bei IT-Sicherheit einen Vertrauensvorschuss zu gewähren. Vertrauen muss man sich hier leider erarbeiten – oder besser gesagt zertifizieren. Dazu gehören zum Beispiel ein Secure Development Lifecycle, intensive Produkttests, Nachweise und Transparenz, sichere Prozesse und nachprüfbare Kriterien.

Von der Ukraine lernen

Kommen wir mit diesen Ideen wieder zurück zur Berliner Sicherheitskonferenz. Dort werden neben solchen Ansätzen auch die Cyberangriffe auf die Ukraine diskutiert werden. Der Tenor im Vorfeld lautet bereits: In der Ukraine kann man exemplarisch sehen, wie wichtig pro-aktive IT-Security ist. Seit der Annexion der Krim 2014 wurde das Land immer wieder im Cyberraum angegriffen. Die Verantwortlichen haben basierend auf den vielen Attacken der letzten acht Jahren konsequent ihre Verteidigungsmechanismen weiterentwickelt und gehärtet. Nach meiner Einschätzung ist das vor allem der Grund, weshalb die russischen Cyberangriffe bisher nicht wirklich erfolgreich gewesen sind. Der Blick auf die Ukraine zeigt den Entscheidern in Deutschland also nicht nur die Notwendigkeit von strategisch aufgebauten Cyberschutzmaßnahmen, sondern auch ihre Effektivität.

Was ist Eure Meinung? Schreibt Jonas Rahe doch eine Nachricht.