"Cyberangriffe könnten das Land ins Chaos stürzen": Warum IT-Sicherheitsexperten händeringend gesucht werden

Die Digitalisierung zieht sich durch alle Lebensbereiche: Allein durch Corona hat sie in 95 Prozent aller Unternehmen an Bedeutung gewonnen. Das ergab eine Befragung des Digitalverbands Bitkom unter mehr als 500 Unternehmen aller Branchen. Gleichzeitig steigt das Ausmaß virtueller Angriffe auf IT-Systeme und kritische Infrastrukturen, über alle Branchen hinweg. Auch Zahlen zeigen: Alle sind verwundbar, alle sind angreifbar.

An Cyberkriminellen herrscht kein Mangel. Die Köpfe hinter dem kapitalismuskritischen Hackerkollektiv Anonymous etwa, die sich als Aktivisten begreifen, attackieren aktuell Tesla-Geschäftsführer und Multimilliardär Elon Musk. Ihre Motive dafür sind die durch Musk provozierten Kursschwankungen bei Kryptowährungen.

Andere Cyberangriffe dienen der Erpressung von Lösegeldern – durch die Bedrohung sensibler Infrastrukturen und Daten. Als Cyberkriminelle im September 2020 die IT-Systeme des Uniklinikums Düsseldorf lahmlegten, zog das massive Probleme nach sich, etwa die verzögerte Behandlungen und Operationen. Durch den Ausfall der Systeme in der Notaufnahme konnte eine Patientin nicht mehr versorgt werden. Sie starb.

Kritische Infrastrukturen werden oft über sogenannte Ransomware angegriffen: Verschlüsselungstrojaner und Erpressungssoftware. Wer das meist geforderte Lösegeld zahlt, wird erst recht zur Zielscheibe. Ende 2020 nahmen allein die Angriffe auf Krankenhäuser in Deutschland um 220 Prozent zu, ergab eine Erhebung von Check Point Software.

Anfang Mai griff eine Gruppe von Hackern in den USA die Systeme des Öl-Pipelinebetreibers Colonial an. 8.800 Kilometer Röhren mussten heruntergefahren werden, die Benzinversorgung an der US-Ostküste wurde gestört. Die Pipeline liefert Sprit für 50 Millionen Amerikaner. Joseph Blount, Betreiber der Pipeline, zahlte den Hackern 4,4 Millionen US-Dollar Lösegeld (3,6 Millionen Euro) – in Bitcoin.

47 Prozent der Unternehmen erlitten bereits Schäden durch Cyberangriffe

Cyberangriffe sind vielfältig: Sie erfolgen durch Bot-Netze, durch Phishing, durch die Ausführung von Schad-Code über Fernzugriff (Remote Code Execution) oder in Form von DDos-Angriffen ("Distributed Denial of Service"). Dabei werden Unternehmensnetzwerke mit Datenverkehr überflutet, um Leistung und Verfügbarkeit zu stören. Schon Schadprogramme, die per E-Mail eingeschleust werden, können einen Betrieb dazu bringen, sein gesamtes Netz abschalten zu müssen, mit im Zweifel unabsehbaren Folgen.

In Deutschland waren laut Digitalverband Bitkom 2019 rund drei Viertel aller Unternehmen (70 Prozent) schon mal von einem Angriff betroffen, 47 Prozent erlitten dadurch. Schäden. Bitkom bezifferte den Schaden auf gut 102 Milliarden Euro jährlich.

Um Systeme vor Cyberattacken zu schützen und Schwachstellen ausfindig zu machen, braucht es immer bessere Sicherheits- und Datenschutzlösungen – und Menschen, die sie kennen und verwalten. 52 Prozent der Unternehmen weltweit haben eine eigene Cybersecurity-Abteilung, zeigt eine aktuelle Studie des IT-Sicherheitsdienstleisters Kaspersky.

Diese hat gut zu tun: 71 Prozent erwarten, dass ihre Investitionen in die IT und IT-Sicherheit in den kommenden drei Jahren steigen werden, 41 Prozent erhoffen sich davon, das Fachwissen interner Spezialisten zu verbessern. Die Aufgaben differenzieren sich zunehmend weiter aus.

„Da alles digitalisiert wird, ist auch alles verwundbar“

In hoch spezialisierten IT-Sicherheitseinheiten etwa beschäftigen mittlerweile bereits 14 Prozent der Unternehmen reine Malware-Analyse-Teams, die sich also vorrangig mit Schadsoftware befassen. Der globale Verband für Informationssicherheit (ISC)² schätzt, dass allein in den Vereinigten Staaten fast eine halbe Million zusätzlicher Cybersecurity-Fachkräfte benötigt werden.

Digitale Angriffe geschehen pausenlos. Viele sind rasch erkennbar, manche aber raffiniert und gut versteckt. „Geschätzt 85 Prozent der Cyberangriffe könnte man mit bekannten Maßnahmen und mit etwas Training der Mitarbeitenden in Organisationen verhindern“, sagt IT-Sicherheitsexpertin Haya Shulman. Sie leitet die Abteilung Cyber Security Analytics and Defences am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. "Die übrigen 10 bis 15 Prozent sind signifikant komplizierter. Häufig stecken politisch gelenkte Hacker dahinter, die mit diesen Operationen viel Geld verdienen." Das sind etwa Hackerkollektive aus Russland und China.

Shulman hat täglich mit Cybersicherheitsfragen zu tun: "Wir analysieren Kommunikations- und IT-Systeme und beobachten ständig, wie Angriffe tatsächlich durchgeführt werden", sagt sie. "Unser Ziel ist, Schwachstellen in existierenden möglichst schnell zu entdecken und dafür zu sorgen, dass die IT immer sicherer wird." Darin ist Shulman so erfolgreich, dass sie in diesem Jahr den 1. Preis beim hoch dotierten Deutschen IT-Sicherheitspreis erhielt. Sie zählt zu den führenden Wissenschaftlern auf diesem Gebiet und erhielt für ihre Forschungen weitere Auszeichnungen.

Haya Shulman leitet die Abteilung Cyber Security Analytics and Defences am Fraunhofer SIT.

Bis zu 15 Prozent der Cyberattacken gehen auf das Konto professioneller Hacker

Cyberattacken gehen bis zu staatlichem Hacking und breit angelegter Industriespionage. So entsteht ein für Außenstehende kaum zu entwirrendes Geflecht, das möglichst effektiv angegangen werden muss. Im Fokus stehen daher gut geschulte Mitarbeiter, vor allem im Bereich IT-Sicherheit, die Angriffe erkennen und Maßnahmen ableiten können – denn die Sicherheit von Daten etwa in der Cloud hat oberste Priorität.

Wie wichtig IT-Sicherheitsexperten sind, zeigt auch die Verwundbarkeit von Regierungs-Institutionen. Informationstechnik und Netze des Bundes wurden bereits mehrfach attackiert. 2018 griff eine Gruppe professioneller Hacker, wohl APT28, von Russland gelenkt, das Datennetz der Bundesverwaltung an. Betroffen waren das Auswärtige Amt und das Verteidigungsministerium. Im Herbst 2020 waren Finanzinstitute des Bundes von Cyberattacken betroffen.

APT steht dabei für „Advanced Persistent Threat“ und signalisiert den Einsatz professioneller Hackergruppen. "Bis zu 15 Prozent der Cyberattacken gehen auf solche Profis zurück", sagt Fraunhofer-Expertin Shulman, für die die Analyse der Angriffe gängiger Alltag ist. Als Leiterin des Cyber Range, eines neuen Trainingszentrums für Cybersicherheit am Fraunhofer SIT schult die IT-Forscherin Unternehmensmitarbeiter darin, wie sie Attacken erkennen und effektiv damit umgehen können.

„Cyberspionage hat viel mit der Infrastruktur eines Landes zu tun“

Da derzeit alles digitalisiert werde, sei auch praktisch alles angreifbar, sagt Shulman. "Autonom fahrende Autos, Smart Cities, Telefonate, Arbeitende im Home Office, kritische Infrastrukturen, Privatpersonen, Politiker – moderne demokratische Gesellschaften sind angreifbar. Cyberangriffe gefährden Menschenleben, Attacken auf das Wasser- oder Stromnetz könnten das Land ins Chaos stürzen."

"Cyberspionage, die von Staaten wie Russland oder China ausgeht, hat viel mit der Infrastruktur eines Landes zu tun", sagt die Expertin. "Cyberkriminelle aus China greifen beispielsweise alle Sektoren an, die relevant sind für den 5-Jahres-Plan, also das Wachstum des Landes." Eine zentrale Rolle spielten politische Wahlen. Kürzlich bestätigte der Generalsekretär der Nato, Jens Stoltenberg gegenüber der WELT, Russland und China tauschten sich nicht nur intensiv über Waffensysteme aus, sondern auch über die Kontrolle des Internets.

Gegen Angriffe hilft nur bestmögliches und aktuelles Wissen zum digitalen Schutz. Shulman weiß aus diversen Studien und dem täglichen Alltag, wie Gruppen und Einzelkriminelle vorgehen, wie sie arbeiten, welche Ziele sie verfolgen. Über Krisensimulationen und sogenannte Penetrationstests beugen Unternehmen dem Ernstfall vor. "Es gibt für jedes Angriffsziel andere Strategien", sagt Shulman. "Regierungsinstitutionen werden anders angegriffen als Versorgungsanbieter, Universitäten, Krankenhäuser – hier gibt es andere Geräte und damit andere IT-Protokolle, die den Systemen zugrunde liegen", sagt Shulman mit Verweis auf kritische Infrastrukturen.

Neben ihren Forschungen trainiert Shulman mit Teilnehmenden praxisnah den Umgang mit Cyberattacken – aus der eigenen Praxis heraus. "Man kann keine Verteidigungsstrategie vermitteln, ohne die Angreifer zu verstehen", sagt sie. Im Trainingszentrum Cyber Range durchlaufen Teilnehmende in Kleingruppen reale Angriffssituationen. So werden Situationen simuliert, in denen etwa Angreifer Daten im Netzwerk verschlüsseln und es für Nutzer unbrauchbar machen, sogenannte Verschlüsselungs-Trojaner.

Die trainierten Angriffssimulationen seien real, so Shulman. "Wir können sie auch an individuelle Anforderungen sowie an den aktuellen Stand der Technik anpassen." Auf Wunsch führt Shulmans Team auch Spezialschulungen zu Themen wie dem Darknet oder IT-Forensik durch. Die Aufgaben sind wie die Bedrohungslage: vielfältig. "Hacking ist ein weltweites Business, das von überall ausgeführt werden kann", so Shulman. "Es wird viel Geld damit verdient."

Damit Deutschland sich noch besser gegen Kriminelle wappnen kann, sind IT-Sicherheits-Consultants und IT-Sicherheits-Analysten gefragt. Berater unterstützen Unternehmen und Organisationen beim Aufbau von Informationssicherheits-Managementsystemen, bewerten vorhandene Sicherheitsstrategien oder schlagen Verbesserungen dafür vor. IT-Security-Analysten evaluieren und prüfen Systeme, etwa die in kritischen Infrastrukturen. Sie analysieren Sicherheitsvorfälle und reagieren darauf, konzipieren aber auch Schulungs- und Sensibilisierungs-Maßnahmen und führen sie durch.

"Die Frage ist nicht mehr, ob man angegriffen wird, sondern wann"

Für Experten wie Cybersecurity-Analysten ist es essenziell, Bedrohungslagen schnell einschätzen zu können. Nur so können sie Lösungen finden, die ökonomisch machbar für Unternehmen und Organisationen sind. Ihr Vorgehen wird auch als Ethical Hacking bezeichnet, ein immer verbreiteteres Vorgehen gegen Cyberkriminalität.

"Die Frage ist nicht mehr, ob man angegriffen wird, sondern wann - daher ist jede Firma mit dem Thema konfrontiert", sagt Andriy Panchenko, Leiter des Lehrstuhls für IT-Sicherheit an der Brandenburgischen Technischen Hochschule (BTU) Cottbus-Senftenberg. "Daher ist jede Firma, Behörde oder Einrichtung früher oder später mit dem Thema IT-Sicherheit konfrontiert." Die BTU bietet seit kurzem ein Masterstudium Cyber Security an.

Neben einem tiefen Verständnis für die Funktionsweise der zugrunde liegenden IT-Systeme verlange die Tätigkeit im Sektor von Fachkräften auch viel Kreativität und die Bereitschaft, sich ständig weiterzubilden, so Panchenko. Die Absolventen sind in Unternehmensberatungen, staatlichen Behörden, bei Betreibern von kritischen Infrastrukturen und bei IT-Unternehmen tätig, die Sicherheitsbewertungen (Penetrationstests) durchführen und vernetzte Informationssysteme einsetzen.

Betroffen sind alle Bereiche, die für das Zusammenspiel von Institutionen und Lebensbereichen wichtig sind. Aktuell etwa die Bundeswehr: Hier waren schon zum Jahresende 2020 insgesamt 1.848 Dienstposten für IT-Fachkräfte im militärischen Organisationsbereich CIR, dem Cyber- und Informationsraum der Bundeswehr, nicht besetzt. Die Bundeswehr rechnet damit, dass in diesem Jahr voraussichtlich rund 1.300 Dienstposten, 2022 rund 1.100 Dienstposten nicht besetzt werden können.

Neben Cybersecurity-Studiengängen an Universitäten und Fachhochschulen vermitteln auch Lern-Plattformen wie Udacity, ein weltweiter Anbieter für Online-Trainings, praxisbezogenes Wissen zum Thema. Udacity gründete dazu die School of Cybersecurity. "Der Anstieg von Remote Work im Zuge der andauernden Covid-19-Pandemie hat zu einem weiteren Anstieg von Sicherheitsverletzungen geführt", sagt Gabe Dalporto, CEO von Udacity. "Das wiederum hat die Nachfrage an Cybersecurity-Fachkräften, von denen es nur wenige gibt, stark erhöht." Ein praxisbezogener Lehrplan soll arbeitsplatzbezogene Kompetenzen im Bereich Cybersicherheit vermitteln.

Die Jobs sind gut bezahlt. In Deutschland landeten Fachkräfte der IT-Sicherheit laut einer aktuellen Gehaltsstudie des Beratungsunternehmens Compensation Partner 2020 auf Platz zwei der Topverdiener mit einem Bruttojahreshalt von durchschnittlich 74.815 Euro.