Log4j war bis vor wenigen Monaten wohl nur IT-Profis ein Begriff, seit Dezember ist das anders. Eine Schwachstelle in der Protokollierungsbibliothek für Java-Anwendungen wurde zum Einfallstor für Cyberkriminelle. Schnell kursierten Listen mit Sicherheitswarnungen für Produkte von über 140 Herstellern. Nur wenige Monate zuvor hatte ein Massenangriff Hunderte Firmen betroffen, als Hacker über eine Schwachstelle des IT-Dienstleisters Kaseya Schadsoftware bei Kunden ausspielten. Die Fälle zeigen, wie professionell Cyberattacken inzwischen ablaufen. In einer Bitkom-Befragung ordnete jedes zweite von einem Angriff betroffene Unternehmen die Täter der organisierten Kriminalität zu. Und auch bei deren Herkunft gibt es klare Vorstellungen: 43% verorteten den Ursprung von Diebstahl, Indus­triespionage oder Sabotage in China, 36% in Russland (Mehrfachnennungen waren möglich). Wilhelm Dolle, Head of Cyber Security bei KPMG, hält von derlei Zuordnungen allerdings nicht viel: „Angriffe lassen sich sehr gut verschleiern. Wer nur schaut, von welchen Servern ein Angriff kam, hat dadurch nicht unbedingt den Urheber gefunden.“

Die Angst vor einem „Cyberwar“ ist derzeit groß. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte im August in einem Update zur Cybersicherheitslage nach dem russischen Angriff auf die Ukraine „eine erhöhte Bedrohungslage für Deutschland“ fest und riet dazu, IT-Sicherheitsmaßnahmen „zu überprüfen und der gegebenen Bedrohungslage anzupassen“. Seit Beginn des Angriffs sei es in Deutschland „zu einzelnen, in diesem Zusammenhang stehenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten“. Es könnten aber „grundsätzlich alle Anlagen der kritischen Infrastruktur“ potenzielle Angriffsziele sein.

Dennoch haben sich die schlimmsten Befürchtungen bislang nicht bestätigt. Peter Vahrenhorst vom Cybercrime-Kompetenzzentrum des Landeskriminalamts NRW wurde Mitte Oktober mit der Aussage zitiert, es gebe wie auch in der Vergangenheit einzelne „Störmanöver“, ein Cyberkrieg finde aber nicht statt. Vera Demary, Leiterin des Clusters Digitalisierung und Klimawandel beim Institut der deutschen Wirtschaft in Köln, sieht es nicht ganz so eindeutig. „Es kann auch einfach sein, dass die erhöhte Aufmerksamkeit dazu geführt hat, dass Attacken nicht erfolgreich waren“, sagt sie. Demary wünscht sich eine breitere öffentliche Diskussion über Cybercrime, auch in der Politik. Cybersicherheit sei mit anderen Sicherheitsfragen eng vernetzt. „Man war in der Vergangenheit gegenüber Russland zu naiv, da findet nun ein Umdenken statt“, sagt sie. Jüngstes Beispiel ist die Diskussion um den inzwischen als BSI-Präsident freigestellten Arne Schönbohm. Ihm wurde Nähe zu einem Unternehmen unterstellt, dem wiederum Kontakte mit russischen Geheimdiensten nachgesagt werden. Zunehmende Skepsis gibt es auch bei der Zusammenarbeit mit China. „Nehmen wir nur die aktuelle Debatte darüber, wie man in der EU mit dem Ausbau der 5G-Infrastruktur umgeht“, sagt Demary. „Möchte man da mit chinesischen Unternehmen arbeiten? Diese Diskussion wird aus meiner Sicht zu Recht geführt.“

Michael von der Horst, Managing Director Cyber Security Germany bei Cisco, sieht keinen Grund zur Entwarnung bei politisch gesteuerten Attacken. „In der Ukraine gibt es Tausende Attacken jeden Tag“, sagt er. Und in Deutschland? „Man wird es nicht schaffen, jede Attacke einem Angreifer konkret zuzuordnen.“ Der Ressourceneinsatz für Spionage, Sabotage oder Infiltration könne dreistellige Millionenbeträge erreichen. „Es ist nicht auszuschließen, dass vielleicht irgendwo eine Attacke bereits angelegt ist und unerkannt schlummert – bis irgendwer den Auslöser drückt“, sagt er. Vermeiden lasse sich das nicht. „Es bleibt nur, sich mit den Möglichkeiten, die man hat, bestmöglich abzusichern.“

In deuschen Unternehmen sind Datendiebstahl, abgehörte Kommunikation oder Sabotage allgegenwärtig. 84% der Teilnehmer sagten in einer Umfrage von Bitkom Research aus diesem Jahr, in den vorangegangenen zwölf Monaten selbst betroffen gewesen zu sein, weitere 9% vermuten dies. Die verursachten Schäden summieren sich laut Bitkom auf mehr als 200 Mrd. Euro. Besonders Unternehmen der kritischen Infrastruktur (Kritis) geraten ins Visier. In den Nicht-Kritis-Sektoren sahen zuletzt 37% der Teilnehmer eine starke Zunahme von Cyberattacken, im Kritis-Bereich waren es sogar 49%. Das Analyseunternehmen Konbriefing, das öffentlich dokumentierte Angriffe zusammenträgt, zählt für die ersten neun Monate des laufenden Jahres 56 Attacken auf öffentliche Verwaltungen und Betreiber der kritischen Infrastruktur, im Vorjahreszeitraum waren es nur 24. Die Angreifer kommen oft auf ähnlichen Wegen zum Ziel: „In 90% der Fälle gelingen Cyberattacken über einen Schadcode, den sich ein Mitarbeiter eingefangen hat, oder über nicht gepatchte Schwachstellen in Software“, sagt Wilhelm Dolle von KPMG. Die Gegenmaßnahmen scheinen simpel: Mitarbeiter kann man schulen, gegen Schwachstellen helfen Updates. Doch ganz so einfach ist es in der Praxis nicht.

Über Absicherungsmöglichkeiten diskutiert die Branche in diesen Tagen auch auf der IT-Sicherheitsmesse IT-SA in Nürnberg. Gerade intelligente und vernetzte Produkte und Steuereinheiten, bekannt als Betriebstechnologie oder Operational Technology (OT), bieten oft Einfallstüren. OT kommt in Produktionsanlagen zum Einsatz, in der Energie- und Wasserversorgung oder in medizinischer Technik. Gelingt dort ein Angriff, birgt das nicht nur geschäftliche Risiken. Schlimmstenfalls werden ausgefallene Systeme zum Sicherheitsrisiko. Dennoch gibt es laut Dolle gravierende Schutz­lücken: „Die Sicherheit von Betriebstechnologie hinkt der IT-Sicherheit bestimmt zehn Jahre hinterher.“

Der Rückstand lässt sich auch nicht so einfach aufholen. Denn Anlagen und Geräte haben mitunter eine Laufzeit von 20, 30 oder 40 Jahren. „In Unternehmen kommt zum Teil noch Betriebstechnologie zum Einsatz, die Ende der neunziger Jahre entwickelt wurde“, berichtet Cisco-Experte von der Horst. Diese Systeme wurden dann an eine vernetzte Kommunikationsumgebung angedockt, für die sie ursprünglich gar nicht entwickelt wurden. Die Technologie über Updates möglichst aktuell zu halten und bekannte Schwachstellen durch nachträgliche Korrekturen, sogenannte Patches, auszubessern, birgt im OT-Bereich Probleme. „Wenn man ein Update oder Patch aufspielt, erlischt bei manchen Geräten die Herstellergarantie“, erklärt Dolle. Will ein Krankenhaus die Software eines Röntgengeräts aktualisieren, könnte es sein, dass der Hersteller als Folge den Betrieb nicht mehr garantiert. Um das zu vermeiden, werde oft auf das Update verzichtet.

Im OT-Bereich gibt es häufig hochkomplexe Betriebskonzepte. Mitunter lässt sich nur schwer sagen, welche unfreiwilligen Veränderungen ein Update einer Einzelkomponente an anderer Stelle auslösen könnte. Entsprechend scheuen Verantwortliche dort Veränderungen. Um die Schwachstelle zu minimieren, rät von der Horst bei anfälligen älteren Systemen zur Segmentierung: „Man sollte Strukturen bauen, in denen diese Geräte abgetrennt und damit bei Angriffen in Quarantäne geschickt werden können, um sie einzukapseln und die weiteren Systeme zu schützen.“ Das passiere noch zu selten. Außerdem sollten Unternehmen auf Anomalien achten. Würden etwa Daten plötzlich ohne erkennbaren Grund aus dem Ausland abgerufen, sei dies ein Alarmzeichen.

Die gute Nachricht: Bei der neueren Generation Betriebstechnologie sind Software-Updates innerhalb der gewählten Struktur leichter möglich, das Thema Absicherung wurde von Beginn an mitgedacht. „Da hat sich in den vergangenen Jahren vieles weiterentwickelt“, sagt von der Horst. Die aktuellen Einfallstore sind damit aber nicht geschlossen. An vielen Stellen werden die älteren Systeme noch jahrelang im Einsatz sein.

Von Sabine Reifenberger, Frankfurt