Siegen. Sogenannte Kritische Infrastruktur wird immer stärker von Cyberkriminellen bedroht. Wie die Siegener connecT Systemhaus AG „Kritis“ beschützt:

An der IT-Sicherheit wird oft gespart, und damit am falschen Ende. IT hat oft den Ruf, dass sie Geld kostet und nichts bringt, sagen David Hänel und Cedric Noël Fenster, Senior IT Consultant und IT-Projekt- und Prozessmanager bei der „connecT Systemhaus AG“ in Geisweid. Bis es dann zu spät ist und die Folgen eines Cyberangriffs die Kosten einer Investition in digitale Sicherheit um ein Vielfaches übersteigen. In der Zeit von Juni 2021 bis Mai 2022 spitzte sich „die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht. Gerade für Unternehmen ist das Risiko, Opfer einer Cyberattacke zu werden, sehr hoch – im schlimmsten Fall können sie nicht mehr produzieren, Rechnungen nicht bezahlen, Lieferungen das Lager nicht verlassen.

+++Mehr Nachrichten aus Siegen und dem Siegerland finden Sie hier!+++

Unternehmen wie connecT verdienen zwar ihr Geld damit, dass sie Kunden beraten, Systeme schützen. Aber letztlich, so Cedric Noël Fenster, helfen sie allen: Weil alle profitieren. Denn zunehmend sichern sie sogenannte Kritische Infrastruktur (Kritis); verhindern, dass die Bahn nicht mehr fährt, dass kein Wasser mehr fließt. „IT erwirtschaftet durch abgewendeten Schaden Geld“, sagt er. David Hänel sagt: „Die Arbeit mit Kritis-Unternehmen hat deutlich zugenommen und ist brisanter geworden.“ Die Bedeutung sei insgesamt gestiegen.

Was ist „Kritis“ überhaupt?

Organisationen, Einrichtungen, Anlagen und Systeme, die wichtig sind für das Funktionieren und das Wohlergehen der Gesellschaft. Werden sie gestört oder beschädigt, kann das erhebliche negative Auswirkungen auf Bevölkerung, Staat, Wirtschaft haben. Die acht Kernbereiche sind Energie, Wasser, Ernährung, Telekommunikation und Informationstechnik, Gesundheit, Verkehr und Transport, Finanz- und Versicherungswesen sowie Entsorgung von Siedlungsabfällen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik zählt auch Staat und Verwaltung sowie Medien und Kultur dazu. Die Ursprünge liegen in den 2000er Jahren, als überlegt wurde, was in einer Krise, einem Krieg, wichtig für die Bevölkerung ist.

 David Hänel ist Senior IT Consultant bei connecT
David Hänel ist Senior IT Consultant bei connecT © Connect Systemhaus AG

Nicht alles, was irgendwie darunter fällt, ist automatisch kritische Infrastruktur, erklärt Cedric Noël Fenster: Kritis wird klassifiziert durch einen Schwellenwert. Beispiel Lebensmittelproduktion: Verkauft ein Unternehmen eine gewisse Menge Wasser, versorgt es damit eine gewisse Anzahl Menschen. Oberhalb eines Schwellenwerts wird die Firma Kritis-relevant. Das gilt analog beispielsweise auch für Stromanbieter, „nicht für jedes kleine Subunternehmen.“ Bei Krankenhäusern liegt der Schwellenwert zum Beispiel bei mindestens 30.000 stationären Behandlungen pro Jahr. Je größer ein Unternehmen, eine Einrichtung ist, desto mehr Angriffsfläche, weil im Ernstfall mehr Menschen betroffen sind. Kritis grenzt ein: Wer wichtig fürs große Ganze ist, wird beschützt.

Was bedeutet es für Firmen und Einrichtungen, wenn sie Kritis-relevant werden?

Kritis-relevante Einrichtungen müssen sehr umfangreiche Vorgaben in Sachen IT-Sicherheit erfüllen, damit sie nicht ungeschützt dastehen. „Eine riesige Liste“, sagt connecT-Sicherheitsbeauftragter David Hänel, „aber kein Handlungsleitfaden.“ Darin stehe nicht, wie man bei Überschreiten des Schwellenwerts die Richtlinie umsetzt. „Da kommen wir uns Spiel.“ Denn die wenigsten Unternehmen und Einrichtungen haben das Fachwissen, solche Vorgaben verlässlich umsetzen zu können. Denn das ist nötig: Wird das nicht eingehalten, kann es richtig teuer werden. Das BSI prüft das ab. Ein einfaches Beispiel sind Redundanzen – wer auf eine Alternative ausweichen kann, bleibt arbeitsfähig.

Kurz und knapp: connecT

1996 in Weidenau gegründet, inzwischen in Geisweid ansässig.

Mittlerweile 62 Beschäftigte.

Schwerpunkt strategisches IT-Management und IT-Security.

Infos, Kontakt: cnag.de.

Wie gehen die Cyber-Angreifer vor und wer steckt dahinter?

Neben Cyberangriffen kommen auch physische Attacken wie die Sabotage eines Kommunikationsstrangs der Deutschen Bahn am 8. Oktober in Herne und Berlin vor. „Moderne Hacker greifen nicht mehr direkt an“, sagt Cedric Noël Fenster. Vielmehr versuchen sie, ein System zu infiltrieren und zu schädigen, um für ihre Zwecke die Kontrolle darüber zu gewinnen. Ein häufig genutztes Türöffner-Werkzeug ist dabei das sogenannte Social Engineering. Dabei werden Unternehmen, Angestellte ausgespäht, um Informationen zu sammeln, mit deren Hilfe dann Viren eingeschleust werden können – gängige Masche: eine echt wirkende E-Mail, jemand klickt auf den Anhang, der Virus ist drin, oft unbemerkt.

Cedric Noël Fenster, IT-Projekt- und Prozessmanager.
Cedric Noël Fenster, IT-Projekt- und Prozessmanager. © Connect Systemhaus AG

Dahinter können Kriminelle stecken, es kann um politische oder terroristische Ziele gehen, um Machtdemonstration oder eine Art Wettbewerb, wenn besonders knifflige Systeme geknackt werden. Aber letztlich, so Cedric Noël Fenster, gehe es fast immer um Geld. „Wer ein Krankenhaus hackt, will wahrscheinlich Patientendaten verkaufen.“ Dabei muss es sich gar nicht immer um organisierte Banden handeln. Auch im Netz gibt es „Kleinkriminelle“, die auf eigene Faust handeln.

Was können Einrichtungen tun, um sich zu schützen?

Kritis-Einrichtungen können es sich nicht aussuchen, sie müssen die BSI-Vorgaben zur IT-Sicherheit erfüllen – und alle anderen sind gut beraten, ebenfalls in diesem Bereich zu investieren, sagt Sicherheitsberater David Hänel. Denn fast alles ist heutzutage digital. Eine gehackte Supermarkt-Tür ist lästig, ein infiziertes Kassensystem schnell existenzbedrohend. Es beginnt also bei der „Awareness“ aller Beschäftigten: sich bewusst sein, dass man Ziel eines Cyberangriffs werden könnte; Wissen, wie Täter vorgehen; aufmerksam sein. Nicht jeden E-Mail-Anhang öffnen.

E-Mail-Aufkommen eines Unternehmens und connecT-Kunden (Beispiel): 30 Prozent aller E-Mails wurden abgewehrt.
E-Mail-Aufkommen eines Unternehmens und connecT-Kunden (Beispiel): 30 Prozent aller E-Mails wurden abgewehrt. © Connect Systemhaus AG

„Detection and Response“ heißt das Prinzip, Erkennen und Reagieren. Die Verteidigungssysteme hochfahren, um bereit zu sein, wenn ein Angriff kommt und ihn abwehren zu können – und falls die Attacke doch erfolgreich sein sollte, Spuren sichern (IT-Forensik). Denn Täter aufzuspüren ist keineswegs aussichtslos. Hänel vergleicht das mit der Spurensuche nach einem Flugzeugabsturz: Zuerst wird die „Blackbox“ gesichert, der Flugschreiber, der alle relevanten Daten und Parameter aufzeichnet. „Die Geschwindigkeit für sich hat erstmal wenig Aussagekraft. In Verbindung mit der Höhe sieht das aber schon anders aus.“ So ähnlich ist das in der IT auch: Je mehr Informationen die Spezialisten miteinander in Verbindung bringen, desto besser können sie Auffälligkeiten entdecken. „Es gibt Standardmesswerte und es gibt Ausnahmen“, so Fenster. Damit können sie arbeiten.

+++Die Lokalredaktion Siegen ist auch bei Facebook!+++

Es gebe nach wie vor viele Unternehmen, die die Investition in Cybersicherheit scheuen würden, sagt Cedric Noël Fenster. Selbst dann, wenn sie kurz davor sind, Kritis-relevant und damit gezwungen zu werden, aufzurüsten. IT, sagt David Hänel, hat eben damit zu kämpfen, dass man nicht gut sehen kann, was sie alles abfängt und abwehrt. ConnecT zeigt ihren Kunden genau das: Die Zahl der täglichen Schad-E-Mails bei einem Unternehmen ist immens hoch (zu sehen auf dem kleinen Foto). Cedric Noël Fenster findet: „Es ist doch viel cooler zu sehen: Hey, wir werden gerade angegriffen. Aber es läuft weiter und wir wehren das ab.“