Diese Mail habe ich noch schnell aus dem Spam-Ordner gefischt, ehe sie im elektronischen Reißwolf landete. „Betreff: Sichern Sie Ihre Daten besser als die Bundesregierung“. Neben dem Bild einer jubelnden Bundeskanzlerin war die Meldung „Hacker-Angriff auf den Bundestag“ und darunter das Versprechen „Mit NovaStor passiert Ihnen das nicht“. Passend dazu gibt es eine Broschüre mit dem urteilenden Titel „Kein Vorbild: Bundesregierung“.
Mal abgesehen davon, dass hier Bundestag und Bundesregierung in einen Topf gestopft werden, ist die Werbung ganz schön dreist. So ungeschützt, dass schon die Installation eines Standardpakets gleich den ganzen Server-Park des Gesetzgebers vor einem Cyberkrieg bewahren könnte, waren die 20.000 Server ja nun doch nicht. Wenn, wie Bundesinnenminister Thomas de Maizière vermutet, ausländische Geheimdienste am Werk waren, darf man getrost von Meistern ihres Fachs ausgehen.
Es hat ohnehin den Charakter einer asymmetrischen Kriegsführung, wenn im Cyberspace Attacken geritten werden. Die Web-Guerilla zielt nämlich in der Regel auf das schwächste Glied in der Verteidigung – und das ist der Mensch als fahrlässiger User.
Daran wird auch das IT-Sicherheitsgesetz nichts ändern, das letzten Freitag verabschiedet wurde. Danach werden Unternehmen mit „kritischer Infrastruktur“ – also etwa Energieversorger oder Telekommunikationsanbieter – auf ein Mindestniveau an IT-Sicherheit verpflichtet. Darüber hinaus sollen dem Bundesamt für Sicherheit in der Informationstechnik Vorfälle wie Cyberattacken unverzüglich gemeldet werden. Davon dürften künftig rund 2000 Unternehmen, aber auch Behörden betroffen sein. Das ist eine der Konsequenzen aus dem Angriff auf den Bundestag. Hier soll das BSI nun auch das Mindestniveau für die Infrastrukturen festlegen.
Bereits vor zwei Jahren hatte der BITKOM gemeinsam mit dem BDI und anderen Verbänden eine Studie zum Umgang mit der Meldepflicht und den Mindeststandardvorgaben bei der KPMG in Auftrag gegeben. Immerhin wird Jahr für Jahr jedem zehnten Deutschen durch Angriffe aus dem Web Schaden zugefügt. Während einerseits praktisch alle am Wirtschaftsleben Beteiligten inzwischen über einen Internetzugang verfügen, sind nach Schätzungen bei einem Drittel der Unternehmen keine größeren Sicherheitsvorkehrungen getroffen worden. Das Risiko ausgespäht zu werden, ist also erheblich. Ganz ausgeschlossen werden kann diese Gefahr jedoch nie.
Inzwischen scheint festzustehen, dass die seit vier Wochen laufenden Attacken auf die IT-Systeme des Bundestags über E-Mails auf mindestens zwei Rechnern ausgelöst wurden, mit denen Trojaner und weitere Schadsoftware eingeschleust wurden. Damit offenbart sich eine der gefährlichsten Sicherheitslücken überhaupt – neben USB-Ports. Denn Naivität und Neugier sind noch immer die besten Helfer der Net-Angreifer.
Deshalb ist Wachsamkeit das probate Mittel. Es wäre tatsächlich falsch, sich einzig und allein auf die Installation von Schutzmaßnahmen wie Firewalls und Backup-Lösungen zu verlassen. Sie sind notwendig aber nicht hinreichend. Entscheidend sind ebenso Aufklärung und Disziplin der Anwender, die den Hackern mitunter wenn auch nicht willentlich Tür und Tor öffnen. Angriffsziele sind nicht nur Datenbanken, Patente und Geheimberichte. Mehr und mehr werden die im Internet der Dinge aktiven Maschinen Gegenstand der Angriffe sein. Das kann nicht nur die Produktion gefährden, sondern auch die Verbraucher, die mit gefälschten oder verfälschten Produkten konfrontiert werden.
Es ist anzunehmen, dass sich die Einstufung als „kritische Infrastruktur“ schnell auch auf andere Unternehmen und Organisationen anwenden lassen wird – Arzneimittelhersteller und Nahrungsmittelproduzenten, Chemieunternehmen oder Medizintechniker beispielsweise könnten früher oder später in diesen Kreis aufgenommen werden. Dann wird mehr gefordert sein, als ein Security-Bundle aus dem Softwareladen. Das zu behaupten ist – wie gesagt – ganz schön dreist.
