ISX 2022: Interview mit Keynote-Speaker Manuel Atug Aware sind alle, aber KRITIS braucht mehr

Von M.A. Dirk Srocke

Anbieter zum Thema

Awareness allein genügt nicht – sagt Sicherheitsexperte Manuel Atug und fordert eine weitreichendere Transformation. Thematisch spannt er dabei den Bogen von Bildungslücken der Informationsgesellschaft bis hin zu einer bislang unzureichend differenzierten Betrachtung kritischer Infrastrukturen.

Manuel Atug ist sich sicher: In Deutschland hapert es nicht an der Security Awareness, aber es fehlt an der Transformation, diese Sicherheit umzusetzen und dauerhaft zu leben.
Manuel Atug ist sich sicher: In Deutschland hapert es nicht an der Security Awareness, aber es fehlt an der Transformation, diese Sicherheit umzusetzen und dauerhaft zu leben.
(Bild: UnderTheSea - stock.adobe.com )

Man kennt Manuel Atug als geladenen Sachverständigen in Bundestagsauschüssen oder @HonkHase im sozialen Netz. Wir durften mit dem Diplom-Informatiker und Master in Applied IT Security allgemein über aktuelle Sicherheitsdefizite und ganz konkret über die Zukunft kritischer Infrastrukturen sprechen.

Security-Insider: Wie ernsthaft kann man mit einem @HonkHasen über Kritische Infrastrukturen diskutieren?

Manuel Atug: Der Name wurde mir ja verpasst und ich bin einfach daran klebengeblieben; aber ich betone immer: Es geht weniger darum, wie jemand aussieht, wie jemand heißt oder welche Nationalität jemand hat: Es geht um die Inhalte. Und wenn die Inhalte nachvollziehbar, begründbar und logisch sind, kann man darüber reden. Und genau das tue ich. Insofern diskutieren mit mir auch sehr gerne Politikerinnen oder auch zum Beispiel der Inspekteur Kommando Cyber- und Informationsraum persönlich.

Security-Insider: Umso schöner, dass Sie auch mit uns sprechen und zurück zu unserem Schwerpunkt: Woran hapert es derzeit in Deutschland bei den kritischen Infrastrukturen?

Atug: Also an der Security Awareness an sich hapert es nicht – die ist überall da und aware sind alle. Aber es fehlt an der Transformation, diese Sicherheit umzusetzen und dauerhaft zu leben. Sicherheit ist eben kein Produkt, das ich einmalig kaufe. Sicherheit ist ein Prozess der dauerhaft gelebt werden muss. Und das muss man mit verschiedenen Anreizen oder Verständnissen realisieren.

Security-Insider: Und wie erreicht man dieses Ziel nun ganz praktisch?

Atug: Da muss man bei den Defiziten ansetzen. Ganz allgemein vermitteln wir im deutschen Bildungssystem kein IT-Security- oder IT-Verständnis für die breite Masse. Wir leben in einer Informationsgesellschaft, bilden aber Fabrikarbeiterinnen aus, die nicht digital souverän agieren können. Genau diese Menschen arbeiten dann eben in den KMU oder Konzernen oder sind Politikerinnen oder Entscheiderinnen.

Und mit Blick auf kritische Infrastrukturen im speziellen hapert es an der Regulierung; wenn die nicht ausreicht, sparen Organisationen eben oftmals zuerst an der Sicherheit. Anders als Einsparungen bei der Produktion wirkt sie sich nicht unmittelbar auf Kennzahlen aus. Letztendlich wird aber jeder irgendwann kompromittiert und dann stellt sich nur noch die Frage, ob und wie schnell man es bemerkt.

Security-Insider: Damit sprechen Sie zwei Aspekte an. Bildung, die man vielleicht langfristiger denken muss und Regulierung, mit der man wohl schon etwas schneller Dinge bewirken kann. Woran genau denken Sie?

Atug: Ein digitales Grundverständnis kann man Menschen sicher auch noch während der Ausbildung nahebringen; andererseits ist das Basiswissen, wie Mathe oder Deutsch. Das sollten Unternehmen von ihren Auszubildenden erwarten dürfen.

Bei der Regulierung kann man IT-Sicherheit auch aktiv fördern, statt immer nur Strafen anzudrohen. Man könnte ja sagen: Wer ein Informationssicherheitsmanagementsystem mit Business Continuity Management umsetzt, der darf Aufwände der dafür etablierten Prozesse steuerlich absetzen.

Speziell auf KRITIS bezogen könnte man die aktuell in der BSI-Kritisverordnung definierten Schwellenwerte überdenken. Denen zufolge zählt man eben nur dann als kritische Infrastruktur, wenn man mehr als 500.000 Menschen versorgt; unterhalb dieser Schwelle ist alles egal. Wie wenig sinnvoll so ein Schwarz-Weiß-Denken ist, zeigt sich am Beispiel der über 5.000 Wasserwerke in Deutschland. Von denen gilt nur ein Prozent als KRITIS und muss eine entsprechende IT-Sicherheit gewährleisten. Das heißt: Die Versorgung von Städten der Größe von Paderborn, Bonn oder Augsburg könnte durch einen Cyberangriff komplett zusammenbrechen und die Gesetzgebung interessiert das nicht.

Security-Insider: Aber es gibt ja noch die vom ITSiG 2.0 vorgesehenen „Unternehmen im besonderen öffentlichen Interesse“ (UBI)...

Atug: Das ist nur ein verkümmerter und durch Lobbyismus verwässerter Ansatz. Die UBI sind nichts Ganzes und nichts Halbes: Man soll zwar ein IT-Sicherheitskonzept haben und umsetzen. Das wird aber auch nicht kontrolliert und ist auch kaum zielführend ohne ISMS und BCM.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Übrigens ist hierunter auch die Rüstungsindustrie abgedeckt. Die halte ich allerdings für so kritisch in Deutschland, dass man sie aus nationaler Sicherheitssicht adressieren sollte und nicht mit einem „IT-Sicherheitskonzept“. Wir reden von Waffenherstellern, und die sollen weniger Anforderungen haben als jemand der Wasser produziert oder Strom?

Anzusprechen ist auch die Störfallverordnung; die darin beschriebenen chemischen Anlagen müssen ebenfalls nur ein IT-Sicherheitskonzept erstellen. Aber warum definieren wir nicht den KRITIS-Sektor Chemie, wie das beispielsweise die USA vormachen? Schließlich sieht das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe die Chemie ganz klar als kritische Infrastruktur – aber in der Gesetzgebung haben wir jetzt weichgespülte UBI.

Security-Insider: Wie sollte man es nun besser machen, um den Abstufungen zwischen Extremen gerecht zu werden?

Atug: Die Chemie sollte man zunächst einmal ganz klar als KRITIS-Sektor definieren. Die Rüstungsindustrie könnte man über das Wehrgesetzbuch adressieren oder über die Nationale Sicherheitsstrategie. Schließlich können Cyberangreifer diese Unternehmen lahmlegen oder sogar Waffensysteminformationen ausspionieren.

Security-Insider: Und wie stufen wir für weniger kritische Unternehmen nach unten ab?

Atug: Aktuell haben wir ja zehn kritische Infrastruktur-Sektoren. Hier könnte man zu jedem Sektor oder sogar in den einzelnen Branchen analysieren, wie Anbieter regional verteilt sind und wieviele Menschen sie versorgen. Und dann gehen wir eben hin und ziehen den Schnitt an einer Stelle, wo wir die größten alle abholen und die kleinen unten drunter lassen. Dann haben wir pro Branche einen spezifischen Schwellenwert, der wirklich an der Realität ausgerichtet ist. Aber das sollte man dann ordentlich pro Branche evaluieren und auch nachvollziehbar dokumentieren.

Das wäre dann ein wissenschaftlicher und methodischer Ansatz ohne Lobbyanteil.

Security-Insider: Und was ist mit dezentralen Energieanlagen, wie vernetzten Ladestationen, Solar-Panels oder Energiespeichern? Zum Hintergrund meiner Frage: Auf dem diesjährigen IT-Sicherheitskongress wurde diskutiert, wie ein koordinierter Angriff auf Tausende solcher – isoliert betrachtet – unkritischen Systeme die gesamte Energie-Infrastruktur in eine Schieflage bringen könnte.

Atug: Stand heute halte ich das für relativ unwahrscheinlich. Es gibt unterschiedliche Hersteller, nicht alle Systeme sind im Netz frei erreichbar und nicht alle haben dieselbe Sicherheitslücke, die man dann einfach mal von außen missbrauchen könnte.

Auch Motivationen, Ziele und Ressourcen von Angreifern sprechen aktuell noch gegen solch ein Szenario: Wirkliche Cyberangriffe von Terroristen haben wir bislang nicht gesehen. Die schnallen sich in der traurigen Realität leider eher eine Bombe um den Bauch oder fliegen in Hochhäuser. Ransomware-Gruppierungen sind auf schnelles Geld aus und zielen eher auf zentrale Produktionssysteme oder Abrechnungskomponenten. Auch staatliche Akteure müssten unverhältnismäßig viele Ressourcen in derlei Angriffe stecken, die dann womöglich doch missglücken und zu Kollateralschäden führen.

Solch ein Angriff in einem anderen Land kann überdies als kriegerische Handlung gewertet werden, wenn dadurch beispielsweise tatsächlich ein lang anhaltender Stromausfall bewirkt wird und dadurch Tote entstehen. Schlimmstenfalls könnte dann auch der im NATO-Artikel 5 definierte Bündnisfall provoziert werden.

Security-Insider: Skizzieren Sie doch einmal so einen Fall!

Atug: Betrachten wir doch das konkrete Beispiel des KA-Sat-Falls. Hier sind die Angreifer über einen VPN-Zugang in die Bodenstation virtuell eingedrungen, haben das Terminal-Management-System manipuliert und circa 30.000 Satelliten-Modems lahmgelegt. Laut EU stand Russland hinter der Attacke. Ziel war es, die Kommunikation ukrainischer Militär- und Polizeibehörden zu stören.

Nebenbei sind damit aber auch 5.800 Windkraftsysteme in Deutschland offline gegangen; die produzierten zwar zunächst im Automatic Safety Mode weiter; die Modems mussten dennoch aufwändig getauscht oder aktualisiert werden. Hierzulande ebenfalls betroffen waren darüber hinaus einige so genannte Einsatzleitwagen 2 (ELW2) vom Katastrophenschutz. Als mobile Leitzentrale wäre das Fahrzeug im Katastrophenfall nur bedingt einsatzfähig gewesen.

Security-Insider: Ganz provokativ gefragt: Wie knapp sind wir damit schon an Toten oder einem V-Fall vorbeigeschrammt?

An der Stelle nicht wirklich knapp, das ist noch weit weg von irgendwelchen Toten und NATO-Vorfällen. So wie alle anderen Szenarien bisher auch. Sogar der Verfassungsschutz warnt einerseits zwar vor DDoS-Angriffen der russischen Gruppe Killnet, erwartet zugleich aber keine lang anhaltenden Ausfälle oder Auswirkungen. Es gab seit dem einzigen echten cyber-physischen Vorfall Stuxnet in 2010 keine weiteren ernsthaften Szenarien; alle anderen Fälle waren halt nicht katastrophal.

Security-Insider: Also geben Sie letztlich doch Entwarnung in Sachen Cyberangriffe?

Atug: Zumindest heute ist die Wahrscheinlichkeit eines lang anhaltenden und nachhaltigen Ausfalls sehr gering. Aber das ist kein Garant für die Zukunft.

Weil wir in kritischen Infrastrukturen einen langen und kontinuierlichen Wandel haben, können wir Systeme hier aber nicht mal eben von heute auf morgen updaten. Darum müssen wir uns jetzt schon Gedanken machen. Was wir heute in kritische Infrastrukturen bauen, soll auch in 20, 30, 40 Jahren noch sicher laufen können.

Statt Panik ist jetzt also Absicherung der Infrastrukturen für eine gesteigerte Cyberresilienz angesagt, um uns für die Zukunft zu wappnen – sonst sieht es übel aus.

Security-Insider: Herr Atug, vielen Dank für Ihre Zeit und das spannende Gespräch!

Zur Person:

Manual Atug ist Head Head of Business Development bei der HiSolutions AG, @HonkHase bei Twitter und wurde vom Bundestagsausschuss für für Inneres und Heimat zum ITSiG 2.0 angehört.
Manual Atug ist Head Head of Business Development bei der HiSolutions AG, @HonkHase bei Twitter und wurde vom Bundestagsausschuss für für Inneres und Heimat zum ITSiG 2.0 angehört.
(Bild: HiSolutions AG )

Manuel Atug ist seit über 23 Jahren in der IT-Sicherheit tätig und verfügt über langjährige Erfahrung in technischer IT-Sicherheit und Auditierung, insbesondere in kritischen Infrastrukturen. Weitere Spezialthemen sind digitaler Katastrophenschutz, Hackback und Ethik.

Atug studierte Diplom-Informatik, hat einen Master in Applied IT Security und ist Ingenieur. Beim Beratungshaus HiSolutions AG fungiert er als Head of Business Development, im Netz ist er als @HonkHase aktiv.

Auf der ISX2022 IT-Security Conference präsentiert Manuel Atug am 6. Juli in Garching & Digital die Keynote „Cyber-Lage in Deutschland – werden KMU und KRITIS weggecybert?“. Jetzt noch schnell anmelden um dabei sein zu können!

► Mehr Infos zur ISX 2022 IT-Security Conference

 

 

(ID:48454842)