Kritische Infrastruktur: Die aktuellen Herausforderungen der Betreiber durch Corona und Krieg

Die Digitalisierung aller Bereiche unseres Lebens bringt viele Vorteile. Sie birgt aber auch Risiken, denn Sie bietet Hackern und Cyberkriminellen lukrative Ziele für Attacken. Erst die Covid-19 Pandemie und nun der russische Angriffskrieg führen uns vor Augen, wie wichtig das Funktionieren der kritischen Infrastruktur ist – und wie abhängig wir davon sind. In diesem Blogbeitrag zeigen wir Ihnen kurz, was zur kritischen Infrastruktur gehört, vor welchen neuen Herausforderungen in der (digitalen) Gefahrenabwehr die Betreiber stehen und wie wir alle einen kleinen Beitrag zum Schutz der kritischen Infrastruktur leisten können.

Was ist kritische Infrastruktur?

Als kritische Infrastruktur (Kritis) bezeichnet man Organisationen und Einrichtungen, die für unser Zusammenleben und das Funktionieren des staatlichen Gemeinwesens eine sehr hohe Bedeutung haben. Sie sind die Lebensadern unserer modernen Gesellschaft.

Welche Unternehmen oder Sektoren gehören zur kritischen Infrastruktur?

2009 wurden für die Bundesrepublik Deutschland 9 Sektoren definiert, die zur kritischen Infrastruktur zählen. Diese sind:

  1. Energie
  2. Gesundheit
  3. Informationstechnik und Telekommunikation
  4. Transport und Verkehr
  5. Medien und Kultur
  6. Wasser
  7. Finanz- und Versicherungswesen
  8. Ernährung
  9. Staat und Verwaltung

Dabei spielt es keine Rolle, ob Unternehmen in diesen Sektoren in staatlicher Hand sind, oder privatwirtschaftlich betrieben werden. Auch die Größe der jeweiligen Unternehmen (Umsatz, Anzahl der Mitarbeiter etc.) spielt keine Rolle.

Warum ist der Schutz von kritischer Infrastruktur so wichtig?

Ob Cyberangriffe auf Atomkraftwerke, auf Einrichtungen im Gesundheitswesen oder auf staatliche Behörden: Viel Phantasie ist nicht notwendig um zu erkennen, welche Gefahren ein erfolgreicher Angriff mit sich bringen könnte. Auch die Folgen eines plötzlichen und länger anhaltenden Stromausfalls z.B. im Straßenverkehr oder im Gesundheitswesen wären mit Sicherheit verehrend.

Leider sind Cyber-Angriffe auf viele Bereiche der kritischen Infrastruktur längst Realität. Da diese Ziele zunehmend in den Fokus von Kriminellen (z.B. Erpressern), Terroristen oder auch anderen Staaten rücken, wird zuverlässiger Schutz vor digitalen Angriffen immer wichtiger. Denn ein erfolgreicher Angriff hätte dramatische Folgen.

Kritische Infrastruktur und warum deren Schutz so wichtig ist
Stromausfälle, Versorgungsengpässe, Störungen der öffentlichen Sicherheit: Für einige Menschen könnte ein Ausfall der kritischen Infrastruktur auch tödlich enden. Die kritische Infrastruktur muss deshalb sehr gut geschützt werden: physisch, aber auch digital.

Vor welchen Herausforderungen und Gefahren stehen Betreiber von kritischer Infrastruktur?

Die Liste der möglichen Gefahren und Herausforderungen, vor denen kritische Infrastruktur geschützt werden muss, ist lang. Cyberangriffe durch Kriminelle oder Terroristen, Viren und Schadprogramme sind hier nur ein Teil der Bedrohung. Auch Naturgefahren und Naturkatastrophen wie Stürme, Starkregen, Hochwasser, Erdbeben, Tsunamis etc. müssen berücksichtigt werden. Hinzu kommen Pannen und Unfälle, basierend auf menschlichem Versagen. Auch der Mangel an gut ausgebildetem Personal (vor allem IT-Fachpersonal) ist für einige Betreiber ein großes Problem. Leider sind mit der Covid-19 Pandemie und dem russischen Angriffskrieg auf die Ukraine aktuell noch zwei weitere Herausforderungen für Betreiber von kritischer Infrastruktur hinzugekommen.

1. Russlands Angriffskrieg: Cyberkrieg als neue reale Gefahr

Auch der Cyberkrieg hat seit dem russischen Überfall auf die Ukraine zugenommen. Zwar richten sich die Angriffe aktuell hauptsächlich gegen die Ukraine, aber auch die Gefahr von staatlichen Cyberattacken gegen die kritische Infrastruktur anderer, die Ukraine unterstützender Staaten, sehen Experten als erhöht. So hatte ein russischer Hackerangriff auf das Satellitennetzwerk KA-SAT eine europaweite Störung zahlreicher Windkraftanlagen zur Folge. Auch wenn dieser Cyberangriff vermutlich in erster Linie den Kommandostrukturen des ukrainischen Militärs gegolten hat, der Kollateralschaden war in Russland sicherlich willkommen.

Cyber-Angriffe auf Meinungen, Fakten und die Wahrheit

Auf einem anderen Sektor, der gemäß Definition auch zur kritischen Infrastruktur gezählt wird, sind die Cyber- und Troll-Attacken seit vielen Jahren voll im Gange. Betroffen sind Medien, Kultur und Betreiber von Informationstechnologie, was die aktuelle Fülle von abstrusen Verschwörungsbehauptungen, Querdenker-Fantasien und Fake-News im Netz und hier vor allem auf Social Media eindeutig zeigen. Sie alle haben das Ziel, das Vertrauen der eigenen Bevölkerung in die demokratischen Institutionen des eigenen Landes zu untergraben. Im Falle von Brexit 2016, der US-Wahl 2016 und der Wahl in Frankreich 2022 konnte man auch sehen (bzw. beinahe sehen), was die Ergebnisse von permanenten Angriffen auf Fakten und Wahrheit für weitreichende Folgen haben können. Um unsere kritische Infrastruktur vor Fake-News und Lügen zu schützen sind wir letztendlich alle gefragt, denn wir alle können dabei helfen, Unwahrheiten (online und offline) einzudämmen, zumindest ein kleines bisschen.

2. Covid-19-Pandemie: Neue Angriffsoptionen für Cyberkriminelle, Terroristen und Co.

Die Kontaktbeschränkungen und Lockdowns der Jahre 2020 und 2021 stellten viele Betreiber von kritischer Infrastruktur vor enorme Herausforderungen, führte die Pandemie ja dazu, dass viele Mitarbeiter und Mitarbeiterinnen Ihre Tätigkeit aus dem Homeoffice erledigen mussten. Und hier liegt ein wichtiger Gefahrenpunkt: Fernzugriffe auf kritische Infrastruktur über die (meist weniger gut geschützte) offene Leitung im Homeoffice ist logischerweise deutlich Anfälliger für Hackerangriffe, wie die Steuerung direkt vor Ort. Nicht alle Arbeitnehmer hatten privat aus dem Homeoffice bereits einen genügend hohen Sicherheitsstandard. Vieles musste nachgebessert werden.

Sicherheitslücken in Videokonferenz-Lösungen

Auch Meetings, die verstärkt in Form von digitalen Telefon- und Videokonferenzen – z.B. über Zoom oder Microsoft Teams – abgehalten werden mussten, waren, zumindest in der Anfangsphase von Corona, nicht sicher vor Hackern. Vor allem von Zoom sind aus dieser Zeit zahlreiche Sicherheitspannen bekannt. Dies haben wir Ihnen in dieser Gegenüberstellung von Zoom und Teams ja bereits vorgestellt:

Zoom oder Teams: Welche Software für Videokonferenz-Lösungen hat die Nase vorne?

Zunahme von Social Engineering während Corona

Auch Social Engineering – Angriffe, die nicht die IT-Infrastruktur sondern Menschen als Schwachstelle identifizieren und ausnutzen – haben während der Pandemie zugenommen. So war das Verschicken von Covid-19 relevanten Dokumenten (mit manipulierten Anhängen oder schädliche Links) während der Pandemie verstärkt zu beobachten. Kriminelle nutzten die Unsicherheit vieler Nutzer und konnten darauf vertrauen, dass viele auf die manipulierten Informationen hereinfallen würden.

Dabei müsste man im Falle von Social Engineering gar kein IT-Experte, ausgestattet mit einem High-End IT-Sicherheitssystem sein, um sich vor dieser Art von Angriffen zu schützen. Hier genügt das Einhalten einfacher Sicherheitsregeln und das Einsetzen einfachster Sicherheits-Tools, wie wir sie Ihnen in diesen Blogbeiträgen beschrieben und vorgestellt haben:

Schutz der kritischen Infrastruktur: Wir alle können etwas dazu beitragen

Zwar ist der technische und digitale Schutz der kritischen Infrastruktur in erster Line Aufgabe von Staat und den jeweiligen Betreibern, aber wie in den beiden letzten aktuellen Herausforderungen gezeigt, können wir alle einen kleinen Teil zu diesem Schutz beitragen. Denn jeden Virus, jeden Trojaner und jede Malware die wir nicht (versehentlich) weiterverbreiten sowie jede Unwahrheit, jede Falschmeldung und jede Verschwörungstheorie, der wir widersprechen anstatt sie weiter zu verbreiten, dient letztendlich dem Schutz unserer gesamten Infrastruktur. Und schützen wir alle zusammen unsere gemeinsame Infrastruktur, schützen wir damit auch die kritische Infrastruktur – zumindest ein kleines bisschen.