Im Gespräch mit it.sa

it.sa bezeichnet sich selbst als „Home of IT Security“. Die it-sa Expo&Congress in Nürnberg vernetzt IT-Sicherheitsanbieter und IT-Sicherheitsverantwortliche persönlich. Online bringt die Dialogplattform it-sa 365 sie auch zwischen den Messeterminen unter dem Motto „Solutions – Networking – Knowledge“ zusammen. Wir durften ein Interview zum Thema “Wie sicher sind kritische Infrastrukturen in Deutschland?” geben.

Wer ist wir?

Wir sind in diesem Falle Manuel Bohé, Gründer und Geschäftsführer von Concepture und Holger Berens, Vorstandsvorsitzender des Verbandes zum Schutz kritischer Infrastrukturen (BSKI) und gleichzeitig Managing Partner bei Concepture. Interviewt werden die beiden von Nina Bundels von it.sa 365.

Bedrohungen aus dem Cyberraum und Bedrohungslage

Wie sicher sind die kritischen Infrastrukturen in Deutschland (KRITIS)? Mehr oder minder eine Steilvorlage für Holger Berens, der zuerst die verschiedenen Sektoren der KRITIS aufzeigt und damit klar macht, dass es eine einfache Antwort auf diese Frage nicht zu geben scheint. Der zweite Punkt ist das für KRITIS verpflichtende BSI-Gesetz. In diesem sind Schwellenwerte eingebaut, nach welchen die Unternehmen die gesetzlich vorgeschriebenen Maßnahmen ergreifen müssen. Aber eben auch darunter gebe es viele kleinere Versorgungsunternehmen, die eben diese Schwellenwerte nicht erfüllen, aber dennoch wesentlich für die Versorgung seien. Das Ergebnis, gerade bei einem Angriff auf diese kleineren Versorger, sei im Endeffekt das Gleiche – ein Versorgungsproblem mit kritischer Dienstleistung für die Bevölkerung.

IT-Sicherheitsgesetz 2.0

Auf die Frage, wie die Unternehmen zum neuen IT-Sicherheitsgesetz 2.0 stehen, gibt Manuel Bohé zuerst zu bedenken, dass es aufgrund der Neuheit des Gesetzes aktuell noch eine Übergangsfrist gäbe, Unternehmen also noch Zeit hätten, die Anforderungen sukzessive umzusetzen. Er sieht aber einen zentralen Punkt, nämlich die Angriffserkennung (intrusion detection), als einen sehr sinnvollen und auch für die Unternehmen mit Mehrwert behafteten Baustein an. Holger Berens ergänzt dazu, dass es heute keine Frage mehr sei ob ein Unternehmen angegriffen werde, sondern wann es dieses bemerken würde. Dabei können diese Instrumente helfen. Er appelliert aber ebenso dafür, diese Maßnahmen für alle Unternehmen verpflichtend zu machen – auch für kleine und mittelständische Unternehmen (KMU). Manuel Bohé pflichtet ihm zwar grundsätzlich bei, appelliert aber als Unternehmer zuerst an die Eigenverantwortung der Unternehmen, auch wenn es in der Vergangenheit mit der Freiwilligkeit nicht immer gut funktioniert habe. Dies sei alles nicht so kompliziert, es werde nur das kleine einmaleins der Sicherheit nicht gelebt und die KMU werden mit Fachbegriffen und der Masse an Maßnahmen erschlagen. 

Aktuelle Bedrohungslage im Hinblick auf den Krieg in der Ukraine

Holger Berens sieht die Bedrohungslage hier nicht großartig verändert. Denn sie sei bereits vorher auf hohem Niveau vorhanden gewesen. Auch er definiert an dieser Stelle erneut die verschiedenen Tätertypen und Motivation der Angreifer – wie wir es bereits in einem unserer Beiträge getan haben. Durch den Krieg sei, gerade bei der Gruppe der ethisch motivierten Hacker (bspw. “Anonymous”), die Gefahr gestiegen, das gut gemeinte Aktionen am Ende reale Eskalation hervorrufen könnten. Er sieht das größte Problem nach wie vor bei der organisierten Kriminalität. Hier werde noch immer der meiste Schaden verursacht – und das mit hoher Angriffsdichte. Manuel Bohé wirft ein, dass nach den Angriffen der Vergangenheit einiges passiert sei. Gerade weil Deutschland in der Vergangenheit gerade bei Angriffen auf staatliche Einrichtungen nicht geglänzt habe. Außerdem seien beispielsweise die Ransomware Angriffe immer dreister und vielschichtiger geworden. Die Situation sei aktuell schwer einzuschätzen und mit viel Panikmache und Hypothesen aufgeladen. Holger Berens rät deshalb dazu, keine Panik zu verbreiten – Manuel Bohé wirft ein, dass ein wenig Panik in der Vergangenheit auch dazu beigetragen habe, dass sich etwas bewegt habe. 

Risikoanalyse – ein Musterbeispiel tragischer Aktualität

Das Grundspiel der Risikoanalyse “Eintrittswahrscheinlichkeit und Schadensausmaß” sei bekannt, erinnert Holger Berens. Allerdings habe der Krieg in der Ukraine gezeigt, dass Szenarien, welche vor einigen Monaten noch völlig unvorstellbar gewesen seien, also mit sehr niedriger Eintrittswahrscheinlichkeit, plötzlich vor unserer Haustüre Realität geworden seien. Das habe auch ihn überrascht. Das Schadensausmaß sei immens, die KRITIS müssten jetzt darauf reagieren, immerhin sei das Bewusstsein dafür inzwischen vorhanden. 

Komplettes Interview 

Wenn Sie das komplette Interview von Holger Berens und Manuel Bohé anschauen möchten, können Sie dies auf der Webseite von it.sa 365 (nach kostenloser Registrierung) tun. Wir bedanken uns bei it.sa für die Möglichkeit des Interviews. 

Titelbild: Copyright: Michael Schindler, wirdenkenlokal GmbH