Regierungen in aller Welt sind besorgt über das wachsende Risiko von Cyberangriffen auf ihre kritischen Infrastrukturen. Kürzlich warnten die Cybersicherheitsbehörden der Länder der "Five Eyes"-Allianz vor einem möglichen Anstieg solcher Angriffe "als Reaktion auf die beispiellosen wirtschaftlichen Kosten, die Russland nach seinem Einmarsch in der Ukraine auferlegt wurden".
In dem Gutachten wird darauf hingewiesen, dass "einige Cybercrime-Gruppen in jüngster Zeit öffentlich ihre Unterstützung für die russische Regierung zugesagt haben". Zugleich wurde mit solchen Cyberoperationen "als Vergeltung für vermeintliche Cyberangriffe gegen die russische Regierung oder das russische Volk" gedroht.
Laut Andy Garth, ESET Government Affairs Lead, sind solche Aktivitäten "ein globales Problem mit staatlichen Akteuren und deren Stellvertretern, wobei einige Staaten bereit sind, sichere Häfen zu bieten, in denen kriminelle Gruppen ungestraft operieren können".
"Im Falle des Ukraine-Konflikts betreiben einige kriminelle Gruppen nun Cyberspionage - angeblich auf Geheiß ihrer russischen 'Gastgeber'. Dennoch ist es mindestens genauso ratsam, sich auf eine Zunahme von Cyber-Sabotage und -Störungen vorzubereiten. Cyberangriffe gehören zum 'Arsenal der Vergeltung' und das Risiko eines Übergreifens steigt", sagt Garth. Es besteht auch ein erhöhtes Risiko von Kollateralschäden, da auf beiden Seiten Selbstjustizgruppen in den Kampf eingreifen.
Ein neuer Ansatz für Cyber-Resilienz
Schon vor der Invasion haben Regierungen auf der ganzen Welt an Strategien für mehr Cybersicherheit gearbeitet, um den ständig zunehmenden Bedrohungen durch staatliche Akteure und kriminelle Gruppen zu begegnen. Doch die neuen Risiken, denen sich die Regierungen seit Februar ausgesetzt sehen, sorgen für eine neue Dringlichkeit beim Aufbau von Cyber-Resilienz.
Am 15. März unterzeichnete US-Präsident Joe Biden das Gesetz zur Stärkung der amerikanischen Cybersicherheit ("Strengthening American Cybersecurity Act of 2022"). Es verpflichtet Unternehmen, die mit kritischen Infrastrukturen zu tun haben, der Agentur für Cybersicherheit und Infrastruktursicherheit ("Cybersecurity and Infrastructure Security Agency", CISA) kritische Cyberangriffe innerhalb von 72 Stunden und alle Zahlungen von Ransomware innerhalb eines Tages zu melden. Die neue Verordnung ist mehr als nur ein Gesetz zur Offenlegung von Informationen und soll für die Wahrnehmung eines Cyberangriffs von einer privaten Unternehmensangelegenheit zu einer öffentlichen Bedrohung sorgen. Diese Gesetzgebung ist Teil eines Trends, der nach dem Angriff auf die Colonial Pipeline im Mai 2021 einsetzte, als Präsident Biden eine neue Rolle für die Cybersicherheit ankündigte und einen regierungsweiten Ansatz zur Begegnung von Cyberbedrohungen forderte.
Zusammen mit den neuen Befugnissen soll das Budget des CISA im nächsten Jahr auf 2,5 Milliarden Dollar erhöht werden, das sind 486 Millionen Dollar mehr als im Jahr 2021. Darüber hinaus sieht Bidens Infrastrukturgesetzentwurf 2 Mrd. USD für die Cybersicherheit vor, von denen 1 Mrd. USD für die Verbesserung der Cybersicherheit und der Widerstandsfähigkeit kritischer Infrastrukturen bereitgestellt werden.
Parallel dazu hat die Europäische Union einen ähnlichen Weg eingeschlagen und mehrere neue Richtlinien und Verordnungen sowie zusätzliche Finanzmittel bereitgestellt. Diese zielen insbesondere darauf ab, die Cyber-Resilienz der EU und die Rolle der EU-Institutionen zu stärken und eine bessere Zusammenarbeit zwischen den Einrichtungen der Mitgliedstaaten zu ermöglichen. Auf operativer Ebene hat die EU als Reaktion auf die russische Invasion zum ersten Mal das "Cyber Rapid Response Team" eingesetzt, um die Ukraine bei der Eindämmung von Cyberbedrohungen zu unterstützen.
Die von der EU vorgeschlagene NIS2-Richtlinie zielt darauf ab, die Sicherheitsanforderungen zu verschärfen, die Sicherheit der Lieferketten zu verbessern und die Meldepflichten zu straffen. Mit der NIS2-Richtlinie wird auch der Anwendungsbereich kritischer Einrichtungen, für die hohe Sicherheitsanforderungen gelten, erheblich ausgeweitet. Sektoren wie das Gesundheitswesen, Forschung und Entwicklung, die verarbeitende Industrie, die Raumfahrt oder die "digitale Infrastruktur", einschließlich Cloud-Computing-Dienste oder öffentliche elektronische Kommunikationsnetze, werden nun strengere Maßnahmen zur Cyber-Resilienz erfordern. In ähnlicher Weise schlägt die EU-Kommission neue Rechtsvorschriften vor, die sich mit dem "Digital Operational Resilience Act" (DORA) auf den Finanzsektor und mit dem Cyber Resilience Act auf IoT-Geräte konzentrieren und nach dem Sommer vorgelegt werden sollen.
Die Notwendigkeit des Austauschs von Erkenntnissen und einer engeren Zusammenarbeit bei der Erkennung von Bedrohungen ist auch das grundlegende Ziel der vorgeschlagenen "Gemeinsamen EU-Cyber-Einheit", die die kritischen Infrastrukturen der EU vor Cyberangriffen schützen soll. Über ihre genaue Rolle und Struktur wird zwar noch entschieden, aber sie soll einen operativen Charakter haben, der einen besseren Austausch von Erkenntnissen über Cybersicherheitsbedrohungen zwischen den Mitgliedstaaten, der Europäischen Kommission, ENISA, CERT-EU und dem Privatsektor gewährleistet.
Die Kommission schlug außerdem neue Verordnungen zur Stärkung von CERT-EU vor und wandelte dessen Struktur in ein "Cybersicherheitszentrum" um, um die Sicherheitsvorkehrungen der EU-Institutionen zu stärken.
Garth weist darauf hin, dass diese Bemühungen eine "Anerkennung der Regierungen (und EU-Institutionen) des Ausmaßes der Herausforderung beim Schutz der digitalen Vermögenswerte der Nationalstaaten gegen wachsende und sich entwickelnde Cyber-Bedrohungen" darstellen. Er unterstreicht die Notwendigkeit eines "gesamtgesellschaftlichen Ansatzes und von Partnerschaften mit dem Privatsektor im Kern", denn "keine Regierung kann diese Bedrohungen allein bewältigen", und verweist auf die Nationale Cyberstrategie 2022 des Vereinigten Königreichs, wo diese Art der Zusammenarbeit in Bereichen wie Bildung, Aufbau von Abwehrfähigkeit, Tests und Reaktion auf Vorfälle zu sehen ist.
Welchen Risiken sind die Regierungen ausgesetzt?
Regierungen haben eine einzigartige Eigenschaft: Sie speichern nicht nur alle Daten, die mit ihrer täglichen Arbeit zu tun haben, sondern auch die Daten ihrer Bürger. Daher sind sie ein äußerst begehrtes Ziel. Diese allgemeine Bedrohung für Staaten hat auf Ebene der Vereinten Nationen dazu geführt, dass man sich auf "gesperrte" Bereiche geeinigt hat, in denen keine Cyberoperationen durchgeführt werden sollten, wie z. B. Gesundheitssysteme. Die Realität sieht jedoch anders aus: Die Großmächte liefern sich einen ständigen Cyber-Wettstreit, und die [unverbindlichen] Vereinbarungen auf UN-Ebene werden ignoriert.
Diese Wettkämpfe spielen sich in einer Art "Grauzone" ab. In der bekämpfen sich die Staaten unter der Prämisse der "plausiblen Bestreitbarkeit" und eines ständigen Katz-und-Maus-Spiels im durch Cyberspionage und Diebstahl von Informationen und Angriffen auf kritische Infrastrukturen. Jüngste Fälle wie der Einsatz der Spionagesoftware Pegasus zeigen, dass Lauschangriffe auch unter befreundeten Staaten durchaus möglich sind. Wie Garth sagt, "gibt es das Schnüffeln schon seit langem ... wie viele Geheimdienstler wahrscheinlich zustimmen werden, kann es nützliche Informationen mit bescheidenem Risiko liefern, solange man nicht erwischt wird."
WEITERFÜHRENDER ARTIKEL: Vorbereitungen angesichts eskalierender Konflikte
Ebenso sind gezielte Ransomware-Angriffe ein wachsendes Problem. Nicht nur, dass versucht wird, die größte Auszahlung zu erreichen, sondern auch, den Wert der gestohlenen Daten auf gut etablierten kriminellen Marktplattformen zu maximieren.
Angriffe auf Lieferketten können nicht nur Regierungsbehörden oder eine bestimmte Einrichtung gefährden, sondern auch kritische Sektoren der Wirtschaft eines Landes. Die weitreichenden Auswirkungen von Angriffen, wie dem auf Kaseya, erschweren es den Regierungen, zu reaktionsfähig zu bleiben und führen zu schwerwiegenden Folgen für Unternehmen und Bürger. Während sich einige Staaten damit begnügen, wahllose Störungen und Schäden anzurichten, starten andere gezielte Angriffe auf bestimmte Industrieeinheiten und Systeme, um Teile der kritischen Infrastruktur eines Landes lahmzulegen.
Die eigentliche Herausforderung besteht darin, alle zur Zusammenarbeit zu bewegen
Regierungen haben es nicht leicht: Sie müssen Altsysteme pflegen, den Fachkräftemangel bekämpfen, das Cyber-Bewusstsein am Arbeitsplatz stärken, eine wachsende Angriffsfläche verwalten, neue Technologien integrieren und ausgeklügelte Angriffe abwehren. Die Vorbereitung braucht Zeit, und es ist notwendig, einen Zero-Trust-Ansatz zu verfolgen und zu verstehen, dass es Angriffe geben wird und dass sie dort, wo sie nicht vermieden werden können, entsprechend (vorbereitet) behandelt werden müssen.
Dies ist bei der oft vielschichtigen Infrastruktur von Regierungsstellen nur schwer zu realisieren. Trotz ihrer Größe ist es oft einfacher, die Systeme zentraler Behörden zu schützen. Bei der immensen Zahl lokaler und dezentraler Behörden wird dies zu einer fast unmöglichen Aufgabe. Trotz allmählich steigender Finanzmittel gibt es zu wenige Fachleute für Cybersicherheit, was die Abwehr der sich ständig entwickelnden Bedrohungen erheblich erschwert.
Die Bürgerinnen und Bürger sind sich zunehmend der Cyberbedrohungen bewusst, oft aufgrund von aufsehenerregenden und häufigen Berichten in den Medien. Um die Aufmerksamkeit auf das Problem zu lenken, ist die Finanzierung von Sensibilisierungsprogrammen - insbesondere für technisch weniger versierte und gefährdete Personen - entscheidend für den Erfolg. Dennoch sind menschliche Fehler nach wie vor der Haupteinstiegspunkt für Cyberkriminelle. Deshalb ist die Nutzung von Entwicklungen im Bereich des maschinellen Lernens und der künstlichen Intelligenz, die in der Regel in Produkten und Diensten wie EDR und Echtzeit-Bedrohungserkennung ("Threat Intelligence") eingesetzt werden, heute unerlässlich.
Ein gemeinsames Problem erfordert gemeinsames Handeln
Synergien zwischen dem öffentlichen und dem privaten Sektor sind eine dringend benötigte Reaktion auf die wachsende Bedrohung durch Cyberangriffe. Die Ukraine-Krise und die bisherige Arbeit zum Schutz kritischer ukrainischer Infrastrukturen sind ein wichtiges Beispiel dafür, was erreicht werden kann.
Parallel dazu schlägt Garth vor, Organisationen wie die UNO, die OECD und Gruppen wie die G7 und die G20 dynamisch einzubeziehen, damit "die internationale Gemeinschaft das Scheinwerferlicht auf staatliche Cyber-Aktivitäten richtet. Diejenigen, die etablierte Normen ignorieren, müssen öffentlich benannt und gegebenenfalls Maßnahmen gegen sie ergriffen werden. Gegen kriminelle Gruppen und ihre Fähigkeit, ihre kriminellen Unternehmungen zu finanzieren, muss vorgegangen werden. Es muss aber auch zusammengearbeitet werden, um die Cyber-Resilienz auf der ganzen Welt zu verbessern, auch in Entwicklungsländern".
Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!
