Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2021“ davon aus, dass die Cyber-Bedrohungslage in hier zu Lande angespannt bis kritisch ist – und der Bericht bezieht sich auf den Zeitraum Juni 2020 bis Mai 2021 (aktuelle Ausgabe). Die Lage dürfte 2022 nicht besser sein – eher im Gegenteil, die Bedrohungen nehmen  – auch in Kritis –  deutlich zu.

 Mängel in der Sicherheit von kritischen Infrastrukturen (Kritis)
Auffällig: Das BSI bemängelt in seinem Bericht unter anderem die Sicherheitslage in den kritischen Infrastrukturen (Kritis) Wasser und Energie. Rund ein Drittel aller Mängel im Kritis-Sektor Wasser sind dem Bereich Information Security Management System (ISMS) zuzuordnen, im Bereich Energie gehen die Experten von einem Viertel aus. Versorgungsunternehmen sind generell aufgefordert, ein ISMS zu nutzen, um beispielsweise Schwachstellentests und Intrusion Protection durchführen zu können. Probleme in diesem Bereich sollten also unbedingt vermieden werden.
 
„Ein wesentliche Schwachstelle liegt auch in den veralteten Systemen für Industrial Control mit Scada-Protokollen“, sagt Sven Auhagen, CEO der Voleatech GmbH. Das Problem: Während früher die Systeme isoliert waren, ergibt sich heute durch die Vernetzung der Anlagen eine veränderte Ausgangssituation. Die Konnektivität kreiert einerseits neue Möglichkeiten, schafft aber auf der anderen Seite auch enorme Herausforderungen.
 

DDoS-Angriffe sind eine Gefahr für Kritis
Dazu zählen DDoS-Angriffe. Dabei werden die Systeme, vereinfacht ausgedrückt, mit Anfragen geflutet, bis sie im schlimmsten Fall kollabieren. Werden die IT-Systeme von Kritis-Anlagen mit solchen Attacken überlastet, drohen letztlich massive Ausfälle in der Infrastruktur und damit in der Versorgung der Bürger. Da die DDoS-Angriffe sich ständig weiterentwickeln und komplexer werden, können die Versorger kaum mithalten und die Anlagen und Geräte sind diesen Attacken letztlich nicht mehr gewachsen.
 
Deswegen bedarf es gezielter Verteidigungsmechanismen. Dazu gehören in vorderster Linie smarte Firewalls, die höchste Verschlüsselungsstandards nutzen und Angriffsmuster erkennen, um möglichst in Echtzeit Abwehrschritte einzuleiten. Sie sind ein zentraler Gatekeeper. Klar ist: Die Beschränkung auf konventionelle IT-Security, um den geforderten „Stand der Technik“ zu erfüllen, dürfte künftig kaum noch ausreichen. „Man sollte die eigenen Security-Systeme ohne Scheuklappen hinterfragen, will man im Kampf gegen die Angreifer gewappnet sein“, so Sven Auhagen.