Gastbeitrag 14.11.2019, 09:00 Uhr

Staaten müssen sich schützen

Cyberkriegsführung ist zu einer echten und realen Gefahr geworden. Regierungen müssen Cyberangriffe gegen das eigene Land verhindern und abwehren können. Es gilt, nationale Interessen und die Bürger in Echtzeit proaktiv zu schützen.
Cyberangriffe werden zur realen Gefahr für Länder. Gefragt sind neue Strategien und eine schlagkräftige Cyberabwehr
(Quelle: Shutterstock/Michael Traitov )
Als einer der ersten Staaten wurde Estland im Frühling 2007 Opfer einer massiven und gezielten Cyberattacke. Ein riesiger «Distributed Denial of Service»-Angriff (DDoS) legte Regierungs- und andere wichtige Websites sowie Systeme wie die Bankeninfrastruktur lahm. Die Attacke zwang das Land, sich vom Internet abzukoppeln. Dienste und Services mussten wiederhergestellt werden. Seitdem haben gross angelegte Angriffe auf nationale Einrichtungen zugenommen, die darauf abzielen, kritische Infrastrukturen zu schädigen und Länder zu destabilisieren. Nehmen wir etwa den berüchtigten Stuxnet-Wurm, der im Juni 2010 entdeckt wurde, auf eine Infrastruktur im Iran abzielte und mit ziemlicher Sicherheit von einem Staat gefördert wurde. Anderes Beispiel: Die USA und das Vereinigte Königreich gaben im April 2018 eine gemeinsame Erklärung zu bösartigen Cyberaktivitäten heraus, die angeblich von der russischen Regierung initiiert wurden.

Von störend bis tödlich

Es gibt viele potenzielle Folgen grosser, auf Nationen ausgerichteter Cyberangriffe, die von störend bis tödlich reichen. Was wäre, wenn die Strom- oder Wasserversorgung einer Stadt unterbrochen würde, auch nur für 36 Stunden? Unsere Gesellschaft würde nicht mehr funktionieren. Menschen, vor allem in Spitälern, könnten sterben.
Ein gross angelegter Angriff auf das Bankensystem könnte die Finanzmärkte weltweit lahmlegen und Unternehmen – sogar ganze Volkswirtschaften – zu Fall bringen. Über Angriffe, die Transportsysteme wie etwa die Flugsicherung im Visier haben, und deren Auswirkungen, möchte man gar nicht erst nachdenken. Die Cyberkriegsführung eines Staates gegen einen anderen ist zu einer echten und realen Gefahr geworden. Daher stellt sich die Frage: Was können nationale Regierungen tun, um ihre Bürger und Infrastrukturen zu schützen?

Gefahr für die physische Sicherheit

Es ist wichtig, sich daran zu erinnern, dass Cyberrisiken für Staaten nicht nur von anderen Nationen ausgehen. Cybercrime-Organisationen, Terroristen, Hacktivisten und andere nützen ausgeklügelte Tools und verwenden staatlich geförderte Cyberwaffen, die in die Öffentlichkeit gelangt sind. Das war etwa der Fall beim globalen WannaCry-Ransomware-Angriff (und beim nachfolgenden mit Not-Petya), der 2017 für Schlagzeilen sorgte. Kein Wunder, dass der Global Risks Report 2018 des WEF Cyberangriffe sowohl in Bezug auf ihre Wahrscheinlichkeit als auch auf ihre Wirkung als «hoch» einschätzte. Die meisten Staaten haben ihre Aufmerksamkeit bereits verlagert: Von der Einschätzung von Cyberbedrohungen als «nur» kritisch bezüglich Finanz- oder Datenverlusten hin zu einer echten Gefahr für die physische Sicherheit des Landes und der Bürger. Daher verfolgen die meisten Regierungen heute einen dreiteiligen Ansatz für die Cyberabwehr:
  1. Nationen bauen Cyberarmeen auf. Speziell geschaffene Ausschüsse und Verwaltungen konzentrieren sich darauf, die jeweils besten Strategien, Gesetzgebungen und Vorgehensweisen im Umgang mit Cyberbedrohungen zu untersuchen und aufzustellen.
  2. Regierungen konzentrieren sich auf Bildungs- und Sensibilisierungsprogramme. Auf diese Weise versuchen sie zugleich, den weltweiten Mangel an Fachkräften im Bereich der Cybersicherheit zu beheben, der auf rund 3,5 Millionen Personen geschätzt wird.
  3. Viele gründen im Minimum ein ziviles, nationales Computer Emergency Response Team (CERT), um Cyberbedrohungen und -angriffe zu bekämpfen. Länder trennen in der Regel ihren militärischen Cyberschutz von ihrer zivilen Sicherung. Für diese können sie ein einziges zentralisiertes CERT oder verschiedene Teams haben, die sich auf einen bestimmten Sektor fokussieren. Wie es der Name schon sagt, sind CERTs jedoch per Definition eher reaktiv als proaktiv. Sie ergreifen Massnahmen in der Regel erst, nachdem ein grösseres Cyberereignis bereits begonnen oder stattgefunden hat.

Schneller Angriff, langsame Reaktion

Einige CERTs bewegen sich mittlerweile in Richtung proaktiver Fähigkeiten – sie sammeln Erkenntnisse und versuchen, über neu auftretende Risiken oder vorhergesagte Angriffe zu informieren. Die Wirksamkeit dieser Massnahmen ist jedoch begrenzt, da der gesamte Zyklus von Erkennung, Analyse, Veröffentlichung und Implementierung Wochen statt Sekunden oder Minuten dauern kann.
Jedenfalls fehlt der Mehrheit der Response-Teams die rechtliche sowie technische Fähigkeit, ihre nationalen Interessen in Echtzeit oder zumindest nahezu in Echtzeit proaktiv zu schützen. Und genau hier müssen Änderungen stattfinden: Auch wenn ein CERT heute Stunden vor einem Megaangriff informiert wird, hat es keine Mittel, um den Angriff proaktiv zu blockieren und grosse Industrien, Versorgungsunternehmen, Spitäler, Flughäfen und andere kritische Einrichtungen zu verteidigen.
“Wir brauchen eine proaktive Cyber Homeland Security„
Sonja Meindl

Proaktive Cyber Homeland Security

Betrachten wir ein Sicherheitsmodell, wie wir es kennen. Neben dem Schutz der Landesgrenzen kennen Staaten Verteidigungsanlagen für die innere Sicherheit, zum Beispiel Instrumente wie den Radar, um den Himmel auf drohende Raketenangriffe hin abzusuchen. Dies ermöglicht es, feindliche Aktionen zu analysieren und wichtige Entscheidungen zum Schutz der Bürgerinnen und Bürger zu treffen.
Ein ähnlicher Ansatz sollte für die landesweite Cyberabwehr verfolgt werden. Nötig sind sowohl der Perimeterals auch der interne Schutz, um sich vor einer Reihe von Bedrohungen zu schützen – von gross angelegten DDoS-Attacken bis hin zu getarnter, aggressiver Malware. Die wichtigsten Zugangspunkte zu den kritischen Infrastrukturen des Landes sollten alle prophylaktisch überwacht werden, wobei Bedrohungsinformationen in ein Operationszentrum eingespeist werden, um proaktiv die richtige Reaktion auf eingehende Bedrohungen zu identifizieren, zu analysieren und zu bestimmen. Dies sollte mit einer Threat Prevention in Echtzeit kombiniert werden, um neue, evasive Malware-Bedrohungen einzufangen, bevor sie sich in grossem Massstab ausbreiten können.

Sofortige Reaktionen

Diese übergreifende Ebene der Bedrohungsanalyse sollte wie ein «Schirm» über den eigenen Cyberabwehrsystemen von Organisationen sowie den Informationen von Nachrichtendiensten gespannt sein, um die allgemeine landesweite Cyberresilienz sicherzustellen. Diese Schutzmassnahmen müssen so weit als möglich automatisiert aktiv werden, um eine sofortige Reaktion bei minimalem Bedarf an menschlichem Eingreifen zu gewährleisten. Auf diese Weise wird man der Geschwindigkeit gerecht, mit der sich die heutigen Bedrohungen ausbreiten. Der Schutz sollte durch Echtzeitinformationen und Situationsbewusstsein gesteuert werden, um sicherzustellen, dass eine Nation auch vor neuen, noch nie da gewesenen Bedrohungen sicher ist.

Fazit

Das Internet hat jeden Aspekt der Gesellschaft revolutioniert – einschliesslich der internationalen Diplomatie und der Kriegsführung. Um sich gegen neue Generationen von Bedrohungen zu wehren, ist der einzig gültige Ansatz ein ganzheitlicher für die nationale Cyberabwehr, der die frühesten Anzeichen von Angriffen erkennen und automatisch eindämmen kann – bevor sie zu weitreichenden Störungen führen können.
Die Autorin
Sonja Meindl
Check Point
Sonja Meindl verantwortet als Country Manager von Check Point die Geschäfte in der Schweiz und in Österreich. www.checkpoint.com


Das könnte Sie auch interessieren