Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

Zweite Runde der IT-Sicherheitsgesetze

Von Christian Raum · 2021

Die einzige Möglichkeit den Cyberkriminellen entgegenzutreten ist der Schutz der Systeme. Mit dem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ verpflichtet die Regierung Unternehmen zu verstärkten Schutzmaßnahmen. Sie möchte das Bewusstsein für die Sicherheitsprobleme in den Köpfen des Managements verankern und macht Vorschläge für mögliche Lösungen und sichere Komponenten.

Verbildlichung einer Netzwerkkomponente. Thema: IT-Sicherheit
Das Innenministerium erhält Einblick in die genutzten Netzwerkkomponenten. Foto: iStock / putilich

Jede Woche programmieren Cyberkriminelle fast zwei Millionen neue Versionen von Schadprogrammen, deren Gesamtzahl liegt laut Bundesinnenministerium inzwischen bei mehr als einer Milliarde. Und während die Industrie gerade dabei ist mit den 5G-Netzwerken die Digitalisierung in Deutschland auf ein neues Niveau zu heben, strebt die Bundesregierung parallel dazu mit dem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ die dafür notwendige Erhöhung des IT-Sicherheitsniveaus an. Die vier wichtigsten Punkte im Gesetz sind die beabsichtigten Stärkungen des Bundesamts für Sicherheit, des Verbraucherschutzes, die sogenannten „unternehmerischen Vorsorgepflichten“ sowie die staatlichen Schutzfunktionen insbesondere in Telekommunikations-netzwerken. Erstmals werden auch IT-Komponenten ausdrücklich im Gesetz erwähnt. Sogenannte „kritische Komponenten“ müssen dem Ministerium angezeigt werden, das kann den Einsatz bestimmter Produkte und Komponenten prüfen und verbieten. Anscheinend möchte die Regierung mit dieser Bestimmung die Infrastrukturen auch von Komponenten freihalten, deren Hersteller der Spionage oder der Zusammenarbeit mit ausländischen Geheimdiensten oder Militärs verdächtigt werden. Und die mit diesen Komponenten über Hintertüren in die Systeme verfügen, die nicht nur sie selbst nutzen, sondern auch die kriminellen Hacker.

Arrogante und rücksichtslose Gauner

Denen geht es natürlich um Geld. Aber diese Verbrecher möchten offensichtlich auch ihre Macht im Internet beweisen. Sie verhalten sich arrogant und rücksichtslos. Bei Angriffen auf das Gesundheitssystem oder auf Kraftwerke würden sie Tote in Kauf nehmen, warnen die IT-Expert:innen. Umso erschreckender ist die Analyse der Verantwortlichen in den Unternehmen – es gibt für sie praktisch keine Möglichkeit gegen die Kriminellen vorzugehen oder sie auch nur von ihren Systemen fernzuhalten. Am Ende laufe alles auf einen Kampf zwischen der IT-Expertise auf Seiten der Angreifer gegen das Wissen der IT-Expert:innen hinaus, die Unternehmen und Wirtschaft verteidigen. Denn die Organisationen der Cyberkriminellen sind schon lange eine finanzstarke Industrie, die rund um den Globus aktiv ist. Der größte Teil der Geschäfte spielt sich versteckt vor den Augen der Öffentlichkeit ab. Unbestritten ist, dass die Betrüger Jahr für Jahr insbesondere mit Ransomware-Attacken hunderte Millionen einnehmen, die als Bitcoins auf die Konten der Organisationen fließen. Mit diesen erbeuteten Bitcoins verfügen sie über eine eigene Währung, mit der sie eigene Wirtschaftskreisläufe finanzieren können. Offensichtlich, so heißt es bei Sicherheitsexpert:innen, seien die größten Organisationen wie IT-Konzerne strukturiert. Das heißt ihre Prozesse sind arbeitsteilig. Neben den Mitarbeiter:innen, die Attacken strategisch und langfristig vorbereiten und ausführen, gibt es Abteilungen, die für den Schutz und die Tarnung der Cyberattackenfirma zuständig sind. Rechtsabteilungen und Kanzleien kümmern sich um die juristischen Fragen rund um Angriff und Verteidigung, PR-Abteilungen kümmern sich um einen vertrauenswürdigen Anstrich, IT-Expert:innen programmieren die IT-Werkzeuge.

Betrüger wollen Vertrauen schaffen

Diese verbrecherischen Konzerne seien, so erklären es die Insider, sehr um das Vertrauen der erpressten Unternehmen bemüht. Denn das Management der attackierten Unternehmen würde „in fast jedem Fall“ die geforderten Beträge bezahlen – dafür aber erwarten, dass die verschlüsselten Daten auch wieder vollständig freigegeben werden. Anscheinend verfügen die kriminellen Organisationen dehalb auch über einen eigenen Dienstleistungs- und Service-Bereich. Dessen Aufgabe sei es sicherzustellen, dass die Daten nach der Lösegeldzahlung sicher wieder wie vor dem Angriff hergestellt werden. Außerdem gelingt es den Cybergauner auch immer mehr ihre Angriffe publik zu machen und vor der Weltöffentlichkeit zu präsentieren. Mit großen, aufsehenerregenden Angriffen schaffen sie es inzwischen regelmäßig auf die Titelseiten der Zeitungen, in die großen Nachrichtenportale und in die Achtuhrnachrichten. Ein wirklich zerstörerischer Angriff erhält ähnlich viel Aufmerksamkeit wie die neuste Version eines Smartphones oder die neusten Schlagzeilen von Social-Media-Plattformen. Die schlimmsten Fälle schaffen es sogar bis auf das Rednerpult im Parlament. Hier werden sie als Argumente für die Gesetzesverschärfungen etwa des IT-Sicherheitsgesetzes genutzt.

Grafik: Durchschnittliche Kosten von Cyberattacken in Deutschland und weltweit in den Jahren 2019 bis 2021 (in Euro je Ereignis)
Quelle: Hiscox, 2021

Hintertüren verbieten

Von hier aus kritisierte die Opposition die Regierung bei der Debatte um die Verschärfung der IT-Sicherheitsgesetze vor allem bei dem Thema der sogenannten „Backdoors“, also der versteckten Zugänge, die im Auftrag der Geheimdienste und Ermittlungsbehörden in Hardware- und Software-Komponenten hinein programmiert werden. Die Forderung ist, dass diese Hintertüren ausdrücklich verboten sein sollen. Denn Insider sehen die große Stärke der erfolgreichsten Cyberkriminellen in deren Abteilungen für Forschung und Entwicklung. Hier nehmen die Sicherheitsexpert:innen der Banden Geräte und Software auseinander, zerstören die Chips und knacken Sicherheitssysteme und Verschlüsselungen. Ein Ziel der Suche – eben all die geheimen Hintertüren und Algorithmen, mit denen die Sicherheitsbehörden vieler Staaten sich Zugriff auf die Systeme verschaffen. Haben die Infiltratoren diese Geheimcodes geknackt, können sie sich genau wie Ermittlungsbeamte oder Geheimagenten auf den Systemen ihrer Opfer bewegen. Sie verfügen über sämtliche Freiheiten, die Hersteller den Sicherheitsbehörden gewähren und sind für Monitoringsysteme völlig unsichtbar. Im Zuge der Neuformulierung der Sicherheitsgesetze forderten auch deutsche Sicherheitsbehörden und Politiker Hintertüren. Die werden ihnen aber von den Interessensvertretern der Sicherheitsindustrie und der Wirtschaft jedenfalls für Produkte aus Deutschland verwehrt.

Weitere Quelle:
BKA: 10 Jah­re Cy­ber-Abwehr­zentrum

Weiterführende Artikel

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)