IT-Sicherheit: "Cyberangriffe sind der neuzeitliche Kokainhandel"
Von Clara Peterlik
Mitte Mai hat die Hackergruppe "BlackCat" die Kärntner Landesverwaltung angegriffen. Tagelang hat vieles nicht funktioniert, Anträge konnten nicht gestellt werden, Auszahlungen verzögerten sich, im Netz tauchten gestohlene Daten auf. Vor zwei Monaten meldete das Außenministerium einen Cyberangriff, nachdem ein E-Mail mit Schadsoftware bereits vor zwei Jahren wochenlang für Chaos gesorgt hatte. Und vergangene Woche war die medizinische Universität Innsbruck dran: ein "Ransomware"-Angriff (der Fachausdruck für die Verschlüsselung von Daten in erpresserischer Absicht) – zu Redaktionsschluss war noch unklar, ob dabei Patientendaten gestohlen wurden. Das klingt beunruhigend – und führt zu einer Frage: Wie gut ist Österreichs kritische Infrastruktur vor Cyberattacken geschützt? Ulrich Kallausch hat Antworten. Er war 30 Jahre im Bankgeschäft tätig, ehe er in die Sicherheitsbranche wechselte. Seit vier Jahren berät er Kunden in Fragen der IT-Sicherheit bei Certitude Consulting in Wien und wird zu Außeneinsätzen gerufen, wenn Unternehmen von Hackern verschlüsselt wurden.
profil: Herr Kallausch, wie gut ist die kritische Infrastruktur in Österreich vor Cyberangriffen geschützt?
Kallausch: Die klassische öffentliche Verwaltung ist am schlechtesten geschützt. Das sind Ämter, die sind am digitalen Prozess beteiligt. Aber das Geld für Cybersicherheit muss extra mittels Budgets des Bundes oder der Länder zur Verfügung gestellt werden. Wir können durch die Digitalisierung viel Geld sparen, aber vergessen, dass es auch etwas kostet.
profil: Und wie interessant ist die öffentliche Verwaltung für Hacker?
Kallausch: Kärnten ist eine international bekannte Urlaubsdestination, aber steht nicht im Mittelpunkt der Welt. Doch auch wenn Kärnten eine relativ kleine Organisation ist, hängt genügend dran, wo es interessant wird. Hacker können über den gemeinsamen IT-Infrastrukturprovider zu landesnahen Gesellschaften weiterkommen, die dann möglicherweise Aktiengesellschaften sind und dadurch viel leichter erpressbar sind.
Für Hacker gibt es keinen Unterschied zwischen öffentlicher und privatwirtschaftlicher Struktur.
profil: Aber sprechen wir da von gezielten Angriffen auf öffentliche Einrichtungen?
Kallausch: Sind sie ein klassisches Ziel? Nein. Sind sie mitunter ein Angriffsziel? Ja. Es kann einen gezielten Angriff geben, weil es Teil der taktischen Kriegsführung ist. Aber sehr oft passieren Angriffe, weil Schwachstellen im Darknet gehandelt werden. Gezielt oder ungezielt, die Wahrscheinlichkeit eines Angriffs liegt bei 100 Prozent. Da braucht es einen großen Wurf.
profil: Wie soll dieser große Wurf aussehen?
Kallausch: In Österreich gibt es das Computer Emergency Response Team, kurz CERT. Das sind sehr tolle Leute, die beraten und publizieren, aber sie haben nicht das Mandat, zu helfen. Es bedarf nicht nur einer staatlichen Know-how-Stelle, sondern wirklich eines staatlichen Abwehrmechanismus oder einer Gesetzgebung, die alle zwingt, Schritte zu unternehmen. Die Europäische Zentralbank ist etwa vor zehn Jahren hergegangen und hat eindeutige Sicherheitsvorkehrungen gefordert, die dann durchgepeitscht wurden. Es gibt jetzt regelmäßige Überprüfungen und im Fall des Falles auch Strafen.
profil: Aber es gibt derzeit schon gesetzliche Grundlagen für Cybersicherheit in der öffentlichen Verwaltung? Etwa die Richtlinie zur Netzwerk- und Informationssicherheit, kurz NIS, für die kritische Infrastruktur.
Kallausch: Die NIS-Richtlinie gibt einiges vor, aber wird das überprüft? I don't know. Für Hacker gibt es keinen Unterschied zwischen öffentlicher und privatwirtschaftlicher Struktur. Warum sollte ich dann in der Verwaltung nur die NIS erfüllen und nicht weiterdenken, wenn es im privatwirtschaftlichen Umfeld sehr wohl gefordert wird? Wenn ich das in der Privatwirtschaft nicht tue, habe ich ein Problem mit der Sorgfaltspflicht, mit der Versicherung, mit der Datenschutzbehörde.
profil: Vor einem Monat wurde eine Neuauflage dieser NIS-Richtlinie beschlossen, NIS 2. Kommt das dem großen Wurf nahe, den sie fordern?
Kallausch: Zum Teil. Das Problem ist, dass die Implementierung von NIS 2 noch mindestens zwei Jahre dauert. Wieso machen wir das nicht schneller? Man muss sich auf das ultimative Worst-Case-Szenario einstellen und es durchproben – nicht hoffen, dass nichts passiert. Das Schlimmste ist, wenn die Verantwortlichen sagen, ihre EDV sei gut aufgestellt. Dann weiß ich, die sind 30 Jahre hinten.
profil: Was wäre denn der ultimative Worst Case?
Kallausch: Wir sprechen gerade viel über das Abdrehen von Gas. Wenn die Durchleitungslogistik, wie es in der Ukraine passiert ist, blockiert und verschlüsselt wird, wenn Stadtwerke und damit die Verteilung angegriffen werden. Da kann sich jeder ausrechnen, wie lange es dauert, bis Panik entsteht. Die großen Energieversorger, wie der Verbund, sind gut gerüstet, aber bei den Kleinen ist das die Frage.
profil: Und wenn es zu einem Angriff kommt, wie kann die öffentliche Hand reagieren?
Kallausch: Es kommt üblicherweise zu Verhandlungen: Ein Teil der gestohlenen Daten ist meist unkritisch – datenschutzrechtlich nicht, aber man kann diese Daten wiederherstellen. Bei einem anderen Teil kann man sich vorstellen, zu verhandeln. Aber die geringsten Kosten sind die Lösegeldkosten, die großen Kosten sind die IT-Aufbaukosten.
profil: Doch kann sich die Verwaltung überhaupt freikaufen? Die "Blackcat"-Hacker sollen von Kärnten immerhin fünf Millionen Dollar in Bitcoins verlangt haben.
Kallausch: Es ist klar: Man wird nichts zahlen, das Budget dafür gibt es nicht. Doch die Frage ist, was man in Kauf nimmt. Beim Angriff auf eine Kommunalverwaltung in Sachsen-Anhalt ist zum Beispiel viele Monate alles stillgestanden. Wenn Sozialhilfeempfänger viele Wochen kein Geld bekommen, würden-zumindest in Frankreich – die Leute auf die Straße gehen.
Beim Angriff auf eine Kommunalverwaltung in Sachsen-Anhalt ist zum Beispiel viele Monate alles stillgestanden. Wenn Sozialhilfeempfänger viele Wochen kein Geld bekommen, würden – zumindest in Frankreich – die Leute auf die Straße gehen.
profil: Wenn die Wahrscheinlichkeit, dass man gehackt wird, bei 100 Prozent ist, wie Sie sagen, wie groß ist das Bewusstsein dafür?
Kallausch: Meistens gilt: Je niedriger das Bewusstsein, desto weniger wird geschult. Banken und Versicherungen sind im Vergleich sehr gut vorbereitet. Wir schulen etwa Softwareentwickler von Banken und Versicherungen auf sicheres Programmieren und sicheres Coding. Aber die meisten Organisationen in anderen Segmenten haben nicht einmal einen Überblick über ihre IT-Infrastruktur, über interne und zugekaufte Software-Applikationen et cetera. Auch wenn Berater in Studien schreiben, dass das Bewusstsein gestiegen ist, kann ich das nicht bestätigen. Es wird mehr darüber gesprochen, aber es wird ähnlich wenig getan, weil wir dann wieder beim Geld sind.
profil: Wie schaut es mit dem Personal aus? Gibt es genügend IT-Experten dafür?
Kallausch: Große staatsnahe Aktiengesellschaften, etwa österreichische börsennotierte Energieversorger oder Logistiker, haben eigene gute IT-Sicherheitsleute. Es ist sehr schwierig, sie vom Markt zu heuern, da braucht es eine Organisation, die für diese Leute attraktiv ist. Das Problem ist: Die Leute, die echt gut sind, haben drei Angebote am Tisch.
profil: Und in der klassischen Verwaltung?
Kallausch: Es ist oft so, dass es da schlicht kein Geld gibt. Die öffentliche Verwaltung ist Teil eines globalen digitalisierten Konzertes. In Wahrheit kann sie aber nicht mitspielen, was die IT-Sicherheit anbelangt, weil es sehr schwierig ist, die Mittel bereitzustellen. Das Problem ist: Alles, was ich auf der Angebotsseite verfügbar mache, muss ich auch sichern können. Wenn ich das nicht kann, dann ist es vielleicht besser, wenn ich Dienstleistungen nicht digital anbiete. Ich bin kein Fan vom allumfassenden digitalen Angebot, weil es so viel mehr Möglichkeiten gibt einzudringen.
Ja, es ist wie Wasser. Wenn Wasser eintritt, findet es einen Weg. Vieles wurde noch nicht angegriffen, weil es noch keine Zeit dazu gab. Cyberangriffe sind der neuzeitliche Kokainhandel, da ist sehr viel Geld dahinter. Und erpressen kann ich letztlich jeden.
profil: Heißt das in Folge: Weniger E-Government, weniger E-Health-Leistungen für mehr Sicherheit?
Kallausch: Es gibt in Österreich 70.000 niedergelassene Ärzte. Diese Ärzte kommunizieren über die Krankenkassen, mit den Patienten, mit den Krankenhäusern. Der ganze Ablauf – Diagnose, Rezepterwerb, Weiterverweisung, Einweisung in ein Krankenhaus, Vereinbarung eines Operationstermins – läuft über zwei bis drei größere Softwareapplikationen. Ich will nicht Panik machen, aber Fakt ist, dass das selbstverständlich hackbar ist.
profil: Und liegt der Gesundheitsbereich im Fokus von Hackern?
Kallausch: Möglicherweise geht es gar nicht so sehr um das Geld, das man erpressen will, sondern dass man Verwirrung oder Panik erzeugen will. Können Krankenhäuser stehen? Selbstverständlich, sie sind auch schon gestanden. In Düsseldorf sind 2021 sieben große Server des Klinikums attackiert worden. Operationen mussten verschoben werden, manchmal ist das tödlich.
profil: Wie ist die Lage in anderen europäischen Ländern? Welches Land sehen Sie als Vorbild?
Kallausch: In Österreich wird zwar nicht nichts getan, aber der Wurf in Deutschland ist viel größer. Und ganz anders ist es in der Schweiz. Hier gibt es ein IT-Sicherheitskonzept seit 2004. Seit 18 Jahren. Die Cyberabwehr ist dezidiert Teil der Landesverteidigung. Dort gibt es auch eine Organisation, die zur Cyberresponse kommt. Aber sie zieht sich zurück, wenn die Unternehmen selbst genug Ressourcen haben. Ich hätte mir nach dem Angriff auf eine Kommunalverwaltung in Sachsen-Anhalt erwartet, dass es in Österreich eine politische Diskussion zum Thema Cybersicherheit gibt. Das ist aber nicht passiert.
profil: Inwieweit hat sich die Situation seit Beginn des Krieges verändert? Hat die Zahl der Angriffe zugenommen oder sich verändert?
Kallausch: Direkt oder indirekt ist es mittlerweile eine Form der Kriegsführung. Private Strukturen haben sich seit Kriegsbeginn mit staatlichen Strukturen vermischt. Die Qualität der Angriffe hat sich gesteigert. Jedes große Unternehmen verzeichnet Phishing-Angriffe, die haben viele gut im Griff. Was nicht im Griff ist, sind gezielte Ransomware-Angriffe. Viele Organisationen haben tausend Löcher und wissen nicht einmal, wann wer kommt. Warum ist man noch nicht drangekommen? Weil noch keine Zeit dazu da war.
profil: Aber die Zeit wird kommen?
Kallausch: Ja, es ist wie Wasser. Wenn Wasser eintritt, findet es einen Weg. Vieles wurde noch nicht angegriffen, weil es noch keine Zeit dazu gab. Cyberangriffe sind der neuzeitliche Kokainhandel, da ist sehr viel Geld dahinter. Und erpressen kann ich letztlich jeden.
Ulrich Kallausch, 61
30 Jahre lang arbeitete Ulrich Kallausch als Investmentbanker und war unter anderem für die Creditanstalt, die GRAWE-Gruppe und die Semper Constantia Privatbank tätig. In den letzten Jahren hat er sich hauptsächlich mit Risikomanagement – vor allem IT-Sicherheit – beschäftigt. Vor vier Jahren wechselte er ganz vom Bank-ins Cybersicherheitsgeschäft. Er ist nun geschäftsführender Gesellschafter beim Beratungsunternehmen Certitude Consulting in Wien.
