„Security-Krisen sind wie Erdbeben“ – Greenbone-CEO Jan-Oliver Wagner auf dem PITS-Kongress 2024

„Unterstützung zur Krisenfrüherkennung“ lautete das Thema eines hochkarätig besetzten Panels am zweiten Tag des diesjährigen PITS-Kongresses. Mit Greenbone-CEO Jan-Oliver Wagner diskutierten Experten vom Bundeskriminalamt, der Bundeswehr, dem Verband Kommunaler IT-Dienstleister VITAKO und des Bundesamts für Sicherheit in der Informationstechnik.

Auch in diesem Jahr organisierte der Behörden Spiegel wieder seine beliebte Konferenz zur Public IT Security (PITS). Im renommierten Hotel Adlon in Berlin trafen sich dazu hunderte Security-Experten an zwei Tagen zu Foren, Vorträgen und einer Ausstellung von IT-Security-Firmen. 2024 stand das Event unter dem Motto „Security Performance Management“ – und da war es nur naheliegend, dass auch Greenbone als führender Anbieter von Schwachstellenmanagement geladen war (wie schon 2023), beispielsweise im Panel zur Krisenfrüherkennung, das der Greenbone-Vorstand Dr. Jan-Oliver Wagner mit einem Impulsvortag eröffnete.

Jan-Oliver Wagner erklärte seine Sicht auf die strategische Krisenerkennung, sprach von den typischen „Erdbeben“ und den beiden wichtigsten Komponenten: Erstens, das Wissen, wo Schwachstellen sind, und zweitens Technologien bereitzustellen, um diese zu beseitigen.

Über lange Jahre hat Greenbone eben diese Expertise aufgebaut, die Firma stellt sie auch in Open Source der Allgemeinheit zur Verfügung und arbeitet dazu stets mit den wichtigen Playern auf dem Markt zusammen. Von Anfang an waren die Kontakte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) da: „Das BSI hatte das Thema Schwachstellenmanagement schon auf dem Radar, als IT-Security sich noch auf Firewall und Antivirus beschränkte“, lobt Wagner das BSI, die zentrale Behörde für IT-Sicherheit des deutschen Staates.

Heute sei die Bedeutung zweier Faktoren klar: „Jede Organisation muss wissen, wie und wo sie angreifbar sie ist, die eigenen Reaktionsfähigkeiten kennen und fortlaufend an deren Verbesserung arbeiten. Cyberbedrohungen sind wie Erdbeben. Die können wir nicht verhindern, sondern nur uns darauf vorbereiten und bestmöglich darauf reagieren.“

„Krise ist meist da, bevor die Tagesschau berichtet“

Aus den ständigen Cyberbedrohung wird nach Jan-Oliver Wagners Definition eine „Krise“, wenn eine Bedrohung beispielsweise „auf eine Gesellschaft, Wirtschaft oder Nation trifft, wo viele Organisationen viele Schwachstellen haben und eine geringe Fähigkeit, schnell zu reagieren. Die Geschwindigkeit ist da sehr wichtig. Man muss schneller sein, als der Angriff passiert.“ Auch die anderen Teilnehmer des Panels thematisierten das und nutzten dafür den Begriff „Vor die Welle kommen“.

Oft sei die Krise eben schon da, lange bevor sie in der Tagesschau Erwähnung findet. Einzelne Organisationen müssen sich schützen und sich vorbereiten, damit sie mit täglicher Routine in die Lage kommen, auch auf unbekannte Situationen reagieren zu können. „Eine Cybernation unterstützt Organisationen und die Nation, indem sie Mittel zur Verfügung stellt, diesen Zustand zu erreichen“, so Jan-Oliver Wagner.

Unterschiede zwischen Militär und Kommunen

Die Sicht der Bundeswehr erklärte Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum: Ihm zufolge ist eine Krise dann gegeben, wenn die Maßnahmen und Möglichkeiten zu reagieren nicht mehr ausreichen. „Dann entwickelt sich etwas zu einer Krise.“

Aus Sicht der Kommunen jedoch ergibt sich ein anderes Bild, wusste Katrin Giebel, die Geschäftsstellenleiterin der VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, zu berichten. „80 Prozent der Verwaltungsdienstleistungen finden auf der kommunalen Ebene statt. Da gibt es schon Tumulte, wenn die KFZ-Zulassung nicht verfügbar ist.“ In den immer wieder stark gebeutelten Städten und Gemeinden fangen Krisen deutlich früher an: „Für uns sind schon die Bedrohungen fast gleichzusetzen mit einer Krise.“

Erschreckend fürs BSI: Nachlässigkeit in Organisationen

Das BSI dagegen definiert eine „Krise“, wenn eine einzelne Organisation nicht oder nicht mehr in der Lage ist, ein Problem allein zu lösen. Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim BSI: „Sobald zwei Ressorts betroffen sind, tritt der Krisenstab zusammen, für uns ist eine Krise gegeben, sobald wir ein Problem mit der Standardorganisation nicht gelöst bekommen.“ Da komme dann auch den Mitarbeitern, die über die Einberufung entscheiden, eine wichtige Rolle zu. „Man erreicht eben einen Punkt, wo man sich einig ist: Jetzt brauchen wir den Krisenstab.“

Erschreckend, etwa angesichts der Vorgänge rund um die Log4j-Schwachstelle findet Häger aber eher, wie lange nach eigentlich schon gelösten Krisen noch erfolgreiche Angriffe stattfinden. „Wir betreiben da gerade am Anfang sehr, sehr viel Aufwand. Die Log4j-Krise war eigentlich vorbei, aber sehr viele Organisationen waren immer noch angreifbar und hatten unzureichende Reaktionsfähigkeiten. Aber keiner kuckt mehr drauf“, klagt der Abteilungsleiter aus dem BSI.

Wie die Reaktionsgeschwindigkeit erhöhen?

Von der Moderatorin Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin beim Behörden Spiegel, gefragt, was angesichts dieser Einsichten denn konkret helfe, schildert er das typische Vorgehen und die Entscheidungsfindung beim aktuellen Checkpoint-Vorfall: „Ob etwas eine Krise ist oder nicht, ist Expertenwissen. In dem Fall war das erst eine Lücke, die von staatlichen Akteuren initiiert wurde.“ Handlungsbedarf war spätestens dann gegeben, als die Checkpoint-Backdoor von anderen Angreifern ausgenutzt wurde. Auch das Wissen um diese konkrete Gefährdungslage ist für Betroffene von zentraler Bedeutung.

Jan Oliver Wagner betonte hier noch einmal die Bedeutung des Faktors Wissen. Oft werde die Gefährdung nicht angemessen diskutiert. Anfang 2024 beispielsweise reduzierte eine wichtige US-Behörde (NIST) den Informationsumfang ihrer Schwachstellendatenbank – eine Krise für jeden Anbieter von Vulnerability Management und deren Kunden. Außerdem zeuge es von Handlungsbedarf, dass die NIST immer noch nicht als kritische Infrastruktur definiert sei.

Die vom NIST gelieferten Informationen sind auch für die Fähigkeiten des nationalen Cyberabwehrzentrums, ein Lagebild zu erstellen, von zentraler Bedeutung, pflichtet ihm Färber bei. Das betrifft auch die Zusammenarbeit mit der Branche: Eine Reihe von großen Firmen „rühmen sich damit, Exploit-Listen binnen fünf Minuten an ihre Kunden zu liefern. Da können auch wir noch besser werden.“

Carsten Meywirth, Leiter Abteilung Cybercrime beim BKA, betonte die Unterschiede zwischen staatlichen und kriminellen Angriffen, auch am Beispiel des Supply-Chain-Angriffs auf Solarwinds. Kriminelle Angreifer haben oft wenig Interesse, eine Krise hervorzurufen, weil zu viel mediale Aufmerksamkeit die möglichen finanziellen Erträge gefährdet. Auch Sicherheitsbehörden müssten da stets vor die Welle kommen. Und dafür brauche es Aufklärung und das Potential, die Infrastruktur der Angreifer zu stören.

BKA: Internationale Zusammenarbeit

Deutschland sei, so Generalmajor Färber, bei den Angriffen immer unter den Top 4 Ländern. Die USA rangierten stets auf Platz eins, doch in den Schleppnetzen der Angreifer landen wir schon allein wegen unserer Größe. Das mache die hervorragende internationale Zusammenarbeit bei Aufklärung und Täterjagd so wichtig. „Vor allem die Achse Deutschland-USA-Niederlande ist da sehr erfolgreich, aber auch die „Datasprints“ mit den Five-Eyes-Staaten (USA, UK, Australien, Kanada und Neuseeland), wo man auch Geheimdiensterkenntnisse auf einen gemeinsamen Tisch legt und abgleicht, seien von elementarer Bedeutung. „Eine erfolgreiche Täteridentifizierung ist ohne solche Allianzen meistens unmöglich“, so Michael Färber. Deutschland ist mit seinen dafür relevanten Organisationen gut aufgestellt. „Wir haben deutlich höhere Redundanz als andere, und das stellt in diesem Kampf ein großes Asset dar.“ In der beispielhaften „Operation Endgame“, eine vom FBI gestartete Kooperation der Sicherheitsbehörden mit der freien Wirtschaft zeige sich dann gerade jetzt auch die ganze Schlagkraft dieser Strukturen. „Das müssen und werden wir weiter ausbauen.“

„Wir brauchen eine Notrufnummer für Kommunen in IT-Krisen“

So vor die Welle zu kommen, ist für die Kommunen noch Zukunftsmusik. Die seien stark angewiesen auf interföderale Unterstützung und eine Kultur der Zusammenarbeit, ein aktuelles Lagebild ist für sie unabdingbar, berichtet Katrin Giebel von VITAKO. Als Vertreter der kommunalen IT-Dienstleister kenne man viele kritische Situationen und die Nöte der Gemeinden gut – von Personalnot bis hin zu fehlender Expertise oder einer heute noch fehlenden Notrufnummer für IT-Krisen. So eine Hotline wäre nicht nur hilfreich, sie entspricht wohl auch der Definition aus Wagners einführenden Vortrag: „Eine Cybernation schützt sich, indem sie die Unternehmen dabei unterstützt, sich zu schützen.“

BSI: Vorsorge ist das Wichtigste

Auch wenn das BSI sich nicht in der Lage sieht, einen solchen Anspruch allein zu erfüllen, habe man diese dezentrale Denkweise schon immer verinnerlicht. Aber ob das BSI zu einer Zentralstelle in diesem Sinne ausgebaut werden soll, müsse man erst diskutieren, erklärt Dirk Häger vom BSI. „Viel wichtiger ist aber Prävention. Wer heute ein ungesichertes System ins Netz stellt, wird schnell gehackt. Die Bedrohungslage ist da. Wir müssen das abwehren können. Und genau das ist Prävention.“

Dafür, ergänzt Wagner, sei die Information zentral. Und die Informationen zu verteilen, sei durchaus eine Aufgabe des Staates, da sieht er „die existierenden Organisationen in der perfekten Rolle.“