Stefan Decker über KRITIS-Mittelständler, gesetzliche Vorgaben und die Mystifizierung von Cybercrime

Das „Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag“ (TAB) schreibt, was bei einem flächendeckenden Stromausfall in Deutschland passieren würde. Um es kurz zu machen: Wir rutschten nach wenigen Tagen in die Anarchie. Der größte Angriffspunkt bei den Stromversorgern sei die IT. Das wiederum sagt Stefan Decker, Geschäftsführer der FIDES IT Consultants GmbH, Bremen. 

Das IT-Sicherheitsgesetz verpflichtet die Betreiber von so genannten „Kritischen Infrastrukturen“ (KRITIS) dazu, sich gegen (Cyber-) Attacken zu rüsten - aus eigener Tasche. Dafür steigen die Bußgelder im kommenden, neuen IT-Sicherheitsgesetz 2.0 auf bis zu 20 Millionen Euro. Haben es KRITIS-Unternehmen deswegen schwerer? Ein Gespräch über „Leben und Tod“ in der Digitalisierung.

Interview mit:

Herr Decker, bald kommt das neue IT-Sicherheitsgesetz. Sind die deutschen Unternehmen darauf vorbereitet?
Es ist nicht so, als müsste man sich als Unternehmen außerordentlich auf das neue IT-Sicherheitsgesetz 2.0 vorbereiten. Die Unternehmen, die bereits unter das bestehende BSI-Gesetz fallen, sind hoffentlich schon dabei, die Vorgaben umzusetzen. Das IT-Sicherheitsgesetz 2.0 wird vor allem die Bußgelder anheben und den Kreis der KRITIS-Unternehmen massiv ausweiten. Aber die „Neuen“ haben dann ja Zeit, sich zu rüsten. 

Wer sind die „neuen“ KRITIS-Betreiber dann?
Die neue KRITIS-Schwelle ist nicht mehr nur 500.000 versorgte Menschen, sondern eine „gesellschaftliche Relevanz“. Das ist aus meiner Sicht auch sinnvoll. KRITIS-Betreiber sind die Grundpfeiler unseres Zusammenlebens, aber das kann nicht nur an dieser Zahl festgeschrieben sein. Dazu gehören viel mehr - insbesondere Mittelständler. Neu im Kreis der KRITIS-Unternehmen sind deswegen bald zum Beispiel kleinere Versorger die unter die Grenze von 500.000 zu versorgenden Bürgern fallen. Denn auch das ist Kritische Infrastruktur: Wenn ein Versorger nur für eine Viertelmillion Menschen den Strom produziert, ist er dann unkritisch? Ich denke nicht. Als Unternehmer sind sie unverzichtbar und deswegen müssen sie „funktionieren“. Aber sie werden in Zukunft noch genauer durch das BSI beobachtet.
 

War eine derart schnelle Neuauflage des Gesetzes wirklich notwendig?
Die Ausweitung ist aus meiner Sicht sinnvoll. Cyberkriminelle suchen sich gezielt Unternehmen, die bei einem Betriebsstopp indirekt einen gesellschaftlichen Notstand verursachen. Die greifen zum Beispiel in einer Großstadt nicht den zentralen Energieversorger an, wenn sie Stromausfälle erzeugen wollen, sondern die regionalen Stromversorger im Umland. Das sind Stand heute keine KRITIS-Unternehmen. Dennoch würde deren Ausfall ebenso zu einem Ausfall in der Großstadt führen - das gibt das Netz so her. Terroristen und Cyberkriminelle sind ja nicht blöd. Das BSI muss daher denken wie ein Terrorist oder Verbrecher, wenn es effektive Vorgaben entwickeln will.

Was ist denn die strategische Dimension von IT-Beratung bei KRITIS-Unternehmen? 
Man muss bei der Kritischen Infrastruktur aus strategischer Sicht zwei Bausteine deutlich voneinander unterscheiden. Das eine ist das Erzielen eines angemessenen Sicherheitsniveaus: Wie sicher, verfügbar, resilient soll meine IT-Infrastruktur sein? Gegen welche Schäden muss ich mich besonders absichern? Der andere Teil ist eher normativ: Was muss ich organisatorisch verändern, um beispielsweise Meldepflichten einzuhalten? Wie kann, muss oder sollte ich mit öffentlichen Stellen interagieren, wenn es zu einem Sicherheitsvorfall kommt? Das ist dann Teil der IT-Strategie, wenn ich KRITIS-Betreiber bin. Der erste Baustein ist für alle Unternehmen ähnlich, der zweite nicht. Die Frage nach IT-Sicherheit ist eine unternehmenskritische und deswegen strategische Frage nach Risiken und Risikobewältigung. Im Grunde identifizieren wir Risiken für Unternehmer. Und - ich finde, das ist Teil der unausgesprochenen Dienstleistung - wir sagen dem Unternehmer in aller Deutlichkeit, ungeschönt, welche Risiken da sind und wie hoch die sind. Klar muss der Unternehmer selbst für sich entscheiden, wie er mit Risiken umgeht. Aber nachdem wir da waren, weiß er ganz klar, was Sache ist. Und da ist dann der Unterschied zu KRITIS-Betreibern: Bei denen müssen wir darauf hinweisen, dass diese Risiken ein Bußgeld nach sich ziehen.

Wie können Unternehmern diese IT-Risiken besser verstehen - ob KRITIS oder nicht?
Wichtig ist, dass wir uns gemeinsam mit dem Unternehmen fragen, was bei einem Ausfall der IT passiert. Welche Bereiche sind davon wie stark betroffen, was sind die Konsequenzen für Kunden, Geschäftspartner, Zulieferer und das Unternehmen selbst? Dann dämmert den meisten, dass sie was tun müssen, damit dieses Risiko nicht nur ärgerliche Neuinstallationen nach sich zieht, sondern massiven wirtschaftlichen Schaden. Jedes Unternehmen ist in irgendeiner Form von abhängig von der IT. Viele Unternehmen waren während des Corona-Lockdowns zu Recht verzweifelt, weil die Produktion stillstand. Ein Hackerangriff kann ähnliche Folgen haben. Egal, ob ein Ausfall durch einen Angreifer, durch einen Brand oder eine Fehlbedienung geschieht. 

„There is no glory in prevention“ von Prof. Dr. Drosten passt auch perfekt auf IT-Security: Prävention hat keine tollen Kennzahlen zum Präsentieren. Sie ist „nur“ der Schutz der eigenen Geschäfte.

Wie denken Sie als „IT-Stratege“ über die BSI-Vorgaben für Betreiber von Kritischen Infrastrukturen - ist es eine Chance, Digitalisierung sicher voranzutreiben? Oder nehmen Unternehmer das eher als unnötige Kosten wahr?
Es stimmt, dass diese Vorgaben aus dem BSI-Gesetz gerade am Anfang vor allem als Kosten und Prozess-Stopper wahrgenommen wurden. Aber ich denke, dass die Corona-Pandemie der Digitalisierung im deutschen Mittelstand sinngemäß viel mehr geholfen hat als jedes Gesetz. Das BSI-Gesetz schafft nicht mehr Awareness für Digitalisierung an sich. Awareness schafft es eher für die Gefahren, die eine IT-Infrastruktur aushalten muss. Und viel wichtiger: Es hebt das Thema auf den C-Level. Kritische Infrastruktur war vorher kaum ein Thema in Vorstands- und Aufsichtsratssitzungen, es sei denn, es gab etwas Vergleichbares wie einen CIO (Chief Information Officer). Überhaupt braucht es jemanden, der dieses Thema kommuniziert und der sowohl die fachliche Kompetenz als auch die entsprechenden Befugnisse hat, hierarchisch auf Augenhöhe mit anderen C-Levels ist.

Ein großer Teil von IT-Security ist inzwischen die Überlegung: „Was, wenn ...?“. Das macht IT-Sicherheitskonzepte schwer zu kommunizieren, denn sie sind sehr abstrakt.

Im Grunde muss sich aber jedes Unternehmen darauf besinnen: Die allerbeste, modernste, kosteneffizienteste IT nutzt nichts, wenn sie nicht zuverlässig zur Verfügung steht.

Steigt das Bedrohungspotenzial weltweit - und sind KRITIS-Betreiber besonders bedroht?
Das Bedrohungspotenzial steigt, ohne Frage. Die Welt wird durch die Digitalisierung auch komplexer. Wenn wir viele Arbeitsbereiche digitalisieren, müssen wir auch viel mehr vernetzen. Und das bedeutet automatisch mehr Gefahrenpotenzial, weil jedes Netz nur so stark ist wie seine schwächste Komponente. Und je besser Sie Ihr Unternehmen schützen, desto besser wird langfristig der Angreifer.
 

Aber wir müssen IT-Bedrohungen auch entmystifizieren, um sie zu verstehen. Sie ist fast nie ein Computerwurm wie Stuxnet wie bei dem Angriff von Elite-Hackern auf das Atomkraftwerk im Iran.

Wer steckt denn dann dahinter?
Es ist organisierte Kriminalität. Das ist beispielsweise ein Geschäftsfeld, um Lösegelder per Schadsoftware zu erpressen. Dafür muss man nicht am MIT (Massachusetts Institute of Technology) Informatik studiert haben. Derartige Schadsoftware können Sie im Darknet einfach kaufen. Sogar in einem Abo-Modell - das  ist ein ganzer Wirtschaftszweig. Das mag unmoralisch sein, aber da verkaufen halt Hacker ihr Wissen zu dem Preis, den sie am Markt bekommen. Der Verkauf dieser Schadcodes ist gegebenenfalls nicht einmal illegal.
 

Vom Computer aus Lösegeld für Daten anderer zu erpressen, ist einfacher als einen Menschen zu entführen. Auch organisierte Kriminalität digitalisiert sich. Kriminelle finden heute Lücken in der IT, wo sie früher Lücken in Zäunen gefunden haben.

Können Sie ein konkretes Beispiel für diese Lücken nennen?
Viele Unternehmen vernetzen zum Beispiel Ihre kaufmännischen Prozesse mit ihren Produktionsprozessen. Das kann ein Risiko sein. Denn Industrieproduktion war klassisch vom Sicherheitsniveau her nicht darauf ausgelegt, moderne Cyber-Risiken abzudecken. Das größte Risiko einer Maschinensteuerung in den 1980er-Jahren war, dass ein Flurförderfahrzeug gegen die Steuerungseinheit gefahren ist. Das war das Risiko. Die Sicherung dagegen war ein großer Stahlkörper. Jetzt haben diese Steuerungseinheiten eine IP-basierte Schnittstelle beispielsweise für die Remote-Wartung durch den Hersteller. Das Risiko ist hierdurch ein vollkommen anderes. Aber die technische Systemarchitektur hat sich an diese Veränderung nicht angepasst. Da kann jeder ran. 

IT-Risiken sind ein Teil des gesamten unternehmerischen Risikomanagements: Finanzrisiken, Währungsrisiken, Marktrisiken.

Wenn Systeme immer komplexer werden, wird der Schutz der IT-Infrastrukturen auch immer aufwendiger. Wird das für KMU nicht irgendwann ein Problem - wächst dieser Kostenpunkt ihnen über den Kopf?
Cloud-Dienste liefern Schutzmechanismen ja oft mit. Aber ja, für diejenigen, die vorher noch gar nichts gemacht haben, wird es erst mal teurer. Es gibt tatsächlich Unternehmen, da erscheint IT-Sicherheit als Kostenpunkt in den letzten Jahren erstmals als eigene Position. Vorher war eine Firewall vielleicht allgemein unter den IT-Kosten oder in einer anderen Position enthalten. Und auch die digitale Transformation eines Unternehmens verursacht Kosten, die sie an anderer Stelle einspart. Eine geschützte, datenschutzkonforme Archivierung in der Cloud bezahlen Sie, genauso wie Sie einen abschließbaren Aktenschrank bezahlt haben und einen Mitarbeiter, der gewissenhaft diese Archivierung umsetzt und pflegt. Und da müssen alle KRITIS-Betreiber auf einem Stand sein, deswegen schiebt der Gesetzgeber das an. Das ist sinngemäß eine Demokratisierung - erst so wird durch die Durchsetzung von Minimalstandards der Wettbewerb gesichert.

Eine Demokratisierung der Digitalisierung muss auch eine Demokratisierung der Schutzstandards sein. Sonst macht uns die Digitalisierung angreifbar.

Ist das für KRITIS-Unternehmen nicht ein Eingriff in die unternehmerische Freiheit?
Wenn man es so sieht, klar. Aber das ist nun mal Teil des Gesellschaftsmodells, in dem wir leben. Jede gesetzliche Regelung ist auch ein Eingriff. Der gilt dann aber für das Arbeitsschutzgesetz, das Arbeitszeitgesetz, Krankenversicherungen und Regeln im Straßenverkehr. Man könnte sagen: Arbeitsschutz verkompliziert mir die Prozesse in der Produktion. Aber da sagen die allermeisten: Arbeitsschutz ist einfach vernünftig. So sollte es auch bei KRITIS sein, denn im schlimmsten Fall sterben Menschen, wenn ein Krankenhaus nicht mehr verfügbar ist oder der Strom großräumig und langandauernd ausfällt.

Herr Decker, geben Sie uns doch einmal eine Vision: Wie wird der deutsche Mittelstand und die Digitalisierung in 5 Jahren dastehen?
Die Arbeitswelt wird sich aus meiner Sicht grundlegend ändern. Wertschöpfungsketten werden anders definiert sein. 3D-Druck ist ein Produktionsthema, das alles verändern wird, kombiniert vielleicht mit Künstlicher Intelligenz (KI). Die Abhängigkeit von der Verfügbarkeit von IT wird noch einmal massiv steigen. Dementsprechend ist Verfügbarkeit von IT das Nonplusultra für die Wirtschaft der Zukunft. Denken Sie an autonomes Fahren - das dauert zwar noch länger als fünf Jahre, glaube ich persönlich, ist aber zu 100 % abhängig von gigantischen, hoch verfügbaren Datenströmen.
 

Wir leben wortwörtlich schon heute davon, dass IT sicher und breitbandig verfügbar ist.

Sie sind sich nicht sicher, ob Sie Betreiber Kritischer Infrastruktur sind? Hier lesen Sie mehr darüber, was Kritische Infrastruktur ist und was wir für Betreiber Kritischer Infrastrukturen machen können.