Bei der Diskussion zum Thema IT-Sicherheit kommen beim RP-Forum einige Fälle aus der Praxis zur Sprache. Oliver P. Kuhrt (Messe Essen) erinnert an einen Vorfall aus seiner Branche vor zwei Jahren. 2019 wurde die Messe Stuttgart durch einen Hackerangriff über zwei Wochen komplett lahmgelegt. Der Schaden sei immens gewesen. „So etwas lässt sich versicherungstechnisch kaum abdecken", sagt Kuhrt. "Für uns ist das ein essenzielles Thema", bilanziert der Messeexperte. Denn Messen seien bis tief in die Systeme mit vielen Partnern vernetzt, über die solche Angriffe auch in die eigenen Systeme eingeschleust werden können.
WestDr. Christian Endreß (ASW ) bringt die Bedrohung auf eine einfache Formel: „Alles, was digitalisiert werden kann, das wird heute digitalisiert. Alles was digitalisiert ist, wird angegriffen." Unternehmen, Behörden und alle Nutzer brauchen zuallererst einen Basisschutz. "Doch selbst das funktioniert bei vielen nicht", bedauert Endreß. Er zitiert aus dem Lagebild Wirtschaftsschutz NRW aus dem Jahr 2019, nach dem insbesondere kleine und mittelgroße Unternehmen noch ,deutlich Luft nach oben" hätten. Oft seien die Mitarbeiter nicht ausreichend sensibilisiert.
,,Hundertprozentige Sicherheit gibt es nicht", sagt Wolfgang Straßer (@-yet). Aber die Sicherheitslevels seien allgemein oft zu niedrig. Immer mehr Geschäfts- und Fertigungsprozesse werden digitalisiert. Sie werden häufig angegriffen." Selbst Infrastrukturbereiche seien viel zu einfach zu attackieren. Die Sicherheitsexperten seines Unternehmens seien auch schon mehrfach zu denselben Unternehmen gefahren, die offenbar trotz negativer Erfahrungen ihre Sicherheitssysteme nicht ausgebaut hatten.
Ein ähnliches Beispiel nennt Axel Schmidt (Salto Systems). In Österreich habe ein Hotel trotz mehrfacher Angriffe seinen Basisschutz nicht erhöht. Mehr als einmal hätten die Zimmer-Schließanlagen nicht funktioniert. Immerhin das sei der Uniklinik Düsseldorf im vergangenen Jahr nicht passiert. ,,Das Zutrittskontrollsystem funktionierte weiter. Es war getrennt vom Rest."
Christian Kromberg (Stadt Essen, Sicherheitsdezernent) beschreibt die Probleme und Gefahren aus kommunaler Sicht. Auf der einen Seite sollen Städte und Gemeinden ihre Prozesse immer weiter digitalisieren und den Bürgern digitale Zugänge verschaffen. Auf der anderen Seite zählen viele Abläufe zur kritischen Infrastruktur. Kromberg nennt als Beispiele den Notruf oder die Auszahlung von staatlichen Hilfen. Werden sie blockiert, schafft das immense Probleme. Für Kommunen bedeutet dies eine doppelte Herausforderung: „Wir müssen viel Geld in die IT-Sicherheit investieren. Aber wenn trotzdem etwas schiefgeht, müssen wir unsere Dienstleistungen im Zweifel auch wieder analog anbieten können."
„Die Digitalisierung schafft große Abhängigkeiten", sagt Uwe Gerstenberg (consulting plus). Die Konsequenzen von Ausfällen sieht er auf einem ähnlichen Niveau wie bei Stromausfällen und zitiert einen Vorfall aus New York im Jahr 2003. Dort war flächendeckend die Stromversorgung gestört. Zwar gab es Notstromaggregate. Doch der Sprit für sie musste angeliefert werden. Tankwagen konnten nicht beladen werden, weil sie dafür ihrerseits auf Strom angewiesen waren. ,,Wir müssen in der Lage sein, wichtige Abläufe analog umsetzen zu können." Generell müsse die Sensibilität für das Thema erhöht werden, sowohl in der Geschäftsführung wie auch bei den Mitarbeitern in Unternehmen und Behörden.
„Auch die Medienbranche ist von Cyberangriffen nicht verschont geblieben", berichtet Matthias Körner (Rheinische Post) und erwähnt einen Vorfall Ende des vergangenen Jahres. In einem großen Medienhaus in NRW sei die Infrastruktur zeitweise lahmgelegt worden. „Bei uns ist das Thema ganz oben auf der Agenda angesiedelt", sagt Körner. Er bestätigt die Einschätzung der Experten, dass auch die Mitarbeiter immer wieder für das Thema sensibilisiert werden müssten.
Zu den kritischen Infrastrukturen gehören auch der Bevölkerungsschutz und die Rettungsdienste, die zum Beispiel vom Roten Kreuz geleistet werden. Die Organisationen könnten die Kosten für IT-Sicherheit oft nicht aus eigenen Kräften, zum Beispiel Spenden, finanzieren, sagt Steffen Schimanski (Deutsches Rotes Kreuz). Er sieht darin ein Grundsatzthema: ,,Wir brauchen fast einen Systemwechsel bei der Finanzierung, zum Beispiel im Gesundheitswesen, wenn wir die kritische Infrastruktur sicher gestalten wollen."
Ebenfalls ist natürlich in diesem Bereich die Polizei zu verorten. ,,Die Polizei in NRW hat das Thema Sicherheit im Blick", sagt Britta Zur, Polizeipräsidentin in Gelsenkirchen. Die Polizei habe massiv in die IT-Sicherheit investiert und Fachkräfte eingestellt. Selbst wenn ein Angriff erfolgreich wäre, sei die Polizei handlungsfähig. Andere Behörden und/oder das Innenministerium würden ausgefallene Funktionen übernehmen. Dennoch stimmt auch die Polizeipräsidentin der Forderung der Sicherheitsexperten zu: „Wir müssen uns noch stärker mit der Frage beschäftigen: Was wäre, wenn ...“
Sicherheit müsse in einfachen Grundsätzen erklärbar sein, fordert Stefan Bisanz (consulting plus Sicherheit). „Der erste Satz lautet: Das eine tun, das andere nicht lassen" - also in Sicherheit investieren, aber analoge Prozessabläufe parallel beizubehalten. Bisanz erinnert an die Flutkatastrophe. Im Ahrtal hätten manche ältere Bewohner Unterlagen in Aktenkoffern parat gehabt, während einige Jüngere auf wichtige Daten keinen Zugriff gehabt haben, weil sie nur digital gespeichert waren, aber die Netze nicht funktionierten.
Cyberangriffe nur wirtschaftliche haben nicht Schäden zur Folge. Kromberg nennt als Kommunalvertreter auch politische Aspekte. Viele Angriffe hätten zum Ziel, das Vertrauen der Bürger in die Infrastruktur zu erschüttern und damit die Demokratie an sich zu destabilisieren. Britta Zur verweist auf weitere Bedrohungen aus dem Netz, zum Beispiel Kinderpornografie. Zur Bekämpfung habe die Polizei viele Spezialisten ausgebildet. Außerdem habe man die Präventionsarbeit ausgebaut. Vertreter der Polizei besuchen Schulen, ,,um ein Bewusstsein dafür zu schaffen, wie gefährlich Smartphones in Kinderhänden sein können".
Da Digitalisierung überall stattfinde, müsste das Thema schon in der Schule behandelt werden, meint auch Wolfgang Straßer. Zum Beispiel, wie die Kinder mit Einladungen von Unbekannten umgehen sollten. Generell fordert er: ,,IT-Sicherheit darf nicht nur als Kostenfaktor betrachtet werden. Sich mit dem Thema zu befassen, ist zentraler Bestandteil eines Risikomanagements - nicht nur der Industrie, auch der Gesellschaft."
Die Teilnehmer
