Quelle: E&M
AUS DEM JAHRESMAGAZIN :
Mit Rosi zu mehr Sicherheit
Die Lage der Cybersicherheit in Deutschland ist bedrohlich. Umso mehr ein Grund, einen Blick auf die Rentabilität von Sicherheitsmaßnahmen zu werfen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im November seinen jährlichen Lagebericht zur Cybersicherheit
in Deutschland vorgelegt. Einerseits nehmen die Bedrohungen zu, andererseits wachse auch die „Resilienz der Cybernation Deutschland “ spürbar, schreiben die Verfasser gleich in der Einleitung. Internationalen Strafverfolgern ist es laut BSI durch eine Reihe
von Abschaltungen gelungen, das Wachstum neuer Malware-Varianten einzudämmen.
Angesichts der Zahlen, mit denen die Behörde ihre Analyse versieht, drängt sich vielen Betrachtern sicherlich das Bild des bemitleidenswerten Sisyphos auf. Denn das BSI muss dennoch von einer besorgniserregenden Bedrohungslage berichten. Angreifer werden − das gehört auch zum Fazit des diesjährigen Lageberichts − immer schneller und geschickter Schwachstellen ausfindig machen und diese ausnutzen.
Auch wenn die Zunahme und Verbreitung neuer Schadsoftware-Varianten nicht zuletzt durch das Eingreifen der Behörde eingedämmt werden konnte, musste sie im Berichtszeitraum, der von Juli 2023 bis Juni 2024 reicht, täglich immer noch durchschnittlich 309.000 neue Schadprogramm-Varianten registrieren. Gegenüber dem Vorjahr entspricht das einer Steigerung um 26 Prozent.
Mehr als 700 Meldungen von Kritis-Betreibern
Nach wie vor haben Cyberkriminelle besonders die Betreiber kritischer Infrastruktur im Visier. Diese sind nach dem Gesetz über das Bundesamt für Sicherheit in Informationstechnik (BSI-Gesetz) verpflichtet, der Behörde Störungen zu melden, die zu einem Ausfall oder zur erheblichen Beeinträchtigung der Funktionsfähigkeit der Infrastruktur geführt haben oder führen können. Insgesamt 726-mal mussten die Unternehmen im Berichtszeitraum ihrer Pflicht nachkommen. Davon stammen 185 Meldungen aus dem Transport- und Verkehrssektor, 141 aus dem Gesundheitssektor und 137 aus der Energiewirtschaft. Im vorangegangenen Berichtsjahr waren es noch 99 von insgesamt 490.
Die Zahlen zeigen, dass die Bedrohungslage im zunehmend dezentralisierten und digitalisierten Energiesektor ganz erheblich ist und wächst. Nicht nur Versorger und Netzbetreiber, sondern vermehrt auch die Dienstleister geraten ins Fadenkreuz. Ohne Namen zu nennen, verweist die Behörde auf die Angriffe auf Softwareanbieter.
So machte beispielsweise PSI im Februar 2024 öffentlich, Opfer eines Cyberangriffs geworden zu sein. Die Softwarehäuser Wilken und Kisters hatte das gleiche Schicksal etwas mehr als ein Jahr zuvor ereilt. Im Gespräch mit E&M hatte Firmenchef Klaus Kisters damals erklärt, der Lösegeldforderung nachzugeben, sei keine Option gewesen. Stattdessen seien alle Systeme vollständig neu aufgebaut worden. „Zusätzlich haben unsere mehr als 300 Entwickler ihren Quellcode der letzten drei Monate im Vier-Augen-Prinzip geprüft, um das Risiko einer Supply-Chain-Attacke durch unsere Software möglichst auszuschließen“, betonte er.
Nach Erkenntnissen des BSI gehören Dienstleister seit geraumer Zeit zu den favorisierten Zielen von Cyberattacken, da die Kriminellen gerade bei diesen Unternehmen, deren Softwareproduktion das eigene wirtschaftliche Fundament, aber auch die Basis für den wirtschaftlichen Erfolg ihrer Kunden darstellt, eine hohe Zahlungsbereitschaft vermuten.
Neben der sogenannten Ransomware sind nach wie vor Phishing-Attacken im Energiesektor weitverbreitet. Allerdings konnten dem Lagebericht zufolge seit November vergangenen Jahres mehrere Angriffe einer mutmaßlich pro-russischen Gruppierung abgewehrt werden. Selbst im Namen der Bundesnetzagentur seien Phishing-Mails verschickt und die Empfänger aufgefordert worden, sensible Daten auf einer auf den ersten Blick nicht erkennbar gefälschten Internetseite einzugeben.
Auch wenn Experten von Lösegeldzahlungen für blockierte oder „gekidnappte“ Daten abraten und nicht jedes Unternehmen den Forderungen von Erpressern nachgibt, sind die Schäden, die solche Attacken darüber hinaus verursachen, immens. Im Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) schätzen die Beamten des federführenden Bundesinnenministeriums die Schäden aus Cyberattacken auf Unternehmen mit mindestens zehn Beschäftigten in Deutschland sogar auf jährlich 210 Milliarden Euro. Bei 444.055 Unternehmen − so eine Zahl des Statistischen Bundesamts − würde jedes Unternehmen einen Schaden von knapp 500.000 Euro erleiden.
Umsetzung der NIS-2-Richtlinie durch nationales Gesetz
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz soll die Directive on Security of Network and Information Systems (NIS-2-Richtlinie) der EU umsetzen. Wenn die vorgeschriebenen Sicherheitsmaßnahmen ergriffen werden, könnten 250.000 Euro an Schaden vermieden werden. Die Autoren weisen darauf hin, dass schätzungsweise 14.500 Unternehmen dem NIS2UmsuCG unterliegen, sodass der abgewehrte Gesamtschaden sich auf 3,6 Milliarden Euro belaufen könnte.
Wer sich immer noch über vermeintlich hohe Kosten der Sicherheitsvorkehrungen beklagt oder die Frage nach der Rentabilität von Cybersicherheitsmaßnahmen stellt, findet in der Deutschen Energie-Agentur (Dena) die passende Anlaufstelle. Denn sie hat sich gemeinsam mit dem Fraunhofer-Institut für Angewandte Systemtechnik (IOSB-AST) darüber Gedanken gemacht, wie man die Wirtschaftlichkeit von IT-Sicherheitsinvestitionen bewerten kann. Herausgekommen ist ein 38-seitiges Papier, das Entscheidern dabei helfen soll, die Kosten und den Nutzen von Cybersicherheitsmaßnahmen zu ermitteln.
Ausgangspunkt der Überlegungen ist die IT-Sicherheitsreferenzarchitektur eines Verteilnetzbetreibers. In einer Beispielrechnung konkretisieren die Verfasser der Analyse den Erfüllungsaufwand, der sich beispielsweise für die Einhaltung eines Mindestniveaus an IT-Sicherheit ergibt. Bei einem nach NIS-2 als „besonders wichtig“ eingestuften Unternehmen veranschlagen sie dafür insgesamt rund 450.000 Euro, inklusive rund 200.000 Euro für die einmalige Einführung und Anpassung digitaler Prozessabläufe sowie für Personal- und Sachkosten. Bei Unternehmen, die lediglich „wichtig“ sind, etwa kleinere und mittelgroße Versorger, werden insgesamt 200.000 Euro angesetzt.
Bei der Schadensabschätzung halten sich Dena und Fraunhofer IOSB an die eher konservativen 500.000 Euro vor beziehungsweise 250.000 Euro nach Etablierung von Sicherheitsmaßnahmen aus dem Referentenentwurf. Allerdings geben die Autoren zu bedenken: „Im Falle eines Cyberangriffs auf ein Energieversorgungsunternehmen kann der Schaden schnell weitaus größer werden, falls die sichere Energieversorgung nicht mehr gewährleistet werden kann und in einem Dominoeffekt weitere kritische Einrichtungen anderer Sektoren nicht mehr operieren können.“ Die daraus resultierenden Folgeschäden im Falle eines Stromausfalls seien schwer abschätzbar.
Da es letztlich um den Return on Security Investment geht, steht am Ende „RoSI“ als Summe von Quotienten, in die unter anderem der jeweils jährliche Verlust durch erfolgreiche Angriffe unter Berücksichtigung der Eintrittswahrscheinlichkeit einfließen sowie die Kosten der Sicherheitsmaßnahmen. Für „besonders wichtige“ Großunternehmen ermitteln die Wissenschaftler ab dem zweiten Jahr eine positive Rosi, bei „wichtigen“ Unternehmen rentieren sich die Sicherheitsinvestitionen bereits im ersten Jahr.
Auch der Lagebericht des BSI schließt mit einer grundsätzlich optimistischen Note. Deutschland sei den Gefahren nicht schutzlos ausgeliefert und auf dem Weg zu einer resilienten „Cybernation“ − so die Bezeichnung einer Initiative des BSI, die Anfang 2024 gestartet wurde − bereits ein gutes Stück vorangekommen. Allerdings sei Resilienz eine Gemeinschaftsaufgabe, für die Langstreckenqualitäten gefordert seien. Als Coach und Notfallhelfer hat sich die Behörde jedenfalls schon in Stellung gebracht.
Angesichts der Zahlen, mit denen die Behörde ihre Analyse versieht, drängt sich vielen Betrachtern sicherlich das Bild des bemitleidenswerten Sisyphos auf. Denn das BSI muss dennoch von einer besorgniserregenden Bedrohungslage berichten. Angreifer werden − das gehört auch zum Fazit des diesjährigen Lageberichts − immer schneller und geschickter Schwachstellen ausfindig machen und diese ausnutzen.
Auch wenn die Zunahme und Verbreitung neuer Schadsoftware-Varianten nicht zuletzt durch das Eingreifen der Behörde eingedämmt werden konnte, musste sie im Berichtszeitraum, der von Juli 2023 bis Juni 2024 reicht, täglich immer noch durchschnittlich 309.000 neue Schadprogramm-Varianten registrieren. Gegenüber dem Vorjahr entspricht das einer Steigerung um 26 Prozent.
Mehr als 700 Meldungen von Kritis-Betreibern
Nach wie vor haben Cyberkriminelle besonders die Betreiber kritischer Infrastruktur im Visier. Diese sind nach dem Gesetz über das Bundesamt für Sicherheit in Informationstechnik (BSI-Gesetz) verpflichtet, der Behörde Störungen zu melden, die zu einem Ausfall oder zur erheblichen Beeinträchtigung der Funktionsfähigkeit der Infrastruktur geführt haben oder führen können. Insgesamt 726-mal mussten die Unternehmen im Berichtszeitraum ihrer Pflicht nachkommen. Davon stammen 185 Meldungen aus dem Transport- und Verkehrssektor, 141 aus dem Gesundheitssektor und 137 aus der Energiewirtschaft. Im vorangegangenen Berichtsjahr waren es noch 99 von insgesamt 490.
Die Zahlen zeigen, dass die Bedrohungslage im zunehmend dezentralisierten und digitalisierten Energiesektor ganz erheblich ist und wächst. Nicht nur Versorger und Netzbetreiber, sondern vermehrt auch die Dienstleister geraten ins Fadenkreuz. Ohne Namen zu nennen, verweist die Behörde auf die Angriffe auf Softwareanbieter.
So machte beispielsweise PSI im Februar 2024 öffentlich, Opfer eines Cyberangriffs geworden zu sein. Die Softwarehäuser Wilken und Kisters hatte das gleiche Schicksal etwas mehr als ein Jahr zuvor ereilt. Im Gespräch mit E&M hatte Firmenchef Klaus Kisters damals erklärt, der Lösegeldforderung nachzugeben, sei keine Option gewesen. Stattdessen seien alle Systeme vollständig neu aufgebaut worden. „Zusätzlich haben unsere mehr als 300 Entwickler ihren Quellcode der letzten drei Monate im Vier-Augen-Prinzip geprüft, um das Risiko einer Supply-Chain-Attacke durch unsere Software möglichst auszuschließen“, betonte er.
Nach Erkenntnissen des BSI gehören Dienstleister seit geraumer Zeit zu den favorisierten Zielen von Cyberattacken, da die Kriminellen gerade bei diesen Unternehmen, deren Softwareproduktion das eigene wirtschaftliche Fundament, aber auch die Basis für den wirtschaftlichen Erfolg ihrer Kunden darstellt, eine hohe Zahlungsbereitschaft vermuten.
Neben der sogenannten Ransomware sind nach wie vor Phishing-Attacken im Energiesektor weitverbreitet. Allerdings konnten dem Lagebericht zufolge seit November vergangenen Jahres mehrere Angriffe einer mutmaßlich pro-russischen Gruppierung abgewehrt werden. Selbst im Namen der Bundesnetzagentur seien Phishing-Mails verschickt und die Empfänger aufgefordert worden, sensible Daten auf einer auf den ersten Blick nicht erkennbar gefälschten Internetseite einzugeben.
Auch wenn Experten von Lösegeldzahlungen für blockierte oder „gekidnappte“ Daten abraten und nicht jedes Unternehmen den Forderungen von Erpressern nachgibt, sind die Schäden, die solche Attacken darüber hinaus verursachen, immens. Im Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) schätzen die Beamten des federführenden Bundesinnenministeriums die Schäden aus Cyberattacken auf Unternehmen mit mindestens zehn Beschäftigten in Deutschland sogar auf jährlich 210 Milliarden Euro. Bei 444.055 Unternehmen − so eine Zahl des Statistischen Bundesamts − würde jedes Unternehmen einen Schaden von knapp 500.000 Euro erleiden.
Umsetzung der NIS-2-Richtlinie durch nationales Gesetz
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz soll die Directive on Security of Network and Information Systems (NIS-2-Richtlinie) der EU umsetzen. Wenn die vorgeschriebenen Sicherheitsmaßnahmen ergriffen werden, könnten 250.000 Euro an Schaden vermieden werden. Die Autoren weisen darauf hin, dass schätzungsweise 14.500 Unternehmen dem NIS2UmsuCG unterliegen, sodass der abgewehrte Gesamtschaden sich auf 3,6 Milliarden Euro belaufen könnte.
Wer sich immer noch über vermeintlich hohe Kosten der Sicherheitsvorkehrungen beklagt oder die Frage nach der Rentabilität von Cybersicherheitsmaßnahmen stellt, findet in der Deutschen Energie-Agentur (Dena) die passende Anlaufstelle. Denn sie hat sich gemeinsam mit dem Fraunhofer-Institut für Angewandte Systemtechnik (IOSB-AST) darüber Gedanken gemacht, wie man die Wirtschaftlichkeit von IT-Sicherheitsinvestitionen bewerten kann. Herausgekommen ist ein 38-seitiges Papier, das Entscheidern dabei helfen soll, die Kosten und den Nutzen von Cybersicherheitsmaßnahmen zu ermitteln.
Ausgangspunkt der Überlegungen ist die IT-Sicherheitsreferenzarchitektur eines Verteilnetzbetreibers. In einer Beispielrechnung konkretisieren die Verfasser der Analyse den Erfüllungsaufwand, der sich beispielsweise für die Einhaltung eines Mindestniveaus an IT-Sicherheit ergibt. Bei einem nach NIS-2 als „besonders wichtig“ eingestuften Unternehmen veranschlagen sie dafür insgesamt rund 450.000 Euro, inklusive rund 200.000 Euro für die einmalige Einführung und Anpassung digitaler Prozessabläufe sowie für Personal- und Sachkosten. Bei Unternehmen, die lediglich „wichtig“ sind, etwa kleinere und mittelgroße Versorger, werden insgesamt 200.000 Euro angesetzt.
Bei der Schadensabschätzung halten sich Dena und Fraunhofer IOSB an die eher konservativen 500.000 Euro vor beziehungsweise 250.000 Euro nach Etablierung von Sicherheitsmaßnahmen aus dem Referentenentwurf. Allerdings geben die Autoren zu bedenken: „Im Falle eines Cyberangriffs auf ein Energieversorgungsunternehmen kann der Schaden schnell weitaus größer werden, falls die sichere Energieversorgung nicht mehr gewährleistet werden kann und in einem Dominoeffekt weitere kritische Einrichtungen anderer Sektoren nicht mehr operieren können.“ Die daraus resultierenden Folgeschäden im Falle eines Stromausfalls seien schwer abschätzbar.
Da es letztlich um den Return on Security Investment geht, steht am Ende „RoSI“ als Summe von Quotienten, in die unter anderem der jeweils jährliche Verlust durch erfolgreiche Angriffe unter Berücksichtigung der Eintrittswahrscheinlichkeit einfließen sowie die Kosten der Sicherheitsmaßnahmen. Für „besonders wichtige“ Großunternehmen ermitteln die Wissenschaftler ab dem zweiten Jahr eine positive Rosi, bei „wichtigen“ Unternehmen rentieren sich die Sicherheitsinvestitionen bereits im ersten Jahr.
Auch der Lagebericht des BSI schließt mit einer grundsätzlich optimistischen Note. Deutschland sei den Gefahren nicht schutzlos ausgeliefert und auf dem Weg zu einer resilienten „Cybernation“ − so die Bezeichnung einer Initiative des BSI, die Anfang 2024 gestartet wurde − bereits ein gutes Stück vorangekommen. Allerdings sei Resilienz eine Gemeinschaftsaufgabe, für die Langstreckenqualitäten gefordert seien. Als Coach und Notfallhelfer hat sich die Behörde jedenfalls schon in Stellung gebracht.
© 2025 Energie & Management GmbH
Montag, 02.12.2024, 10:39 Uhr
Montag, 02.12.2024, 10:39 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
EU-Klimabeirat rät zum Ankurbeln von CO2-Entnahmen
