Freiwillige Helfer im digitalen Katastrophenschutz

Was ist eine »Kritische Infrastruktur«?

Kritische Infrastrukturen sind die Dinge, die eine Gesellschaft zum Leben braucht. Also die Versorgung mit Strom und Wasser, aber auch die Möglichkeit, dass man an Bargeld kommt oder Überweisungen tätigen kann. Wenn diese Basis-Infrastrukturen nicht funktionieren, dann leidet die Bevölkerung unter einem Mangel, der zur Gefährdung von Menschenleben führen kann. Oder dazu, dass die Gesellschaft in ihrer Grundsicherheit nicht mehr bestehen kann. Die beste Infrastruktur ist dabei die, die man nicht hinterfragen muss. Klassische Beispiele sind da wieder Strom und Wasser. Aus südlichen Ländern kenne ich es, dass Menschen an den Ausfall von Wasserversorgung gewöhnt sind. Die Menschen da wissen dann, wo es frisches Brunnenwasser gibt. Das ist ein Wissen, das in Deutschland kaum vorhanden ist. Es gibt hier Notfallbrunnen, aber so gut wie niemand weiß, wo die sind. Das liegt daran, dass der Ausfall von Kritischer Infrastruktur glücklicherweise nicht mehr üblich ist.

Warum interessiert Sie sich für Kritische Infrastruktur?

Wir haben uns zu Dritt vor ein paar Jahren überlegt: Was passiert eigentlich, wenn Kritische Infrastruktur ausfällt? Ich beschäftige mich auch beruflich mit dem Thema, die beiden anderen ebenfalls. Wir haben festgestellt, dass es nur wenige Kapazitäten gibt, die bei einem Cyberangriff eingreifen. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es zwar ein »Mobile Incident Response Team«, aber das sind nur 15 bis 20 Leute, die in ähnlicher Zahl aufgestockt werden können. Deutschlandweit kann das nicht reichen. Hilfsorganisationen wie das Technische Hilfswerk THW und freiwillige Feuerwehr sind bei Cyberangriffen raus. Wir haben uns daher gefragt, wieso gibt es nicht eine ähnliche Struktur zur Hilfe bei Cyberangriffen. Es gibt bei den zahlreichen Nerds zum Beispiel im Umfeld des Chaos Computer Club genug Menschen, die bereit sind, sich ehrenamtlich zu engagieren.

Wer ist die AG KRITIS?

Wir sind 42 Menschen mit Expertise im Bereich Kritischer Infrastruktur, die sich zum Thema Gedanken machen und Lust haben, an dem Konzept für ein Cyberhilfswerk (CHW) mitzuarbeiten. Und auch zu versuchen, bei der Politik Aufmerksamkeit und Sensibilisierung für das Thema zu erreichen.

Was für Cyberangriffe gab es bisher in Deutschland?

Das Ausnutzen der Sicherheitslücke in Citrix vor rund einem Jahr zum Beispiel. Viele KRITIS-Betreiber nutzen diese Anwendung. Auch Polizeien und Rettungsdienste. Da gab es eine Menge an offenen Problemen zu sehen. Das Universitätsklinikum Düsseldorf ist der berühmteste Fall, wo durch die Citrix Schwachstelle Angriffe ausgeführt wurden, die zum Ausfall der IT geführt haben.

Wie könnte eine Cyber-Großschadenslage im schlimmsten Fall aussehen?

Es gibt ein Forschungspapier aus Israel, das durchspielt, was passieren würde, wenn man mehrere Tausend mit dem Internet verknüpfte Rasensprenger für eine Stunde laufenlassen würde. Damit könnte ein Engpass bei der Wasserversorgung entstehen. Ähnliches wäre bei der Stromversorgung möglich, bei Angriffen auf Kühlschränke oder Waschmaschinen. Das Einfallstor wären Apps, die keine hohen Sicherheitsstandards haben. Das ist jetzt noch nicht realistisch, aber die Nutzung von Internet of Things (IOT)-Geräten nimmt zu. Es gibt aber auch Szenarien, die nicht so eine Masse an Geräten brauchen, wie Industrie-Steueranlagen, die bei sehr vielen KRITIS-Betreibern genutzt werden. Wenn dort Schwachstellen ausgenutzt werden, könnte es auch zu immensen Auswirkungen führen.

Was könnte ein Cyberhilfswerk dann tun?

Bei einem Angriff über IoT-Geräte könnte ein CHW dabei helfen, eine Software, die das Problem behebt, zu entwickeln und auf die Geräte zu übertragen. Dafür müssten vielleicht Tausende Haushalte besucht werden, um so ein Update durchzuführen. Ein CHW hätte im Idealfall mehrere Zehntausend Mitglieder, die wissen, wie sie mit so einem Gerät umgehen müssen.

Wäre eine Eingliederung des Cyberhilfswerks in das Technische Hilfswerk sinnvoll?

Beim THW gibt es Fachgruppen, etwa für die Wasserrettung. Eine Fachgruppe Cyber wäre eine Möglichkeit. Das Szenario hat Vor- und Nachteile. Gut ist, es gibt die Struktur und ein CHW würde da gut reinpassen. Nachteil ist, das THW hatte bisher nichts mit Cyber zu tun und wurde vom Bundesinnenministerium da auch immer außen vorgehalten. Uns als AG KRITIS ist weniger wichtig, ob das CHW in das THW eingegliedert wird, sondern dass die Kriterien, die wir in unserem Konzept aufgestellt haben, erfüllt werden.

Bei den Kriterien ist der AG KRITIS die defensive Ausrichtung sehr wichtig. Warum?

Es geht darum, die Sicherheit für die Bevölkerung nach einer Cyber-Großschadenslage wiederherzustellen. Die Dinge, die man dafür vorbereiten muss, sind wie fast alles in der IT-Welt, dual use, können also mehrfach verwendet werden. Was also zur Behebung eines Fehlers dient, kann auch genutzt werden, um den Fehler woanders herbeizuführen. Schwachstellen lösen Begehrlichkeiten bei Sicherheitsbehörden aus. Sicherheitslücken werden aktiv zurückgehalten. Das ist eine Praxis, die wir nicht wollen. Wir wollen Cyberresilienz in der Kritischen Infrastruktur. Ein CHW bräuchte wie das THW den völkerrechtlichen Status als Nichtkombattant, der weder angreift noch angegriffen werden darf.

Welche Rolle spielt die defensive Ausrichtung für die Akzeptanz in der Nerd-Community?

Das ist sehr wichtig! Anders als in den USA finden die meisten Leute Angriffe und den Umgang der Sicherheitsbehörden damit nicht gut, sondern wollen Gutes tun. Auch mit einem Vertreter des Chaos Computer Clubs CCC wurde schon besprochen, wie wichtig ethische Standards für die Akzeptanz in der Community sind.

Kennen Behörden die AG KRITIS?

Wir haben vor der Pandemie einen Workshop gemacht, unter anderem mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). THW und Bundesinnenministerium hatten wir auch eingeladen. Beide haben leider abgesagt. BSI und BBK haben den ganzen Tag sehr positiv mit uns diskutiert. Ein Vertreter des BSI hat uns aufgezeigt, woran ein eigener Versuch, eine ähnliche Struktur aufzubauen, gescheitert ist, so dass wir daraus lernen konnten. Beide haben uns wertvolle Tipps etwa zu Haftungs- und Versicherungsfragen gegeben. Das war also ein extrem konstruktiver Austausch. Mit dem Innenministerium hatten wir auch schon Kontakt, da kam die Corona-Pandemie aber dazwischen und hat einen tieferen Austausch verlangsamt. Konkrete Besprechungen mit dem Innenministerium wären aber der logische nächste Schritt.

Wer kommt als Mitglied für das CHW infrage? Nur Profis oder auch IT-Administrator*innen einer Schraubenfabrik?

Das soll beides gehen. Einerseits braucht es Experten für spezielle Bereiche, aber auch eine Menge an computeraffinen Helfern. Es würde in einer Schadenslage auch ganz viel um Basisarbeit gehen. Außerdem sollte es in einem CHW auch regelmäßig entsprechende Fortbildungen und Übungen geben. Das wäre auch ein Mehrwert, sowohl für Mitglieder als auch für deren Arbeitgeber, die dadurch besser geschulte Mitarbeiter bekommen würden. Das wäre eine Win-Win-Win-Situation für alle.

Die Verbraucherfrage: Hilft technische Zurückhaltung, also sollte man auf internetfähige Waschmaschinen verzichten?

Nur weil es Bedrohungen gibt, sollte man sich nicht ins Mittelalter zurückversetzen. Wir wollen die Infrastruktur ja in ihrer Stabilität aufrechterhalten und dafür sorgen, dass sie auch morgen noch funktioniert. Die Lebenssicherheit haben wir ja nur wegen einer funktionierenden Infrastruktur, die für die Masse unserer Bevölkerung reibungslos läuft. Und je mehr Bevölkerung mit Infrastruktur versorgt werden will, desto nötiger ist eine Automatisierung. Zuhause sollte ich alle Möglichkeiten, die auf Kritischer Infrastruktur aufbauen, nutzen können und nicht sagen müssen, dass ich Angst habe, etwas zu benutzen. Natürlich ist es sinnvoll bei Produkten darauf zu achten, ob sie sicher sind. Aber das ist nicht nur eine individuelle Entscheidung. Es bringt langfristig nichts zu sagen, ich kaufe solange wie möglich keine Internet-Waschmaschine. Über kurz oder lang werden die Dinger alle internetfähig sein oder bestimmte Funktionen gehen sogar nur noch über das Netz. Technologie bietet immer Chancen und Gefahren. Wir sollten da aber nicht in Panik verfallen. Vielleicht sollte man sich im Großen die Frage stellen, wen wähle ich und wie konstruktiv reguliert dieser die Digitalisierung? Am Ende muss politisch entschieden werden, wie Kritische Infrastruktur geschützt wird. Aktuell wird da eher auf Überwachung und Befugniserweiterung für Sicherheitsbehörden gesetzt und nicht auf echte Sicherheit und Cyberresilienz.