Landwirtschaft als potenzielle Zielscheibe für Cyberattacken

Manuel Atug, Gründer der Arbeitsgruppe KRITIS, warnt vor der Komplexität und Verantwortungsdiffusion in der deutschen staatlichen Cybersicherheitsarchitektur. Im Interview übt der IT-Spezialist harsche Kritik an der aktuellen Gesetzgebung. Trotz des IT-Sicherheitsgesetzes sieht Atug weiterhin Handlungsbedarf für eine stärkere Sicherheit in kritischen Infrastrukturen.

Ein Interview von Leo Bareth

Die »Stiftung Neue Verantwortung« hat nun die 10. Auflage ihrer Studie zur staatlichen Cybersicherheitsarchitektur Deutschlands veröffentlicht. Besorgniserregend ist das Schaubild, in dem alle öffentlichen Stellen, die mit dem Thema Cybersicherheit zu tun haben, dargestellt werden. Es scheint, als gäbe es für jede analoge Behörde auch noch eine digitale Anlaufstelle für Cybersicherheit. Was hat es damit auf sich?

Atug: Wenn jedes Ministerium einen digitalen Bereich hätte, wäre es noch überschaubar. Doch in der Realität wird alles Mögliche zusätzlich durcheinander geworfen. Insofern wird dieses »Cyberwimmelbild der Verantwortungsdiffusion«, so hab ich es auch im Bundestag genannt als dieser im März oder April über Verantwortlichkeiten im Cyberraum getagt hatte, auch nicht besser, wenn eine weitere Stelle für Cybersicherheit eingerichtet wird, die das dann aufräumen soll. Das Problem mit diesem Konstrukt ist, dass es viel zu komplex ist, keiner mehr durchblickt, niemand mehr die Verantwortung übernimmt und jede Behörde mitmachen möchte, weil dafür ein Budget zur Verfügung steht. Wir müssen Ordnung schaffen, die Komplexität reduzieren und die Verantwortlichkeiten klar definieren. An vielen Stellen ist die Bundeswehr irgendwie beteiligt, und da stellt sich für mich die Frage, was sie in diesem Bild zu suchen hat, außer im militärischen Bereich. Die meisten Angriffe haben nichts mit dem Militär zu tun, aber die Bundeswehr ist dennoch überall involviert. So ist es an vielen Stellen. Die Behörden und Ministerien nehmen alle an, dass der Cyberraum wie der Wilde Westen ist, wo sich jeder auf irgendeine Weise profilieren kann. Aber das führt eben zu Unsicherheit und Verwirrung bei den Akteuren, die dann wirklich ein Problem haben.

Im Mai 2022 gab es die Schlagzeile, dass John Deere in der Ukraine von den Russen gestohlene Traktoren abgeschaltet hat. John Deere ist einer der größten Landmaschinen Hersteller der Welt, ist das nicht eine riesige Angriffsfläche, welche große Teile der Landwirtschaft betreffen?

Atug: Ja, auf jeden Fall. Mit den fortschreitenden technologischen Entwicklungen gehen auch Dual-Use-Funktionen einher, denn wenn John Deere die Fahrzeuge lahmlegen kann, kann es auch ein anderer. Die großen Landmaschinenhersteller haben bereits seit geraumer Zeit Maßnahmen ergriffen, um sicherzustellen, dass Landwirte keine eigenständigen Reparaturen mehr an ihren Maschinen durchführen können. Die Baugruppen sind durch digitale Signaturen geschützt, sodass ein einfacher Austausch nicht möglich ist. Landwirte sind somit auf externe Reparaturdienste angewiesen, was zu einer Abhängigkeit vom Hersteller führt – eine Situation, die eigentlich vermieden werden sollte. Dieser konkrete Fall ist zweifellos problematisch. Zwar mag es erfreulich sein, dass die gestohlenen Geräte von den Russen nicht mehr genutzt werden können, jedoch bleibt die Frage des Reverse Engineerings, bei dem die Maschinen wieder aktiviert werden könnten, ohne auf John Deere angewiesen zu sein. Darüber hinaus stellt sich die Frage, was andere Akteure wie organisierte Kriminalität, Cyberkriminelle oder auch staatliche Akteure davon abhält, diesen Killswitch zu aktivieren, sobald sie herausgefunden haben wie er funktioniert. Es besteht auch die Möglichkeit, dass solche Akteure John Deere selbst kompromittieren und den Killswitch nicht nur gezielt, sondern flächendeckend einsetzen, was erheblichen Schaden anrichten könnte. Ein ähnlicher Vorfall ereignete sich beispielsweise bei den KaSat-Satellitenmodems, die in Deutschland die Fernwartung ganzer Windparks lahmlegten, da die Russen damit die ukrainische Kommunikation stören wollten. Es gibt und gab auch lange die Diskussion, ob Technikkomponenten des chinesischen Konzerns Huawei in den Mobilfunknetzen nicht erlaubt sein sollte, da man die Möglichkeit gesehen hat, dass dieses Unternehmen über einen solchen Killswitch oder eine Backdoor die Funknetze stilllegen kann. Der Fall mit dem Killswitch bei John Deere ist derselbe, nur in Grün, für Landmaschinen. Diese Fälle sind aber nicht in der aktuellen Gesetzgebung für KRITIS berücksichtigt. Diese betrifft nur Unternehmen aus den 10 KRITIS Sektoren, die mehr als 500.000 Menschen versorgen. Fahrzeughersteller gehören nicht dazu.

Ulrike Lechner von der Universität der Bundeswehr in München schreibt, dass die Ernährungsbranche vor allem durch kleine und mittlere Unternehmen geprägt ist. Führt das zu einer größeren Resilienz, weil durch mehr Unternehmen Produktionsausfälle besser kompensiert werden können?

Atug: Mit dem Argument “Na ja, wenn einer weg ist, sind noch viele andere da” macht man es sich zu einfach. Zum einen trifft dies nicht zu, wenn es sich um einen koordinierten Angriff handelt, wie beispielsweise den Killswitch bei den Landmaschinen oder den Satellitenmodems. In solchen Fällen sind viele verschiedene Akteure auf dem Markt gleichzeitig betroffen. Zum anderen spielt die Standortabhängigkeit eine große Rolle. Viele LKW voll Rohmilch am Tag können nicht einfach quer durch Deutschland transportiert, um woanders zusätzlich mitverarbeitet zu werden. Gerade bei einem Unternehmen, das groß genug ist, um als KRITIS-Unternehmen eingestuft zu werden, reichen die Kapazitäten anderer Unternehmen nicht aus, um einen solchen Ausfall in kurzer Zeit zu kompensieren.
Die Ernährungsbranche, wie viele andere Industrien heutzutage auch, ist von Just-in- Time-Belieferung und geringer Lagerhaltung geprägt, da Lebensmittel eine begrenzte Haltbarkeit haben. Es funktioniert also nicht einfach nach dem Motto “Die anderen werden das schon auffangen”.

Wie schätzen Sie die Branche ein? In einer Auswertung des BSI wird der Sektor Ernährung als einer derjenigen mit den wenigsten Cybersicherheitsvorfällen in kritischen Infrastrukturen genannt. Ist der Branche das Problem schon länger bewusst?

Atug: Im Gegenteil. In Unternehmen der Branche gibt es viele verschiedene Systeme, die einen Einfluss auf die Produktion und die Funktionsfähigkeit des Betriebs haben. Dazu gehören beispielsweise Flottenmanagementsysteme, zentrale Anlagensteuerungs- und -überwachungssysteme, Warenwirtschafts- und Lagerverwaltungssysteme sowie Systeme zur Bestell- und Lieferverwaltung. Diese Systeme sind alle kritisch für die Produktion, und viele Unternehmen der Branche wurden erst mit der Einführung des IT-Sicherheitsgesetzes im Jahr 2015 richtig darauf aufmerksam, welchen Einfluss diese Systeme haben können. Das Gesetz führte Sicherheitspflichten für KRITIS- Unternehmen ein, um die sich zuvor oft nicht ausreichend gekümmert wurde. Aufgrund der geringen Anzahl von Vorfällen gab es oft kein Bewusstsein für diese Problematik und die Unternehmen hatten in der Regel eher eine informelle Herangehensweise an die IT-Verwaltung. Es gab beispielsweise einen IT- Verantwortlichen, der sich um die Rechnerinfrastruktur kümmerte, aber die Produktion wurde getrennt vom Betriebsleiter betrachtet, der das Thema IT oft nicht ausreichend auf dem Schirm hatte. Dabei waren in den Fabriken oft IT-Komponenten wie industrielle Steuerungssysteme und Prozessautomatisierung vorhanden. Vor allem die Ernährungsindustrie hatte bisher wenig mit Cybersicherheit zu tun und es musste viel aufgeholt werden. Es war notwendig, Teams und Strukturen aufzubauen, die in anderen Branchen wie dem Finanz- und Versicherungswesen bereits existierten. Es sind noch nicht alle Unternehmen am Ziel, aber viele haben bereits viel Arbeit in den Aufbau von Sicherheitsmaßnahmen gesteckt. Sie haben erkannt, wie viele Risiken und Defizite existieren, von denen sie zuvor keine Kenntnis hatten. Das Gesetz hat hier definitiv als Weckruf gewirkt.

Was macht den KRITIS-Sektor Ernährung besonders?

Atug: Ein besonderes Merkmal des KRITIS-Sektors Ernährung ist die enge Verknüpfung mit anderen KRITIS-Sektoren. Wenn wir zum Beispiel von KRITIS-Großbäckereien sprechen, handelt es sich um große Betriebe, die mit verschiedenen Teigsorten arbeiten und den Teig unter bestimmten Bedingungen ruhen und reifen lassen müssen, um täglich die entsprechenden Mengen an Brot und Brötchen produzieren zu können. Ein Cyberangriff kann hier gravierende Folgen haben und die Produktion für mehrere Tage oder sogar Wochen stilllegen. Im Gegensatz zu der ein oder anderen Branchen kann man nicht einfach neu starten und nach wenigen Stunden Ausfall wieder an der Stelle weitermachen, an der man aufgehört hat. Verschiedene Teigsorten in verschiedenen Reifegraden in den Tonnen wieder zu erstellen, dauert Wochen oder gar Monate, wenn vorher die gesamte Produktion zunichtegemacht wurde. Diese Betriebe beliefern in der Regel nicht nur Supermärkte und den Einzelhandel, sondern auch Krankenhäuser, Seniorenheime und andere Akteure im Gesundheitssektor. Ein Produktionsausfall kann daher nicht nur im Ernährungssektor, sondern auch im Gesundheitssektor zu einem ernsthaften Problem führen.

Die KRITIS-Vorschriften machen den Eindruck, als würden dort Maßnahmen verpflichtend vorgeschrieben, die angesichts der jährlichen Schadenssummen durch solche Angriffe für alle anderen Unternehmen auch sinnvoll wären. Geht die Gesetzgebung da überhaupt weit genug?

Atug: Natürlich nicht. Bei der IT-Sicherheitsgesetz-2.0-Anhörung im Bundestag, in der ich als Sachverständiger beteiligt war, haben sowohl ich als auch die 5 anderen Sachverständige zahlreiche Verbesserungsvorschläge eingereicht. Ein Professor einer Universität hat sogar argumentiert, dass Teile dieser Gesetzgebung verfassungswidrig sind. Es ist selten, dass alle Sachverständigen ein Gesetz kritisieren, da zumindest die Sachverständigen der Regierungsparteien wohlgesonnen gegenüber dem Gesetzgeber sind. Selbst der Sachverständige der regierenden CDU/CSU hat das Gesetz stark kritisiert. Diese Bedenken wurden jedoch ignoriert und das Gesetz beschlossen. Auch die Einreichungen von Verbänden wurden weitgehend ignoriert. Das ist bedauerlich, denn die Gesetzgebung ist kommunikativ schwach und unzureichend. Zum Beispiel wird die physische Sicherheit noch nicht ausreichend berücksichtigt, obwohl dies ein wichtiger Aspekt ist und nun mit dem geplanten KRITIS-Dachgesetz berücksichtigt werden soll. Physische Gefahren wie Feuer, Wasser oder Einbruch können ebenfalls die Systeme gefährden und sollten daher in dieser Hinsicht ebenfalls beachtet werden. Darüber hinaus betrifft die aktuelle Regelung nur etwa 2.000 Akteure, während es allein im Wassersektor in Deutschland über 5.500 Stadtwerke gibt, von denen nur 47 als KRITIS eingestuft sind. Es gibt also eine erhebliche Anzahl von Akteuren, die als KRITIS gelten könnten, aber gesetzlich nicht erfasst werden.