Besserer Schutz vor Cyber-Attacken
Angriffe aus dem Internet sind längst keine abstrakte Gefahr mehr. NRW will sich nun besser davor schützen.
Bonn. Ein um Jahre zurückgeworfenes Krankenhaus, attackierte Stadtverwaltungen, infizierte Computer bei der Bahn: Angriffe aus dem Internet sind längst keine theoretische Gefahr mehr — sondern bittere Realität mit weitreichenden Folgen. Nordrhein-Westfalen will Behörden und Unternehmen künftig besser vor solchen Cyberangriffen schützen. Das Land vereinbarte dazu gestern in Bonn eine engere Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) — einer Bundesbehörde. Unter anderem geht es um Aus- und Fortbildungen sowie IT-Management in Krisenfällen.
„Die Lage ist sehr ernst“, betonte BSI-Präsident Arne Schönbohm. Es gebe Millionen von Schadprogrammen und jeden Tag identifiziere man 280 000 neue. Auch NRW sei bekanntermaßen schon Ziel von Cyberangriffen gewesen. Schönbohm erinnerte an die Attacke auf das Lukaskrankenhaus in Neuss. Die Klinik musste 2016 zeitweise die Systeme herrunterfahren, weil sich ein Computervirus eingeschleust hatte — das hochmoderne Krankenhaus arbeitete plötzlich wieder wie vor 30 Jahren.
Laut BSI-Angaben ist NRW nach Hessen und Rheinland-Pfalz das dritte Land, das eine derartige Vereinbarung mit der Bundesbehörde trifft. Zunächst handelt es sich um eine Absichtserklärung. Bis zum Sommer sollen die konkreten Schritte feststehen. Das BSI nannte neben Aus- und Fortbildungen auch den Informationsaustausch über Schadsoftware als Beispiel.
Arne Schönbohm, BSI-Präsident
Verwaltungen seien „ein hochattraktives Ziel“ für Cyberangriffe, sagte BSI-Präsident Schönbohm — immerhin seien dort große Datenmengen über Bürger und Unternehmen hinterlegt.
Wie verwundbar Systeme mitunter sind, hat unlängst der Schaden durch die „WannaCry“-Attacken gezeigt. Erpressungstrojaner verschlüsselten 2017 Computer in mehr als 150 Ländern und verlangten von den Besitzern Lösegeld für die Freischaltung. Betroffen war etwa die Deutsche Bahn. Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen.
NRW-Digitalminister Andreas Pinkwart (FDP) sagte, Deutschland sei bei der Digitalisierung der Verwaltung im internationalen Vergleich noch in einem Aufholprozess. Sicherheitsstandards müssten sich dabei aber parallel mitentwickeln. „Wenn der Staat in die digitale Welt geht, muss er handlungsfähig bleiben“, sagte er.
Die Aufgabe ist allerdings gewaltig. „Unsere Systeme sind sehr komplex geworden. Windows 10 hat geschätzt zwischen 50 und 60 Millionen Zeilen Code“, sagte Thorsten Holz, Professor für Systemsicherheit an der Uni Bochum. Aufgrund der Komplexität sei es gar nicht vermeidbar, dass Softwareentwickler Fehler machten. „Hinzu kommt, dass die Administratoren oft nicht ausreichend geschult sind und Einbrüche in Computersysteme nicht direkt bemerken.“
Fachleute bemängeln schon länger, dass die Fachkompetenz vielerorts noch nicht vorhanden sei. „Es gibt das Problem, dass Menschen, die als Sachbearbeiter in einem Rathaus sitzen, sich nicht unbedingt mit IT-Sicherheit auskennen“, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes. Dabei seien gerade an solchen Endpunkten von Netzsystemen die größten Angriffsflächen zu finden. „Weil dort Menschen sitzen. Dort kann man Passwörter und mehr abfangen — und in der Folge auch viele sensible Daten.“