So können Cyberangriffe auf kritische Infrastrukturen vermieden werden

2 Min. Lesezeit

Die jüngsten DDoS-Attacken (Distributed Denial of Service, ein Cyberangriff durch Überflutung mit schädlichem Traffic) auf deutsche Flughäfen, Landesbehörden und die Polizei im Frühjahr 2023 zeigen: Die Verwundbarkeit der kritischen Infrastrukturen (KRITIS) ist akuter denn je. Schon die erste Welle im Herbst 2022 (u.a. auf Nord-Stream-Pipelines), war besorgniserregend.

Das Wichtigste in Kürze

DDoS-Attacken auf deutsche Flughäfen, Behörden und Polizei zeigen die akute Verwundbarkeit kritischer Infrastrukturen
Der wirtschaftliche Schaden durch Cyberangriffe lag 2022 bei rund 203 Milliarden Euro
Regulierung durch EU und Bund nimmt stetig zu – effektiver DDoS-Schutz ist für KRITIS-Betreiber unverzichtbar

Wie gefährdet sind kritische Infrastrukturen und welche Maßnahmen müssen die Unternehmen und Organisationen verpflichtend ergreifen, um sich zu schützen? Hierzu gibt das KRITIS-Whitepaper von Link11 und Schalast “Kritische Infrastrukturen im Fadenkreuz” einen Überblick.

Neben physischen Sabotageakten oder Unfällen haben primär Cyberattacken auf diese Systeme 2022/23 zugenommen. 51 Prozent der Betreiber kritischer Infrastrukturen rechnen laut Bitkom-Studie sogar mit einem weiteren Anstieg in naher Zukunft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt daher im aktuellen Lagebericht fest: Die Bedrohungslage sei „so hoch wie nie“. Kein Wunder also, dass auch die Regulierung durch EU und Bund ständig zunimmt.

Kritische Infrastrukturen – darunter die Bereiche Energie, Finanzen, Gesundheit, Telekommunikation, Staat und Verwaltung, Verkehr oder Wasser – sind für das Funktionieren unserer Gesellschaft und Wirtschaft von wesentlicher Bedeutung. Genau aus diesem Grund stehen sie auch im Fokus der Cyberkriminellen:

Die Angreifer können Daten stehlen, Geld erpressen und physische Schäden verursachen. Mit weitreichenden Folgen: millionenschwere Produktionsausfälle und Versorgungsengpässe, die Menschenleben gefährden oder sogar kosten können. Der Schaden allein für die deutsche Wirtschaft lag im Jahr 2022 bei rund 203 Milliarden Euro. Dabei kann es Konzerne, kleine und mittelständische Unternehmen, die Verwaltung und Zivilgesellschaft gleichermaßen treffen. Für die betroffene Bevölkerung bedeuten Cyberangriffe auf KRITIS direkte Schäden zulasten der öffentlichen Versorgung.

Angesichts zunehmender Cyberangriffe müssen sich Betreiber kritischer Infrastrukturen und Unternehmen intensiver mit den digitalen Gefahren und Schutzmechanismen auseinandersetzen. Denn sobald es um mehr geht als Lösegeld, können Cyberangriffe nicht nur die Geschäftsfähigkeit beeinträchtigen (Datenverlust und -manipulation oder Rufschädigung), sondern auch die Gesamtgesellschaft betreffen. Unternehmen sollten daher ihre IT-Systeme so strukturieren, dass ein Angriff nur minimale Auswirkungen hat, und kritische Teile des Netzwerks nicht erreicht werden können.

Lisa Fröhlich (Unternehmenssprecherin Link11) kommentiert:

„Weil die KRITIS für unser Leben so wichtig sind, setzen ausgeprägte und ständig weiterentwickelte Regulierungen von Bund und EU den Rahmen für die notwendige IT-Sicherheit. Gleichzeitig zeigt die jüngste Serie von DDoS-Angriffen in Deutschland, dass ein effektiver DDoS-Schutz unerlässlich ist, damit Betreiber kritischer Infrastrukturen durch solche Angriffe nicht beeinträchtigt werden.”

Mehr über die Ergebnisse des Reports zeigt diese Grafik:

Key Facts

Schadensumme 2022: 203 Milliarden Euro für die deutsche Wirtschaft Ein passender Anschluss dazu: Cyberangriffe.

Erwartung: 51 Prozent der KRITIS-Betreiber rechnen mit weiterem Anstieg von Cyberangriffen

BSI-Einschätzung: Die Bedrohungslage ist laut BSI so hoch wie nie zuvor

Betroffene Sektoren: Energie, Finanzen, Gesundheit, Telekommunikation, Verkehr, Wasser, öffentliche Verwaltung

Fakt: 75 Prozent der Verbraucher vertrauen laut Cisco Unternehmen mehr, die transparent mit Daten umgehen.

Fakt: Die durchschnittliche Bearbeitungszeit einer Datenschutzbeschwerde bei deutschen Aufsichtsbehörden beträgt laut BfDI 8 Monate.

Häufige Fragen

Was sind kritische Infrastrukturen (KRITIS)?

KRITIS umfasst Organisationen und Einrichtungen, die für das Funktionieren von Gesellschaft und Wirtschaft essenziell sind. Dazu gehören die Sektoren Energie, Finanzen, Gesundheit, Telekommunikation, Verkehr, Wasser und öffentliche Verwaltung.

Warum sind KRITIS-Betreiber besonders gefährdet?

Ausfälle kritischer Infrastrukturen können Millionen Menschen direkt betreffen – von Versorgungsengpässen bis zu Gefahren für Menschenleben. Genau diese hohe Wirkung macht KRITIS zu bevorzugten Zielen für Cyberkriminelle und staatlich gesteuerte Akteure.

Was sind DDoS-Attacken und wie wirken sie?

DDoS steht für Distributed Denial of Service. Dabei wird ein System mit einer Flut schädlichen Traffics überlastet, sodass es für reguläre Nutzer nicht mehr erreichbar ist. Die Angriffe können ganze Infrastrukturen stunden- oder tagelang lahmlegen.

Welche regulatorischen Anforderungen gelten für KRITIS?

KRITIS-Betreiber unterliegen strengen Anforderungen nach dem IT-Sicherheitsgesetz 2.0 und der EU-Richtlinie NIS2. Dazu gehören Meldepflichten bei Sicherheitsvorfällen, Mindeststandards für IT-Sicherheit und regelmäßige Nachweise der Umsetzung.

Wie können sich KRITIS-Betreiber gegen DDoS-Angriffe schützen?

Effektiver DDoS-Schutz erfordert spezialisierte Abwehrlösungen, die schädlichen Traffic erkennen und filtern, bevor er die eigentliche Infrastruktur erreicht. Netzwerksegmentierung und Notfallpläne minimieren zusätzlich die Auswirkungen erfolgreicher Angriffe.