IT-Experte über Cybersicherheit "Wir sind in einer vollkommen neuen Bedrohungslage"
Der IT-Sicherheitsanbieter Protelion steht im Verdacht, Kontakt zu russischen Geheimdiensten zu unterhalten. Was bedeutet das für die Cybersicherheit deutscher Institutionen? Ein Interview mit IT-Experte Jan Lemnitzer.
Jan Böhmermann hat im "ZDF Magazin Royale" eine Lücke in der deutschen Cybersicherheit aufgezeigt. Über die Enthüllungen der ZDF-Sendung haben wir mit dem hessischen IT-Sicherheitsexperten Jan Lemnitzer gesprochen. Welche Aufgaben übernehmen Sicherheitsanbieter wie "Protelion"? Welche Rolle spielt der Cybersicherheitsrat Deutschland e.V. (nicht zu verwechseln mit dem Cyber-Sicherheitsrat im Bundesverteidigungsministerium)? Und: Was bedeuten die Böhmermann-Recherchen für die Cybersicherheit deutscher Institutionen?
hessenschau.de: Herr Lemnitzer, seitdem das "ZDF Magazin Royale" über mögliche Kontakte der Firma Protelion zu russischen Geheimdiensten berichtet hat, wird verstärkt über die Cybersicherheit deutscher Institutionen und Unternehmen diskutiert. Können Sie uns kurz erklären, was Firmen wie Protelion ihren Kunden eigentlich anbieten?
Jan Lemnitzer: Das Problem ist, dass die meisten Firmen und Institutionen mit der eigenen IT-Sicherheit überfordert sind. Die können gar nicht mehr alle ihre Netzwerke überwachen oder erkennen, ob jetzt gerade die allerneueste Malware eingespeist wurde. Sie können auch nicht mit den wenigen Leuten in ihren IT-Abteilungen jede einzelne Verbindung verschlüsseln und absichern. Also holt man sich dafür Dienstleister ins Haus. Den Preis, den man dafür bezahlt, ist, dass diese externen Dienstleister einen extrem direkten und umfangreichen Zugang zum jeweiligen Netzwerk haben.
hessenschau.de: Was bedeutet in diesem Zusammenhang "extrem umfangreicher Zugang"? Haben die Dienstleister Zugriff auf sämtliche Daten? Oder auch auf die Hardware?
Lemnitzer: Wenn ein Unternehmen von Protelion eine VPN-Lösung (Virtuelles Privates Netzwerk - Anm. der Redaktion) gekauft hat, ist jedweder Datenverkehr, der durchgeleitet wird, für den Anbieter theoretisch abgreifbar. Oder das Unternehmen lässt durch Protelion die unternehmensinterne Kommunikation verschlüsseln - dann hat Protelion auf diese Kommunikation einen Zugriff, den selbst der Auftraggeber nicht mehr hat. Und wenn die Firma eine Lösung eingekauft hat, in der das eigene Netzwerk überwacht wird - um Angriffe abzuwehren - dann bedeutet das, dass ich dem externen Dienstleister Einblicke in wirklich alles, was in diesem Netzwerk passiert, gewähre.
hessenschau.de: Der Anbieter könnte also alles an Kommunikation mitlesen und gegebenenfalls weiterleiten, wenn er denn wollte?
Lemnitzer: Er könnte noch mehr. Er könnte auch die Kontrolle über das Netzwerk übernehmen und - wenn es zum Beispiel um Industrieanlagen geht - anfangen, einzelne Einstellungen zu manipulieren.
hessenschau.de: Auf gut Deutsch: Der Anbieter könnte in einem weitgehend automatisierten Industriebetrieb die gesamte Produktion zum Erliegen bringen?
Lemnitzer: Ja. Oder ein anderes Beispiel: Protelion bietet auch sogenannte Remote-Management-Lösungen an. Nehmen wir also einen Betreiber von Windkraftanlagen. Der möchte nicht jedes Mal zur Wartung jemanden auf den Turm schicken, sondern hätte gerne ein Programm, mit dem er das über seinen Computer erledigen kann. Das ist ein sehr bekannter Vektor für Angriffe auf diese Art von Industrieanlagen. Wenn ich mir da also eine Lösung von einem Unternehmen einkaufe, das direkte Verbindungen zum russischen Geheimdienst hat, dann müssen wir nicht darüber reden, ob es hier ein Sicherheitsrisiko gibt oder nicht.
hessenschau.de: Das klingt so, als hätten wir hier ein systemisches Problem, wenn Unternehmen und Institutionen ihre gesamte IT-Sicherheit in die Hand eines Anbieters legen müssen.
Lemnitzer: Das ist eine Abwägungssache. Wenn die eigenen Kapazitäten und die Cyber-Bedrohung in keinem Verhältnis mehr stehen und Sie einfach hochkompetente Hilfe brauchen, dann erhöhen Sie natürlich erst mal die eigene Sicherheit, indem Sie einen professionellen Dienstleister reinholen. Das ist ganz normal. Doch die Wahl dieses Anbieters ist natürlich hochkritisch. Da müssen Sie als Kunde ganz genau hinschauen, wen Sie sich da reinholen. Wenn man dann ein Unternehmen wählt, das anscheinend noch nicht mal ein eigenes Türschild hat, stellen sich natürlich Fragen.
hessenschau.de: Protelion war nun ironischerweise Mitglied im Cybersicherheitsrat Deutschland e.V. - wie unter anderem auch die Stadt Frankfurt und die Commerzbank. Ihnen war dieser Verein schon länger suspekt. Warum?
Lemnitzer: Es ist immer seltsam, wenn ein privater Verein den Eindruck zu erwecken sucht, es handele sich bei ihm um ein quasi-staatliches Organ. Aber auch darüber hinaus hat der Verein ein merkwürdiges Gebahren an den Tag gelegt. Nehmen wir noch mal Protelion. Das sagt der Cybersicherheitsrat jetzt: Na ja, die sind 2020 bei uns Mitglied geworden, aber seitdem hatten wir nie Kontakt. Da stellt sich doch die Frage: Was ist das für ein Verein, der zu seinen Mitgliedern keinen Kontakt hält? Der Verein will sich um Cybersicherheit kümmern, aber guckt sich noch nicht einmal genauer an, wer da dem eigenen Kreis beitritt.
hessenschau.de: Welche Konsequenzen sollten Unternehmen und Institutionen in Sachen Cybersicherheit jetzt ziehen?
Lemnitzer: Wir sind in einer vollkommen neuen Bedrohungslage, in der zu erwarten ist, das staatliche Stellen versuchen werden, kritische Infrastruktur in Westeuropa anzugreifen. Und dafür sind solche Techniken wir Remote-Management für Industrieanlagen oder Netzwerk-Überwachung besonders geeignet. Deshalb ist ganz wichtig, sich die Anbieter anzusehen.
hessenschau.de: Es klingt so, als hätten in Deutschland auch sehr große Institutionen beim Thema Cybersicherheit eine große Naivität walten lassen.
Lemnitzer: Wenn man sich mit dem Thema Cybersicherheit beschäftigt, hat man dieses Gefühl leider immer und immer wieder.
Das Gespräch führte Danijel Majić.
Sendung: hr-fernsehen, hessenschau, 10.10.2022, 19.30 Uhr
Ende der weiteren Informationen