Das neue Jahr hat begonnen und damit stellen sich auch neue Herausforderungen der Cyberresilienz. Nicht erst seit dem letzten Jahr hat sich gezeigt: Sowohl staatliche Organisationen als auch Cyberkriminelle haben es auf deutsche Parlamente und Rathäuser abgesehen. Davor gilt es sich zu schützen. Den folgenden fünf Themen sollte sich die Politik daher besonders widmen.

2023 begann für die Stadt Potsdam gleich mit einem Schock: Aufgrund einer Cyber-Attacke schickte Potsdams Oberbürgermeister die gesamte Verwaltung offline. Eine sogenannte "Brute-Force"-Attacke, die mittels verschiedener Methoden vor allem nach einfachen Passwörtern sucht, führte aufgrund vorhergehender Warnung der Sicherheitsbehörden zur Komplett-Abschaltung aller digitaler Systeme. Nun wird nach Ursachen, Schwachstellen und Maßnahmen gesucht.

Was früher noch Schlagzeilen eher auf Ebene des Bundestags machte, ist heute mittlerweile nahezu täglich bis in die kleinsten Ebenen der Politik, Verwaltung und Organisationen präsent: Passwort-Diebstahl, Ransomware, Konten-Übernahme, etc. Die aktive Sicherheit der eigenen, beruflichen und behördlichen IT ist mittlerweile eine gesamtgesellschaftliche Aufgabe.

Das Zukunftsinstitut in Frankfurt am Main spricht in diesem Zusammenhang ganz grundsätzlich von vier Thesen für unser aktuelles Jahrzehnt:

• IT-Sicherheit sei als Prozess zu verstehen
• IT-Sicherheit bedarf eines „systemischen Mindsets“
• IT-Sicherheit brauche eine Fehlerkultur der „Unsicherheitskompetenz“
• IT-Sicherheit brauche Vertrauen in die dafür vorgesehene Technologie

Diese Grundannahmen lassen sich für 2023 in ganz konkrete Maßnahmen umsetzen, an der vor allem die Politik nicht mehr vorbeikommt.

⁎⁎⁎

5 Megatrends zeichnen sich ab

Nachdem über Jahrzehnte intensiv in die Sicherheit der Technik investiert wurde, sind Angriffe der letzten Zeit vor allem einer Zielgruppe gewidmet: Dem Menschen. Das hat ganz einfach ökonomische Hintergründe. Sich in die Sicherheitssysteme von Laptops, Servern oder Software einzuhacken ist mittlerweile um ein Vielfaches aufwendiger und damit schlichtweg teurer, als manipulativ einen Menschen dazu zu bringen, etwa durch Phishing sein Passwort zu verraten. Heute wird selten noch wirklich gehackt – Kriminelle loggen sich vielmehr einfach ein.

Um dem zu begegnen, zeichnen sich für 2023 diese fünf Megatrends der IT-Sicherheit ab:

1. Passwortlose Systeme: Ausschaltung der größten menschlichen Schwachstelle
2. Cloud-Dienste: Sicherung der Daten, dem „Gold des 21. Jahrhunderts“
3. Künstliche Intelligenz: Vernetzung und Analyse der Daten für bessere Erkenntnisse
4. Nachhaltigkeit der Systeme: Hardware so lange wie möglich nutzen
5. Notfallpläne: Verantwortlichkeiten, Ansprechpersonen und Übungen im Team

Dabei gilt folgender Grundsatz: Ein System ist mittlerweile nur so sicher, wie die Kenntnislage der Mitwirkenden. Bei einem Angriff geht es nicht um den individuellen Fehler, etwa des versehentlichen Klickens auf einen Link in einer E-Mail. Vielmehr werden immer alle angegriffen und je schwächer ein System ist, desto häufiger tauchen Vorfälle im Team an verschiedenen Stellen auf. Die Antwort muss also ebenso im Team gefunden werden.

⁎⁎⁎

Megatrend #1: Passwortlosigkeit – Die Zukunft ohne Passwörter ist da

Nach wie vor schützen wir unsere Konten und Identitätsnachweise am meisten mit Passwörtern. Und natürlich nutzen viele allzu oft dasselbe Passwort, zudem meist mit derselben E-Mail-Kombination. Statt aber mit dem erhobenen Zeigefinger immer komplexere Systeme aufzusetzen, geht die IT-Industrie mittlerweile einen anderen Weg: Verfahren, welche Menschen intuitiv bereits nutzen und dabei eine hohe Sicherheit garantieren.

Die IT war lange durch „logische Systeme“ geprägt, die vor allem eine hohe Lernkurve und viele Fehlerquellen beinhaltet haben. Mittlerweile ist es längst üblich, das Verhalten von Menschen zu analysieren und Systeme so aufzusetzen, dass sie ohne Erklärung intuitiv richtig genutzt werden. Mit dem System der Bankkarte etwa gibt es seit über 40 Jahren eine sogenannte „Mehrfach-Authentifizierung“: Eine Kombination aus einem Passwort und einem haptisch mitgeführten Gegenstand.

Darauf basiert die Technologie von Sicherheitsschlüsseln, welche immer mehr Internetdienste anbieten. Damit kann man sich zusätzlich zum Passwort entweder per USB oder NFC identifizieren – ein Passwortdiebstahl oder ein vermeidlich einfaches (immer wieder verwendetes) Passwort ist damit ein deutlich geringeres Sicherheitsrisiko. Zudem nutzen viele einen Iris-Scanner oder Fingerabdruck-Sensor am Smartphone als weiteren Faktor. In einer neuen Kombination unter dem Stichwort „Passkeys“ werden diese beiden nun zusammengeführt und machen das Passwort nicht länger nötig.

⁎⁎⁎

Megatrend #2: Cloud-Dienste – Daten brauchen eine deutlich höhere Sicherheit

Zugegeben: Selbst Aktive aus der IT-Branche sind mit dem Begriff der Cloud, also der „Wolke“, unglücklich. Erweckt es doch den Eindruck eines irgendwie über uns schwirrenden Systems, was kaum fassbar ist und daher intransparent wirkt. Oft heißt es dazu: Es gibt keine Cloud, es gibt nur fremde Rechner. Doch das ist eigentlich gar kein Problem, im Gegenteil.

Natürlich handelt es sich um fremde Rechner – und die sind viel besser geschützt. So, wie Geld und Wertsachen häufig zu professionellen Instituten wie Banken gebracht werden (statt sie unterm Kopfkissen zu bunkern), brauchen auch Daten mittlerweile eine höhere Sicherheit. Vor allem sensible Daten über Personen, Finanzen oder Vorhaben.

Derzeit erleben wir sehr viele Angriffe auf Daten durch sogenannte Ransomware-Attacken. Dabei werden Festplatten verschlüsselt und ein Lösegeld (Englisch: Ransom) verlangt. Moderne Server großer Anbieter können in diesem wie auch in anderen Fällen eine deutlich höhere Sicherheit bieten als private Festplatten, selbst bei einem Kontodiebstahl. Vergleichbare Systeme wären im Privaten oder für einzelne Organisationen hingegen kaum noch finanzierbar.

⁎⁎⁎

Megatrend #3: Künstliche Intelligenz – Wenn Daten miteinander vernetzt werden

Werden Daten über die Cloud miteinander vernetzt, eröffnen sich zudem gänzlich neue Möglichkeiten der Erkenntnisgewinnung. Grundsätzlich ist das Arbeiten in der Cloud erst einmal eine Erleichterung: Quer über eine Organisation liegt von jeder Datei jeweils nur eine gemeinsame Version vor, zudem sind Verläufe transparent und können sogar rückgängig gemacht werden. So lassen sich beispielsweise auch Kontakte sowie der Datenschutz viel besser managen.

Darüber hinaus kommen diverse Potenziale effizienterer Prozesse ins Spiel: Durch Software lassen sich Automatisierungen, Benachrichtigungen und Übersichten erstellen, welche den Alltag deutlich erleichtern und sich wiederholende und oftmals wenig motivierende Aufgaben der Maschine übergeben. Das setzt gerade in der Politik eine sehr wichtige Ressource frei: Die Zeit.

Zudem kommen aber Potenziale künstlicher Intelligenz (KI). Dabei ist der Begriff missverständlich: Es handelt sich nicht um selbstdenkende Computer, sondern eher um „Wenn-Dann“-Prozesse, die sich intelligent anfühlen, weil sie im Vorfeld dazu programmiert wurden. Der Begriff „künstlich“ ist hier eher zu verstehen wie bei einer „künstlichen Weintraube“.

Mithilfe von KI können mittlerweile Prozesse aufgesetzt werden, welche Aufgaben wie Texterstellung, Kommunikation oder Gestaltung übernehmen bzw. weitestgehend vorbereiten können. Zudem können auf eine ganz neue Art Zusammenhänge und Erkenntnisse gewonnen werden. Auch Sicherheitslücken und -szenarien können so viel besser erfasst und begegnet werden.

⁎⁎⁎

Megatrend #4: Nachhaltigkeit der Systeme – Umwelt und Sicherheit gehören zusammen

Moderne Technik hat zumeist das Problem, dass intakte Geräte meist durch Dienste oder Software veralten und ersetzt werden müssen. Auch in der IT-Sicherheit gibt es dieses Problem. Häufig wird im Zusammenhang von Cyberresilienz von der sogenannten Sicherheits-Architektur gesprochen. Damit ist gemeint, wie sicher Chipsätze, Prozessoren und Komponenten aufgebaut sind.

Neben der Tatsache, das Herstellende natürlich auch Geld verdienen wollen, sind Upgrades der Hardware sowie Updates der Software durchaus nachvollziehbare Gründe für Neuanschaffungen. Gerade kritische System wie Behörden und Parlamente haben hier dringenden Handlungsbedarf. Dass bspw. ältere Geräte kein Windows 11 erhalten, lässt sich mit IT-Sicherheit nachvollziehbar begründen. Da recht bald der Vorgänger, Windows 10, keine Sicherheits-Updates mehr bekommt und Umstellungen immer etwas aufwendiger sind, sollten entsprechende Prozesse jetzt begonnen werden. So schützt Windows 11 sehr viel besser vor "Brute Force"-Angriffen, was in Potsdam hilfreich gewesen wäre.

Allerdings zeichnet sich sowohl bei Laptops als auch bei Smartphones ein dreifacher Trend ab: Zum einen lassen sich immer mehr Geräte modular einrichten, sodass im Zweifel nur einzelne Komponenten ausgetauscht werden müssen. Zudem sorgen neue Richtlinien dafür, dass Geräte über einen längeren Zeitraum wichtige Sicherheits-Updates erhalten. Letztlich gibt es mittlerweile Betriebssysteme wie das Chrome OS Flex von Google, welche älteren Geräten ein sicheres, neues Leben einhauchen. Noch gibt es in diesem Bereich viel zu tun, aber der Weg stimmt.

⁎⁎⁎

Megatrend #5: Notfallpläne – Wenn Angriffe zunehmen, kommt es auf die Reaktion an

In der IT-Sicherheit geht es immer um eine Abstufung: Umso mehr ich in die Sicherheit von Geräten und Kenntnisse von Mitwirkenden investiere, desto weniger häufig werde ich angegriffen. Auch das hat mit der Ökonomie von Angriffen zu tun: Solange bei Organisationen und Privatleuten der Schutz mehrheitlich gering ist, werden zunächst vorrangig andere angegriffen, da diese günstiger sind.

Das ist auch das, was das Zukunftsinstitut mit „Prozess“ in seiner ersten These beschreibt. IT-Sicherheit lohnt sich bereits ab der ersten Maßnahme und verringert das Risiko, ins Fangnetz von Hackern zu geraten. Dabei verändern sich Methoden und Maßnahmen regelmäßig. Das Ziel ist immer ein angemessener und weniger ein allumfassender Schutz. Gerade in einer Demokratie brauchen wir offene, einladende Systeme, an denen viele mitwirken können.

Das bedeutet aber auch, dass wir weiterhin angreifbar bleiben werden. Hier ist es wichtig, dass Aktive, Mitarbeitende und Betroffene umfangreich informiert sind. Ebenso wird es aber auch wichtig sein, wie sie im Falle eines Angriffs reagieren. Daher muss zum einen eine Fehlerkultur vorherrschen, nach der es immer wichtiger ist, einen Angriff oder einen Verdacht zu melden. Zudem braucht es klare Abläufe, wer einem helfen kann und was Einzelne umgehend tun sollten. Diese Vorgaben und Trainings sind ein Muss für 2023.

⁎⁎⁎

Viele Herausforderungen für 2023

In der Politik gibt es immer viele Themen gleichzeitig zu beachten und oftmals fehlt es an Zeit und Ressourcen (vor allem auf ehrenamtlicher Ebene) für eine umfangreiche IT-Sicherheit. Das wissen aber auch Angreifende und haben sich darauf spezialisiert, hier anzusetzen. Eine wehrhafte Demokratie macht es sich deshalb auch zur Aufgabe, in 2023 auch im Bereich der Cyberresilienz aktiv zu werden.

Nutzen Sie dazu auch gerne jederzeit unsere kostenfreien Angebote für alle politisch Aktiven auf kommunaler, Landes- und Bundesebene etwa zu den Themen Passwortsicherheit, Cloud-Strukturen oder auch der Gerätesicherheit. Folgen Sie uns zudem gerne in den sozialen Medien und abonnieren Sie unser PolisiN-Update, damit neueste Entwicklungen bequem in Ihrem Postfach erscheinen.