Cyberangriff auf Flughafeninfrastruktur zeigt digitale Verwundbarkeit
Nach dem Angriff auf einen Flughafendienstleister kam es weltweit zu Beeinträchtigungen in der Abfertigung. CII-Research Director Prof. Dr. Dennis-Kenji Kipker sieht die Ausfälle als symptomatisch für eine mangelnde Cyberresilienz Deutschlands:
„Cyberkriminelle suchen sich das schwächste Glied in der Lieferkette – das kann zum Ausfall kritischer Infrastrukturen führen. Deutschland ist auf dieses Szenario nicht ausreichend vorbereitet. Erforderlich ist „Cybersicherheit by Design“ sowie eine zügige Umsetzung regulativer Vorgaben wie dem Cyber Resilience Act“
Weitere Hintergründe:
Cyberangriffe auf kritische Infrastrukturen sind an der Tagesordnung
Cyberangriffe auf kritische Infrastrukturen wie Flughäfen, die Wasser- oder Energieversorgung sind mittlerweile an der Tagesordnung. Zwar können die allermeisten unmittelbaren Angriffe auf KRITIS erfolgreich abgewehrt werden, jedoch sehen wir ein zunehmendes Problem in der Absicherung der digitalen Lieferkette – so auch im heutigen Fall eines erfolgreichen Cyberangriffs auf den Flughafendienstleister „Collins Aerospace“.
Wenn die digitale Lieferkette zur Achillesferse wird
Eine Vielzahl von kritischen Betreibern ist in ihrer Funktionsfähigkeit mittlerweile von externen Dienstleistern abhängig, um richtig zu funktionieren. Das Problem dabei: Ebenjene externen Dienstleister sind rechtlich selbstständig organisiert und unterliegen daher nur einer sehr begrenzten technischen Kontrolle der KRITIS-Betreiber. Störungen und Kompromittierungen in der digitalen Lieferkette können deshalb dazu führen, dass eine kritische Infrastruktur beeinträchtigt wird oder gar ausfällt, obwohl sie gar nicht selbst angegriffen wurde.
Cyberkriminelle suchen sich das schwächste Glied in der Kette
Deshalb suchen sich Cyberangreifer bei wachsenden Sicherheitsbedarfen für die Betreiber immer mehr das schwächste Glied in der Lieferkette: Anstelle ein hochgesichertes Unternehmen der kritischen Infrastruktur selbst anzugreifen, werden die deutlich schwächer abgesicherten Zulieferer attackiert, so auch für den heutigen Fall, bei dem mehrere europäische Flughäfen in ihrem Betrieb beeinträchtigt wurden. Die Auswirkungen des Cybervorfalls können somit bei geringeren Angriffsaufwänden ähnlich groß sein, als wenn man den KRITIS-Betreiber selbst erfolgreich angegriffen hätte.
Die digitale Lieferkette als zunehmendes Sicherheitsproblem auch für die Wirtschaft
Da sich immer mehr Wirtschaftsunternehmen auch jenseits der kritischen Infrastrukturen auf die digitale Lieferkette, so zum Beispiel für den Fall von Cloud Computing verlassen, ist perspektivisch davon auszugehen, dass in den nächsten Jahren die Zahl erfolgreicher Cyberangriffe in vielen unterschiedlichen Sektoren und Branchen zunehmen wird, die sich der gleichen digitalen Lieferanten bedienen. Deutlich geworden ist dies vor einigen Wochen beim Sportkonzern „Adidas“, bei dem es infolge eines Cybervorfalls bei einem Drittunternehmen zu einem massiven Datenleck gekommen ist.
Akute staatliche Handlungsbedarfe schon seit Jahren
Der Staat ist deshalb gefordert, noch stärker „Sicherheit by Design“ von digitalen Produktherstellern und Dienstleistern einzufordern, die dies bislang vielfach noch nicht angemessen umgesetzt haben. Die EU geht diesen Weg bereits mit einer neuen Verordnung, dem „Cyber Resilience Act“ (CRA), der ab Dezember 2027 wirksam wird und vorschreibt, dass sämtliche digitalen Produkte in der EU verschärften Cybersecurity-Anforderungen genügen müssen und dies durch Hersteller und Betreiber auch nachzuweisen ist.
Bildquelle: (c) Oliver Lang I Flughafen Berlin Brandenburg GmbH
