Gedanken 01/2025 - Sicherheitslage in Europa

Die Sicherheitslage in Europa

Wir sind in einer Zeit, wo quasi alle Generationen ohne Kriege und in Wohlstand (Dach über Kopf, Nahrung, Heizung, Bildung - staatlich garantiert, also von der Sozialgemeinschaft) aufgewachsen ist. Die Vorträge eines Bundesamt für Bevölkerungsschutz zur Notfallvorsorge werden weithin ignoriert, der Staat regelt schon jede Gefahr und kann bei Erzeugung und Lieferung von Gütern bestimmt die Lichtgeschwindigkeit überschreiten.

Manche haben da den Ukrainekrieg als bedrohlich empfunden. 

In diesem Rahmen werden Risiken, reale Bedrohungen und Angriffe langsam mehr Menschen bewusst.
Die Sorge vor Cyberangriffen wächst, berechtigt.  

Wie? Unser Gas wächst nicht den Tannen im Garten und das bestellte Auto braucht in Zeiten von Cloud Computing echte Kabel?
Und mit Bomben und Kanonen fuchtelt auch noch jemand in Europa rum?

Dann bekamen wir noch Trump "geschenkt". Ob die NATO künftig noch etwas taugt, werden wir sehen. 

Ich habe aber das Gefühl, dass sie praktisch stattfindenden Angriffe und Eingriffe (auch zB in unseren Wahlkampf) und die daraus entstehenden Risiko der täglichen Versorgung - abseits Kriegsrisiko - oft ignoriert werden. Weil die Angriffe nicht wahrgenommen werden und kein Verständnis für damit verbundene Risiken herrscht. 

Beispiel Cyberangriffe
Cyberangriffe werden gemeinhin mit Datendiebstahl, Störung (zB DoS) oder Erpressung (zB via Datenverschlüsselung/Ransomware) bei Unternehmen und Organisationen verbunden. Somit einem auf diese Organisationen beschränkten Schaden. Dies gibt es natürlich noch.

Wir haben aber bereits 2010 erlebt, wie Angriffe auf allgemeine Infrastruktur (SPS Steuerungen für Frequenzumrichter von Siemens, benutzt um in der Industrie Motoren zu steuern, ebenso aber zB in Kraftwerken) vorbereitet (und teilweise ausgeführt) wurden. (1) Das war eine Dimension, die also nun ganze Industrien treffen und de facto außer Betrieb nehmen kann. Und Infrastruktur, die wir alle benötigen, zB Energieerzeugung und Andere. 

Die Stuxnet Malware (oder aus anderer Sicht: Entwicklung von Technologien und Methoden zur Cyberkriegsführung) wurde mit höchster Wahrscheinlichkeit in/auf Auftrag aus Israel entwickelt, was auch mit der breit aufgestellten und wenig regulierten Rüstungsindustrie dort plausibel erscheint.

Die bisherigen Themen drehten sich nun eher um Angriff auf Vermögen, private und Unternehmesdaten, Erpressung (sei es durch Datenentzug oder Veröffentlichung) oder Betriebseingriffe in technische Anlagen.

Heute sehen wir die meisten Angriffe aus China & Russland und die sind völlig anderer Art. Hier geht es um Desinformation, Gerüchte, Diskreditierung von Personen, Unternehmen & Parteien und Destabilisierung von ganzen Ländern. Interessanterweise sind in Zeiten von künstlicher Intelligenz und mit Erfahrung, die "Fake Content" Inhalte qualitativ besser geworden, aber mit Sorgfalt und Lebenserfahrung immer noch gut zu identifizieren. Es ist eher Psychologie, die manche Menschen hier persönlich empfänglich macht und die Wirkung über Weitergabe - ab wann man oft den fake content nicht mehr identifizieren kann - verbreiten & verstärken. Social Media & Kombination mit geringer Medienkompetenz ist hier nicht hilfreich. 

Ein bekanntes Beispiel sind vermutlich die immer wieder insbesondere gegen die Grünen oder pro AfD gepushten Fake News, seid Neustem sogar kombiniert mit echten physischen Aktionen wie beschädigten Autos. (2)

Gerne übersehene Gefahren
Nun denken sehr viele Privatanwender, dass sie selber ja kein interessantes Angriffsziel und auch kaum angreifbar sind.

- Ich habe keine wichtigen oder vertraulichen Informationen auf meinen Geräten
- der Ausfall von irgendwelchen Internetgeräten ist nicht so wichtig
- mein Router hat eine Firewall
- ...

Gerne dabei übersehen:
- viele haben Handys. Gerne ohne PIN, mit eSIM etc und die Nummer bei anderen Stellen zur Identifizierung hinterlegt (Bank für TAN, Amazon, ..)
- viele Nutzen Homebanking (da gibt es extrem viele Angriffswege)
- Email(und andere Accounts) 
- dir Firmware von Router, Smarthomestecker, Staubsaugrobotter, SmartTV im WLAN ist nicht aktuell und erlaubt damit oft den Zugriff für alle Daten die im WLAN fliessen, wenn nicht verschlüsselt
- Betriebssysteme (vor Allem Windows Laptops und Android Handys) sind oft alte und nicht mehr gepflegt Versionen, oder werden nicht
- entgegen der Aussagen, sind dann Erpressung via Nacktfoto oder Abgriff der in einem Kontakt gespeicherten Kontodaten oder Kreditkarten-PIN doch nicht so beliebt
- die meisten finden Identitätsdiebstahl (der auf schlecht gesicherten Smartphone meist gut startet) doof, wenn andere Menschen Mobilfunkkarten bestellen, Versandhausbestellungen tätigen, amtliche Dokumente anfordern und man am Ende dann erstmal keinen Zugriff mehr auf Email, Bankkonto und Handyvertrag hat.

Kurz: die Sorglosigkeit der 90er/2000er Jahre ist nicht mehr anzuraten und für Schadenbegrenzung wird heute von Gerichten auch mehr Mitwirkung gefordert, bevor man zB von einer Bank Geld wiedersieht. 

Beispiel Telekommunikations- & Energieinfrastruktur
Die Angriffe auf Unterwasser Internetkabel aus Ende 2024 sind sicher bekannt. Hier wurden keinerlei Cyberangriffe vorgenommen, sondern simpel mit Ankern die Kabel zerissen. Dagegen gibt es heute keinen Schutz, außer ständige Bewachung. Das dann (Siehe Nordstream) noch nicht gegen via Taucher (zB aus Boot, Standardverfahren auch bei der deutschen Marine) angebrachte Sprengladungen schützt.

Was da alles ausfällt, wenn das Internet ausfällt, ist den meisten Menschen heute nicht mehr präsent.
Bei weitem nicht alle Dienste haben eine Präsenz in Kontinentaleurope, die unabhängig funktioniert. Und selbst dann, führt ein solcher Ausfall aus Infrastrukturgründen zu erheblicher Verlangsamung. 

Beispiele:
- dass nicht mehr gewittert wird (X, um korrekt zu sein), ist vielleicht kein großer Verlust. Auge-X´t.
- dass alle sozialen Netze maximal noch "humpeln" und Informationen immer asynchroner werden, dürfte oft die Datenbeschaffung und Meinungsaustausch beeinflussen.
- das ein Teil der Apps auf dem Handy keinen Mucks mehr tun, muss jeder selber einschätzen
- dass Zahlungen und Emails ins Ausland auf einmal blockiert sind, bringt in der globalen Welt sehr schnell große Probleme mit sich
- internationale Reisen werden mit jedem Tage mangels Visa, APIS und nötigem Behördendatenabgleich schwieriger
- internationaler Handel wird eingeschränkt, was zu steigenden Preisen und sich nach einigen Tagen verschlechternder Versorgung bemerkbar macht
... beliebig fortzusetzen 

Ein nationaler Internetausfall, bei dem dann weder das Smarthome, noch Streaming (TV; Radio), Telefonverbindungen, Behördenzugriff, Bezahlung mit Karte, Geldabhebungen usw mehr möglich sind, ist natürlich nochmals eine andere Dimension. 

Nun sind bei der Unterseekabeln allerdings nicht nur die Internet/Telekommunikationsverbindungenn zu nennen. Mittlerweile ist auch das elektrische Netz immer vermaschter. Ein Eingriff gefährdet Stabilität der Stromversorgung, aber greift auch sehr schnell in die Preisbildung ein. Alleine zwischen Norwegen und Deutschland existieren 3 Leitungen. (4) Alleine schon eine verursachte Unsicherheit und der Eingriff in die Preisbildung, machen Stromnetze zu einem interessanten Ziel, wenn man Staaten destabilisieren möchte. 

Übrigens: ganz klassisch ist ein wenig Sprengstoff an Hochspannungsmasten auch simpel und effektiv, wenn man die 2-3 parallelen Trassen angreift.

Profis
Man muss klar sehen, dass in vielen Staaten weder Cyber- noch physische Angriffe mehr ein Nebenhobby von Straftätern und Nachwuchsmilitäts sind. So existiert zB in Russland seit 20+ Jahren die Einheit 29155. (5)  Die ersten Jahre noch ein solcher Hobbyverein, haben sich die Methoden zur Destabilisierung deutlich verbessert. Daneben existieren reine spezialisierte Cyberangriffseinheiten.

Klassische Cyberangriffe wie Daten-, Vermögens(Konten)- als auch Identitätsdiebstahl, genau wie Erpressung durch Verhinderung des Datenzugriffs werden heute also ergänzt um Angriffsmethoden für Infrastruktur, die Telekommunikation, Strom-, Wasser- und Gasversorgung, ebenso wie de facto Tankstellen & Einzelhandel außer Betrieb nehmen können.  

Unterhaltsamme Seite
Solche Szenarien wurden im parallel geschriebenen und 2012 veröffentlichten Buch "Blackout – Morgen ist es zu spät" beschrieben. Jeder, der zufällig Wissen in IT-Security, Infrastrukturwissen in bestimmten Industrien mit Wissen in der Führung der Gefahrenabwehr verbindet, wird extrem realistischen Szenarien bestätigen. Lesenswert, lehrreich und unterhaltsam.

Was tut der/die Staat(en)?
Neben vielen Herstellern, die sich natürlich mit dem Thema seit Jahrzehnten beschäftigen, gibt es Aufmerksamkeit und auch immer mehr Forderungen & Regeln zur Vorsorge seitens (in unserem Fall) EU und der zuständigen Bundesbehörde BSI (Bundesamt für Sicherheit in der Informationstechnologie). 

Schon vor 10+ Jahren hat man nicht nur begonnen Empfehlungen und Standards zu erarbeiten (idR angelehnt an internationale Sicherheits- & Datenschutzstandards wie zB eine ISO 27.001, teilweise war Deutschland Vorreiter zB mit dem BDSG für die DSGVO). Man hat auch begonnen die möglichen Angriffszeile und Schäden zu antizipieren und dafür besondere Regeln zu schaffen. Dies endete vorläufig im BSI-Gesetz, als Ergebnis einer "Kritis-Verordnung". Kritik ist in dem Zusammenhang das Zauberwort - kritische Infrastrukturen. Die Waren- , Wasser- & Elektrizitätsversorgung der Bürger. Die Kommunikationsfähigkeit der Behörden. Krankenhäuser und Luftverkehr. Kurz: die moderne Welt hat extrem viele Angriffsoptionen. 

Aktuell geht es darum, die neueste EU-Initiative auf dem Gebiert - NIS-2 - in deutsches Recht umzusetzen.

Nun reden alle immer davon, dass NIS-2 sich um Cybersecurity kümmert.(6)  Die Betrachtung ist zu kurz gesprungen. NIS-2 fordert umfassenden Schutz. So muss zB ein Krankenhaus seine Infrastruktur auch physisch vor unberechtigtem Zugriff schützen und Notstrom in einer Art vorhalten, dass ein Student Angriff unwahrscheinlich wird. In Summe aller Beteiligten & Normen, wird also auch der rein physische Schutz und allgemein das Risiko- & Notfallmanagement verbessert. 

Die Umsetzung in nationales Recht ist leider durch das Zerfallen der Ampel Koalition zeitlich verzögert.

Auf die externen Gefahren weist der - logischerweise eher gut informierte - Bundesnachrichtendienst immer mal wieder hin. (7)  Auch beschäftigt sich zB der Verfassungsschutz regelmäßig mit den verschiedenen Angreifer. (8)

Schluss
Das soll übrigens kein Aufruf zur Panik sein. Es gilt ja per se das kölsche Grundgesetz.(10) Aber eine realistische Sicht darauf, welche Risiken es gibt und was doch eher leicht angreifbar, wäre ein erster Schritt. Das bedeutet auf der "Cyber-Seite" mehr Fokus auf IT-Sicherheit. (9) Und sich vielleicht doch mit einer Notfallvorsorge  zu beschäftigen. Einmal eingerichtet, wenig Aufwand (praktisch wie finanziell). https://www.bbk.bund.de/DE/Warnung-Vorsorge/Vorsorge/vorsorge_node.html

PS:
Es erscheint in der globalen Lage angeraten, dass sich Europa nicht auf eine US-geführte NATO in Sicherheitsfragen verlässt. Und sich für real drohende Angriffe wappnet. Staaten, Organisationen & Bürger. So auch Aufbau und Nutzung von europäischen Internetdiensten. 

Quellen:

(1) https://de.wikipedia.org/wiki/Stuxnet

(2) https://www.tagesschau.de/inland/bundestagswahl/sabotageserie-autos-russland-100.html

(4) https://de.wikipedia.org/wiki/NordLink

(5) https://de.wikipedia.org/wiki/Einheit_29155

(6) https://de.wikipedia.org/wiki/NIS-2-Richtlinie

(7) https://www.handelsblatt.com/politik/deutschland/infrastruktur-deutschland-wappnet-sich-gegen-russische-sabotage-angriffe/100084831.html

(8) https://www.verfassungsschutz.de/SharedDocs/kurzmeldungen/DE/2024/2024-09-05-cybersecurity-advisory-3.html

(9) https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/cyber-sicherheitsempfehlungen_node.html

(10 https://www.koelsch-woerterbuch.de/das-koelsche-grundgesetz

Bildquellen:

(a) (b) (c) Quelle im Bild

(d) https://www.submarinecablemap.com/

(e) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/ZwiBACK/ZwiBACK-Studie.pdf?__blob=publicationFile&v=3

(f) Wikipedia