Manuel Atug im Interview: kritische Infrastrukturen als Ziel von Cyberangriffen – bitte reicht eure Fragen ein!


Kommentare zu folgendem Beitrag: Manuel Atug im Interview: kritische Infrastrukturen als Ziel von Cyberangriffen – bitte reicht eure Fragen ein!

Die Deadline ist der 20. Dezember 2022 .

Sehr interessant…
Ich werde mir auf jeden Fall mal ein paar Fragen überlegen!

Was hält Manuel Atug von den von der Bundesregierung entworfenen Eckpunkte für das KRITIS-Dachgesetz?

Die News dazu von Tagesschau.de.

Fragen:

  • Warum gehören Stadtverwaltungen / Kommunalverwaltungen in Deutschland nicht zur kritischen Infrastruktur (KRITIS) :question:

  • Könntest du einmal den Gedanken des angedachten Cyber-Hilfswerks (CHW) zusammengefasst darstellen :question:

  • Was sagst du pers. zu der Tatsache, dass zum heutigen Warntag, 08.12. 2022 der Bereich Cell Broadcast, in der Umsetzung höchstens nur halb fertig ist und somit schon die Besitzer älterer Mobilfunkgeräte ausschließt :question:

Hat bei den Unternehmen denn eventuell schon ein Umdenken begonnen wenn es darum geht, wichtige Infrastruktur online zugänglich zu halten?

Was ich bisher mitbekommen habe, bestehen viele Konzernleitungen trotz der enormen Risiken darauf, dass ihre Steuerung online zugänglich sein und auch künftig bleiben soll. Und das trotz der enormen Gefahren.

Was muss denn passieren, damit alles, was einigermaßen wichtig ist, offline bleibt ? Ein großflächiger Stromausfall? Oder noch etwas schlimmeres?

Die von uns exklusiv beschriebene kritische Sicherheitslücke (man könnte es auch grobe Fahrlässigkeit nennen) der SCADA-Steuerungssoftware von ComAp ist aus dem Jahr 2017.

Wie groß ist das Risiko, dass sich so etwas im Jahr 2023 wiederholt? IT-Sicherheit kostet halt viel Geld, weil sich Fachleute für viele Stunden darum kümmern müssen. Und das immer wieder, das schmälert natürlich die Gewinne der Hersteller von Steuerungssoftware.

Auf der anderen Seite sitzen Hacker, die mit oder ohne Bezahlung quasi über ein endloses Budget an Zeit verfügen und sich Angriffs-Szenarien überlegen können, auf die man vielleicht regulär gar nicht kommen kann.

Das alles ist nachvollziehbar. Aber die Gefahren, die damit einher gehen, sind gigantisch. Man stelle sich nur vor, jemand hätte spaßeshalber alle zugänglichen Kraftwerke kaputt gemacht, was damals möglich gewesen sein soll. Ich durfte es ja offiziell nicht ausprobieren. :zipper_mouth_face:

Welchen Einfluss hat der Hackerparagraf heutzutage? Verstößt man einfach dagegen in Absprache mit den Vorgesetzten der eigenen Firma?

Oder wirkt sich dieser hemmend auf die IT-Sicherheit kritischer Infrastrukturen aus?

Für wie groß hält Manuel Atug die Gefahr, dass ausländische, staatlich bezahlte Hacker bereits in die kritische Infrastuktur in Deutschland eingedrungen sind, um auf das Kommando ihrer Regierung zu warten, um diese (zusammen mit anderen Versorgungsleitungen etc.) abzuschalten?

Die Frage aller Fragen:

Hr. Atug, ich werde nun mal kurz eine Problematik darlegen, die auf Grund des Cell - Broadcasting am 08.12.2022 erstmalig in dieser Form aufgetreten ist - einerseits könnte man sich schlicht schlapp lachen über die Nebenwirkung des Cell - Broadcast…andererseits ist der Hintergrund und die eventuellen Folgen, alles andere als lächerlich :bangbang:

Keine 24 Stunden nach der Warnmeldung, ergab sich folgernde Situation → Über Twitter nahm jemand mit Heise-Online Kontakt auf…

Cell Broadcast - alte Smartphones = Nein / Kaffeeautomaten = Ja!! :thinking:

So offenbarte ein Twitter-User, dass sogar die Kaffeemaschine in seinem Büro vor der drohenden Gefahr warnte. Das muss also dieses Smart Home sein, von dem alle sprechen. Das Internet der Dinge, in dem alles mit allem verbunden ist. Und womöglich ist das erst der Anfang. Was kommt als Nächstes? Vermutlich wird in den Produktionsstätten in Fernost schon an Toastern mit integriertem Mobilfunkmodul geschraubt, die beim Cell-Broadcast-Alarm den Toast mit einer in den Teig eingebrannten Sirene ausspucken. Der smarte Kühlschrank blinkt mit seiner Lampe im Inneren SOS, wenn der gewarnte Nutzer gerade einen Blick hineinwirft. Und der Wasserkocher pfeift im Hintergrund einen Sirenenton. (Quelle: Heise)

Heise bestätigt auch die Echtheit dieser Meldung!

image

  • Wie schätzen sie die angespochene Problematik seitens Heise ein für die Zukunft des Cell-Broadcast :question:

  • Gerade im Bezug auf IoT etc. sind die finalen Folgen jetzt ja noch gar nicht klar…Würden sie dem BSI erklären wollen, dass ihr System für die Bevölkerungs-Sicherheit, eigentlich noch viel mehr unsichere Faktoren für die Menschen schafft :question: :question:

Siehe → https://www.heise.de/meinung/Cell-Broadcast-am-Warntag-Frank-Walters-maechtige-Message-an-die-Kaffeemaschine-7372034.html

  1. Welche Systeme sind heutzutage überhaupt online von außen verfügbar / angreifbar (Strom, Wasser, Verwaltung etc.)?

  2. Können Angriffe von Personen vor Ort live verhindert werden?

  3. Welche Möglichkeiten neben Abschaltung haben Angreifer in den unterschiedlichen System (insbesondere Energie & Wasser) (Welchen Schaden können sie anrichten - z.B. Wasser tödlich machen, durch Erhöhung einer Chemikalie o.ä.)?

  4. Warum werden Systeme überhaupt online abrufbar gemacht? Welche Vorteile entstehen dadurch?

1 „Gefällt mir“

Danke, dass Du Dich extra dafür registriert hast, um hier vier gute Fragen einzureichen, @vscppfi !

Weitere Ideen, Anregungen, Fragen, die euch einfallen?

1 „Gefällt mir“
  1. Föderales System BRD ein Problem?
    Wie oben bereits erwähnt, fallen die „kleineren“, lokalen Verwaltungen/Stadtwerke, etc. nicht unter KRITIS und IT macht halt der Neffe vom Bürgermeister, wenn er aus der Schule kommt…

  2. Ist Informationssicherheit ausreichend in den IT Ausbildungsberufen präsent?
    Ich lese von weltweit 3 mio fehlenden Cybersecurity Spezialisten? Wo sollen diese herkommen? Wie kann in Deutschland ein Karrierepfad zum „Cybersecurity Spezialisten“ aussehen?

  3. US Dominanz der Cybersecurity Produkte/Firmen Fluch oder Segen für DE/EU?
    Kann man guten Gewissens EDR/XDR Produkte mit US Cloud Anbindung nutzen? Was sind EU/FOSS Alternativen? Oder stellt sich diese Frage nicht, weil Cybersecurity Forschung immer den internationalen Austausch bedarf.

  4. Für wie schlagkräftig hälst Du die EU Behörden mit Cybersecurity Aufgaben - ENISA, BSI, ANSSI, etc? Sind diese angemessen aufgestellt? Was sollte geändert werden?

  5. Gibt es die AG KRITIS weil diese notwendige gesellschaftliche Aufgaben übernimmt, die nicht die Behörden des Staates übernehmen sollte? Oder weil diese Behörden hierzu nicht in der Lage sind?
    Welche Chancen und Risiken ergeben sich durch die nationalen und internationalen Marktteilnehmer mit kommerziellen Interessen?

  6. Ergeben sich unangenehme Zielkonflikte dadurch, dass Du beruflich und privat die gleichen Themenbereiche hast (oder ist dies gar nicht so)?
    Was würdest Du (in der zugegebener Weise verfrühten) Rückberachtung anders machen?

Sorry für die unstrukturierten Fragen auf den letzten Drücker…

Vielen lieben Dank für die vielen interessanten Fragen!!
Ich bin schon auf die Antworten gespannt und freue mich auf die Unterhaltung mit Manuel. :blush:

1 „Gefällt mir“

Ich glaube, es ist Zeit für ein kleines Update. :innocent:

Aber zuerst möchte ich mich für die lange Wartezeit entschuldigen und mich für eure Geduld bedanken!

Es haben sich viele sehr gute Fragen an Manuel angesammelt. Diese ausführlich in schriftlicher Form zu beantworten wäre ein enormer Zeitaufwand (für beide Seiten). Daher haben wir uns entschieden, den zweiten Teil unseres Interviews mit Manuel Atug nicht in Form eines Artikels zu veröffentlichen.

Ich freue mich daher sehr, auf unseren nächsten „Unter dem Radar“-Podcast zum Thema „Manuel Atug im Interview: kritische Infrastrukturen als Ziel von Cyberangriffen“ hinweisen zu dürfen. :blush:

Denn in einem Podcast können wir uns die Zeit nehmen, eure Fragen ausführlich zu beantworten und müssen uns dabei nicht die Finger wund tippen.

Euer Warten und eure Geduld waren also nicht ganz umsonst. Ich hoffe, ihr freut euch mit mir auf das Gespräch mit Manuel Atug und natürlich auf den neuen Podcast von Tarnkappe.info. :slight_smile:

1 „Gefällt mir“