Warum Estland ein Vorbild für IT-Sicherheit ist

WirtschaftsWoche

Die Hacker-Attacke gegen das deutsche Regierungsnetz hat einmal mehr gezeigt, wie es hierzulande um die IT-Sicherheit steht. Neben Deutschland waren auch zahlreiche andere Länder von den Cyber-Angriffen betroffen. Estland hingegen bliebt verschont – und das ist kein Zufall. Das Land hat die Sicherheitsvorkehrungen massiv erhöht, um ihr IT-Netzwerk zu schützen. Sille Laks arbeitet als Sicherheitsexperten bei der staatlichen IT-Behörde „Information System Authority“. Im Interview erklärt Sie, was Estland anders macht als Deutschland.

Die russische Hacker-Gruppe „Turla“ hat die IT-Netzwerke europäischer Regierungen angegriffen. Deutschland war betroffen aber auch baltische Staaten. Ist auch Estland Ziel der Angriffe gewesen?
Nein, wir haben in unseren IT-Systemen keine Indizien eines Angriffs gefunden. Dass wir nicht angegriffen wurden, hat sicherlich auch damit zu tun, dass wir unsere Sicherheitsvorkehrungen im IT-Bereich in den vergangenen Jahren stark ausgebaut haben.

Was war der Anlass für den Ausbau?
Im Jahre 2007 ist Estland als eines der ersten Länder in Europa Ziel eines massiven Cyber-Angriffs gewesen. Das war ein einschneidendes Ereignis. Danach hat die Regierung die Investitionen in die Sicherheit der IT-Systeme deutlich erhöht, um weitere Attacken zu verhindern.

Was wurde konkret unternommen?
Für das Regierungsnetzwerk wurden einheitliche Sicherheitsstandards eingeführt und wir haben eine Behörde gegründet, die Information-System-Authority, ähnlich dem BSI in Deutschland. Die Sicherheitsstandards, die festgelegt wurden, gelten für alle Regierungsinstitutionen und auch für unsere Provider.

Das BSI in Deutschland konnte den Angriff nicht verhindern. Was macht die estnische Sicherheitsbehörde anders?
Ich kann nur für unsere Behörde sprechen. Die Arbeitsweise des BSI kenne ich nicht. Wir haben ein System der ständigen Überprüfung. Wir hinterfragen in regelmäßigen Abständen unsere Arbeitsweise und unsere Sicherheitsstandards. Estlands IT-Sicherheitsbehörden zählen außerdem zu den wenigen in Europa, die das ganze Jahr lang 24 Stunden am Tag besetzt sind.

Gibt es neben der Information-System-Authority weitere Behörden oder Task Forces, die sich um die IT-Sicherheit Estlands kümmern?
Ja, zum Beispiel das National Computer Emergency Response Teams, das die Sicherheitsvorfälle dokumentiert und an alle Behörden weiterleitet.

Wäre also ein Angriff, wie er in Deutschland stattgefunden hat, in Estland nicht möglich?
Es ist sicherlich ein Vorteil, dass wir ein kleines Land sind. In kleinen Ländern ist der Informationsaustausch einfacher, als in großen Ländern wie Deutschland. Da der Behördenapparat auch kleiner ist, fällt es uns leichter unsere Mitarbeiter zeitgleich zu schulen und auf denselben Sicherheitsstandard zu bringen. Der Mensch ist meist ein Unsicherheitsfaktor, über den Hacker in Systeme eindringen.

Also bringt das beste IT-Sicherheitssystem nichts, weil die Mitarbeiter es vermasseln?
Leider ist das oft der Fall. In Deutschland sollen die Hacker wohl über eine einzige Mail ins System der deutschen Regierung eingedrungen sein. In Estland hat jede einzelne Regierungsinstitution einen „Chief Information Security Officer“, der sicherstellt, dass alle Sicherheitsstandards eingehalten werden. Das gilt nicht nur für die Software, sondern auch für die Arbeitsweise der Mitarbeiter. In regelmäßigen Schulungen werden sie für Sicherheitsfragen sensibilisiert.

Folgendes Szenario: Ein Mitarbeiter einer estnischen Behörde bekommt eine verdächtige Mail. Was muss er tun?
Zunächst sollte er in seinem Handbuch für IT-Sicherheitsfragen nachschauen, ob es sich um eine verdächtige Mail handelt. Jeder Mitarbeiter einer Regierungsbehörde muss laut unseren Sicherheitsstandards so ein Handbuch ausgehändigt bekommen. Darin können sie nachschauen, wie verdächtige E-Mails aussehen und was sie tun sollen, wenn sie eine bekommen haben. In letzter Instanz können sich die Mitarbeiter an den IT-Sicherheitschef wenden, der in jeder Behörde vor Ort zu finden ist.

Der Anfangsverdacht bestätigt sich. Was passiert danach?
Sollte sich der Anfangsverdacht bestätigen, werden alle Behörden darüber informiert. In Deutschland soll diese Kommunikation zwischen den Behörden hingegen teilweise gescheitert sein. Der IT-Sicherheitschef der Behörde muss den Vorfall anschließen in einer sogenannten „Schwarzen Liste“ eintragen. Darin werden alle Personen, Dinge und auch Mail-Adressen aufgelistet, von denen Cyber-Angriffe zu erwarten sind. Außerdem müssen nach dem Vorfall auch die technischen Abwehrmaßnahmen überprüft werden.


„Wir sind in der Lage unsere Mitarbeiter gut zu bezahlen“

Wie oft wird das IT-System der estnischen Regierung von Hackern attackiert?
2016 gab es 2248 Vorfälle. Allerdings sind in dieser Zahl auch Attacken außerhalb des Regierungsnetzwerkes enthalten. 2017 ist die Zahl der Vorfälle auf 3141 gestiegen. Die gestiegene Zahl muss allerdings nicht bedeuten, dass die estnische Regierung oder estnische Unternehmen öfter angegriffen werden, sondern dass unsere Warnsysteme besser funktionieren und wir mehrere Vorfälle, zum Beispiel Administrationsfehler und überalterte Content Management Systeme, vorab entdecken bevor etwas Schlimmes passiert. So spüren wir mehr Angriffsversuche auf als früher.

Welche Art von Hacker-Angriffen kommt am häufigsten vor?
Hacker versuchen vor allem über Homepages mit Malware in die System einzudringen. Auch wird versucht bekannte Homepages zu kapern, um sie mit Fotos oder Videos zu bespielen und auf diese Weise anderen Hackern zu zeigen, wozu sie in der Lage sind.

Das klingt nach unbedeutenden Vorfällen. Was aber passiert, wenn es einen massiven Angriff gibt wie 2007?
Dafür haben wir in Estland einen „Emergency Act“. Es ist eine Art Anleitung, wenn der nationale Notstand im Land ausbricht und beispielsweise Massenevakuierungen durchgeführt werden müssen. Seit dem vergangenen Jahr gibt es auch ein Kapitel zur Information-System-Authority, mit einer Art Verhaltensanleitung im Falle von Cyber-Attacken nationalen Ausmaßes.

In Deutschland fällt es den Behörden schwer, profilierte IT-Sicherheitsexperten zu engagieren. Viele bevorzugen eine besser bezahlte Stelle in der Privatwirtschaft. Wie ist es bei Ihnen in Estland?
Seit den Vorfällen im Jahre 2007 hat die Regierung massiv in die IT-Sicherheit investiert. Wir sind daher in der Lage unsere Mitarbeiter gut zu bezahlen.

Gibt es Kooperationen zwischen der estnischen Regierung und Privatfirmen?
Die gibt es. Die IT-Sicherheit verlangt eine geteilte Verantwortung. Sie liegt bei der Regierung aber auch bei den Privatfirmen. Daher ist eine Kooperation zwingend nötig. Darüber hinaus spielt das Thema IT-Sicherheit auch im akademischen Umfeld eine große Rolle. In Estland gibt es beispielsweise seit 2008 einen anerkannten Bachelor-Studiengang Cyber-Security. Die Vorlesungen werden in Englisch gehalten, weil auch viele Studenten aus dem Ausland sich für dieses Thema interessieren.

Was sollten die deutschen Behörden Ihrer Meinung nach nun unternehmen, um solche Cyber-Angriffe in Zukunft zu verhindern?
Wie bereits erwähnt. Das wichtigste ist es, die Mitarbeiter zu schulen und für IT-Sicherheitsangelegenheiten zu sensibilisieren – besonders die, die nicht aus dem IT-Bereich kommen. Sie müssen wissen, wie beispielsweise eine Phishing-Mail aussieht und was sie auslösen kann. Die Regierung wiederum sollte mehr in die IT-Sicherheit investieren. Aus Erfahrung kann ich sagen, dass das gut angelegtes Geld ist.

  • Als Nächstes
  • Als Nächstes
  • Als Nächstes
  • Als Nächstes

Aktuelle Artikel

  • Die Feiertage nutzen: Die besten Reiseziele im Mai

    Drei gesetzliche Feiertage und Pfingstferien - im Mai gibt es viele Gründe für Urlaub, nicht zuletzt weil noch fast überall Nebensaison herrscht. Diese Destinationen sollte man auf dem Schirm haben.

  • Star der Moody Blues: Musiker Mike Pinder ist tot

    Durch die Band Moody Blues wurde er ab den 1960er-Jahren berühmt: Nun ist Mike Pinder gestorben. Der Musiker wurde 82 Jahre alt.

  • Das passiert heute in den Soaps

    In "Rote Rosen" kämpft Mo weiterhin mit seinen Gefühlen für Julius. Philipps Lüge droht in "Sturm der Liebe" vor Ana aufzufliegen. In "Alles was zählt" hilft Isabelle Imani, sich ihrer Erinnerung an Conchita zu stellen.

  • "Tagesthemen"-Moderatorin Aline Abboud: Das Baby ist da

    Aline Abboud hat auf Instagram die Geburt ihres Kindes verkündet. Prominente Glückwünsche gibt es für die "Tagesthemen"-Moderatorin auch schon.

  • Emma Stone will ab jetzt mit ihrem richtigen Namen angesprochen werden

    Ist der Künstlername Emma Stone bald Vergangenheit? Die Schauspielerin hat nun erklärt, dass sie gerne mit ihrem Geburtsnamen angesprochen werden will.

  • Zendaya und Tom Holland: Planen sie ihre Hochzeit?

    Ihre Beziehung halten sie so gut wie möglich raus aus der Öffentlichkeit. Nun will das "People"-Magazin aber erfahren haben, dass Zendaya und Tom Holland über eine Hochzeit gesprochen haben.

  • TV-Tipps am Freitag

    Der "Alte" (ZDF) ermittelt, nachdem ein Bräutigam bei seiner Hochzeit erstochen wurde. Die Amazonenprinzessin "Wonder Woman" (ProSieben) stellt ihre Kampfkünste unter Beweis. In der "Praxis mit Meerblick" (Das Erste) muss die Ärztin Nora einen bewusstlosen Jungen reanimieren.

  • Salma Hayek feiert 15. Hochzeitstag mit François-Henri Pinault

    Zum 15. Hochzeitstag mit François-Henri Pinault teilt Salma Hayek bewegende Worte und intime Fotos. Sie sei glücklich, ihren "Seelenverwandten" gefunden zu haben.

  • Oliver Pocher teilt Gedanken zu Til Schweiger und Xavier Naidoo

    In der neuesten Ausgabe des Podcasts "Die Pochers! Frisch recycelt" äußert sich Comedian Oliver Pocher zu den zwei zentralen Themen seiner vergangenen Woche: Til Schweiger und Xavier Naidoo.

  • Prinz William: Das erledigt der Royal im Haushalt

    Als Vater dreier Kinder hat auch ein Prinz seine Pflichten: Der britische Thronfolger Prinz William hat enthüllt, welche unbeliebte Aufgabe ihm im Haushalt zufällt.

  • "GNTM": Model begegnet beim Unterwasser-Shooting ihrem Hochzeitstrauma

    Beim "GNTM"-Unterwasser-Shooting stoßen einige Models an ihre Grenzen - und auf unschöne Traumata ihrer Vergangenheit. Dabei sollte es doch unter Wasser zwischen den Model-Paaren knistern.

  • "One Tree Hill"-Star Sophia Bush spricht über ihr Coming-out

    "One Tree Hill"-Star Sophia Bush hat erstmals öffentlich gemacht, dass sie queer ist. Die Schauspielerin findet offene Worte über die Scheidung von ihrem Ehemann und ihre neue Beziehung zu Fußballspielerin Ashlyn Harris.

  • Fashion Revolution: Das ist wichtig bei fairer Mode

    Immer mehr Modefirmen schlagen eine nachhaltigere Richtung ein - oder etwa nicht? Denn hinter vielen Versprechen steckt lediglich Greenwashing. So erkennt man die trügerische Marketingmasche.

  • Taylor Swift: Swifties strömen wegen Songtext in Londoner Pub

    Ein kleiner Pub in London mit dem Namen "The Black Dog" erlebt seit Tagen einen regelrechten Ansturm - ausgelöst durch einen Song von Popstar Taylor Swift.

  • Monaco-Zwillinge Jacques und Gabriella begeistern in Hamburg

    Fürst Albert II. und Familie haben in Hamburg den Monaco-Teil des Miniatur Wunderlands eröffnet. Beim Hamburg-Besuch der Fürstenfamilie begeisterten besonders die neunjährigen Zwillinge Gabriella und Jacques.

  • Mit Flatrate zocken: Was aktuelle Gaming-Abos kosten

    Seit einer ganzen Weile müssen sich Gamerinnen und Gamer ihre Videospiele nicht mehr unbedingt kaufen. Es gibt eine ganze Reihe an Abo-Modellen, bei denen man Zugriff auf zahlreiche Titel hat. Ein Überblick über einige der aktuellen Anbieter.

  • Nach Weinstein-Entscheidung: Ashley Judd und weitere Opfer reagieren

    Nach der Aufhebung des Vergewaltigungsurteils gegen Harvey Weinstein haben sich zahlreiche prominente Frauen zu Wort gemeldet, die den ehemaligen Hollywood-Mogul beschuldigt hatten. Sie alle bringen ihre Bestürzung ob der Entscheidung zum Ausdruck, und werfen dem US-Justizsystem Versagen vor.

  • Sorgt Zendaya mit ihren Tennis-Looks für einen neuen Fashion-Hype?

    Diesen Sommer wird es in Sachen Mode Weiß, sportlich und sexy zugleich. Inspiration liefert aktuell US-Schauspielerin Zendaya mit ihren unzähligen Tennis-Outfits - ein neuer Hype?

  • Prinz William verrät: Das ist Prinzessin Charlottes Lieblingswitz

    Ein Schultag der besonderen Art: Prinz William hat einer Highschool in England einen Überraschungsbesuch abgestattet. Dabei verriet er unter anderem den Lieblingswitz seiner Tochter Charlotte.

  • After Coachella Analyse: Die größten Festival-Modetrends 2024

    Mit dem Ende des berühmten Coachella-Festivals ist die Festival-Saison offiziell eröffnet. Nach dem Event in Kalifornien wissen wir nun auch, welche Modetrends den kommenden Festival-Sommer besonders prägen werden. Eine Trend-Analyse anhand der schönsten Outfits.