Warum Estland ein Vorbild für IT-Sicherheit ist

1 / 2

Warum Estland ein Vorbild für IT-Sicherheit ist

Hacker haben europaweit Regierungsnetzwerke angegriffen. Doch Estland blieb verschont. Die staatliche IT-Expertin Sille Laks erklärt, warum das Land gegen Cyber-Angriffe besser gewappnet ist als Deutschland.

Die Hacker-Attacke gegen das deutsche Regierungsnetz hat einmal mehr gezeigt, wie es hierzulande um die IT-Sicherheit steht. Neben Deutschland waren auch zahlreiche andere Länder von den Cyber-Angriffen betroffen. Estland hingegen bliebt verschont – und das ist kein Zufall. Das Land hat die Sicherheitsvorkehrungen massiv erhöht, um ihr IT-Netzwerk zu schützen. Sille Laks arbeitet als Sicherheitsexperten bei der staatlichen IT-Behörde „Information System Authority“. Im Interview erklärt Sie, was Estland anders macht als Deutschland.

Die russische Hacker-Gruppe „Turla“ hat die IT-Netzwerke europäischer Regierungen angegriffen. Deutschland war betroffen aber auch baltische Staaten. Ist auch Estland Ziel der Angriffe gewesen?
Nein, wir haben in unseren IT-Systemen keine Indizien eines Angriffs gefunden. Dass wir nicht angegriffen wurden, hat sicherlich auch damit zu tun, dass wir unsere Sicherheitsvorkehrungen im IT-Bereich in den vergangenen Jahren stark ausgebaut haben.

Was war der Anlass für den Ausbau?
Im Jahre 2007 ist Estland als eines der ersten Länder in Europa Ziel eines massiven Cyber-Angriffs gewesen. Das war ein einschneidendes Ereignis. Danach hat die Regierung die Investitionen in die Sicherheit der IT-Systeme deutlich erhöht, um weitere Attacken zu verhindern.

Was wurde konkret unternommen?
Für das Regierungsnetzwerk wurden einheitliche Sicherheitsstandards eingeführt und wir haben eine Behörde gegründet, die Information-System-Authority, ähnlich dem BSI in Deutschland. Die Sicherheitsstandards, die festgelegt wurden, gelten für alle Regierungsinstitutionen und auch für unsere Provider. 


Das BSI in Deutschland konnte den Angriff nicht verhindern. Was macht die estnische Sicherheitsbehörde anders?
Ich kann nur für unsere Behörde sprechen. Die Arbeitsweise des BSI kenne ich nicht. Wir haben ein System der ständigen Überprüfung. Wir hinterfragen in regelmäßigen Abständen unsere Arbeitsweise und unsere Sicherheitsstandards. Estlands IT-Sicherheitsbehörden zählen außerdem zu den wenigen in Europa, die das ganze Jahr lang 24 Stunden am Tag besetzt sind.

Gibt es neben der Information-System-Authority weitere Behörden oder Task Forces, die sich um die IT-Sicherheit Estlands kümmern?
Ja, zum Beispiel das National Computer Emergency Response Teams, das die Sicherheitsvorfälle dokumentiert und an alle Behörden weiterleitet.

Wäre also ein Angriff, wie er in Deutschland stattgefunden hat, in Estland nicht möglich?
Es ist sicherlich ein Vorteil, dass wir ein kleines Land sind. In kleinen Ländern ist der Informationsaustausch einfacher, als in großen Ländern wie Deutschland. Da der Behördenapparat auch kleiner ist, fällt es uns leichter unsere Mitarbeiter zeitgleich zu schulen und auf denselben Sicherheitsstandard zu bringen. Der Mensch ist meist ein Unsicherheitsfaktor, über den Hacker in Systeme eindringen.

Also bringt das beste IT-Sicherheitssystem nichts, weil die Mitarbeiter es vermasseln?
Leider ist das oft der Fall. In Deutschland sollen die Hacker wohl über eine einzige Mail ins System der deutschen  Regierung eingedrungen sein. In Estland hat jede einzelne Regierungsinstitution einen „Chief Information Security Officer“, der sicherstellt, dass alle Sicherheitsstandards eingehalten werden. Das gilt nicht nur für die Software, sondern auch für die Arbeitsweise der Mitarbeiter. In regelmäßigen Schulungen werden sie für Sicherheitsfragen sensibilisiert.


Folgendes Szenario: Ein Mitarbeiter einer estnischen Behörde bekommt eine verdächtige Mail. Was muss er tun?
Zunächst sollte er in seinem Handbuch für IT-Sicherheitsfragen nachschauen, ob es sich um eine verdächtige Mail handelt. Jeder Mitarbeiter einer Regierungsbehörde muss laut unseren Sicherheitsstandards so ein Handbuch ausgehändigt bekommen. Darin können sie nachschauen, wie verdächtige E-Mails aussehen und was sie tun sollen, wenn sie eine bekommen haben. In letzter Instanz können sich die Mitarbeiter an den IT-Sicherheitschef wenden, der in jeder Behörde vor Ort zu finden ist.

Der Anfangsverdacht bestätigt sich. Was passiert danach?
Sollte sich der Anfangsverdacht bestätigen, werden alle Behörden darüber informiert. In Deutschland soll diese Kommunikation zwischen den Behörden hingegen teilweise gescheitert sein. Der IT-Sicherheitschef der Behörde muss den Vorfall anschließen in einer sogenannten „Schwarzen Liste“ eintragen. Darin werden alle Personen, Dinge und auch Mail-Adressen aufgelistet, von denen Cyber-Angriffe zu erwarten sind. Außerdem müssen nach dem Vorfall auch die technischen Abwehrmaßnahmen überprüft werden.



„Wir sind in der Lage unsere Mitarbeiter gut zu bezahlen“


Wie oft wird das IT-System der estnischen Regierung von Hackern attackiert?
2016 gab es 2248 Vorfälle. Allerdings sind in dieser Zahl auch Attacken außerhalb des Regierungsnetzwerkes enthalten. 2017 ist die Zahl der Vorfälle auf 3141 gestiegen. Die gestiegene Zahl muss allerdings nicht bedeuten, dass die estnische Regierung oder estnische Unternehmen öfter angegriffen werden, sondern dass unsere Warnsysteme besser funktionieren und wir mehrere Vorfälle, zum Beispiel Administrationsfehler und überalterte Content Management Systeme, vorab entdecken bevor etwas Schlimmes passiert. So spüren wir mehr Angriffsversuche auf als früher.

Welche Art von Hacker-Angriffen kommt am häufigsten vor?
Hacker versuchen vor allem über Homepages mit Malware in die System einzudringen. Auch wird versucht bekannte Homepages zu kapern, um sie mit Fotos oder Videos zu bespielen und auf diese Weise anderen Hackern zu zeigen, wozu sie in der Lage sind.

Das klingt nach unbedeutenden Vorfällen. Was aber passiert, wenn es einen massiven Angriff gibt wie 2007?
Dafür haben wir in Estland einen „Emergency Act“. Es ist eine Art Anleitung, wenn der nationale Notstand im Land ausbricht und beispielsweise Massenevakuierungen durchgeführt werden müssen. Seit dem vergangenen Jahr gibt es auch ein Kapitel zur Information-System-Authority, mit einer Art Verhaltensanleitung im Falle von Cyber-Attacken nationalen Ausmaßes.


In Deutschland fällt es den Behörden schwer, profilierte IT-Sicherheitsexperten zu engagieren. Viele bevorzugen eine besser bezahlte Stelle in der Privatwirtschaft. Wie ist es bei Ihnen in Estland?
Seit den Vorfällen im Jahre 2007 hat die Regierung massiv in die IT-Sicherheit investiert. Wir sind daher in der Lage unsere Mitarbeiter gut zu bezahlen.

Gibt es Kooperationen zwischen der estnischen Regierung und Privatfirmen?
Die gibt es. Die IT-Sicherheit verlangt eine geteilte Verantwortung. Sie liegt bei der Regierung aber auch bei den Privatfirmen. Daher ist eine Kooperation zwingend nötig. Darüber hinaus spielt das Thema IT-Sicherheit auch im akademischen Umfeld eine große Rolle. In Estland gibt es beispielsweise seit 2008 einen anerkannten Bachelor-Studiengang Cyber-Security. Die Vorlesungen werden in Englisch gehalten, weil auch viele Studenten aus dem Ausland sich für dieses Thema interessieren.

Was sollten die deutschen Behörden Ihrer Meinung nach nun unternehmen, um solche Cyber-Angriffe in Zukunft zu verhindern?
Wie bereits erwähnt. Das wichtigste ist es, die Mitarbeiter zu schulen und für IT-Sicherheitsangelegenheiten zu sensibilisieren – besonders die, die nicht aus dem IT-Bereich kommen. Sie müssen wissen, wie beispielsweise eine Phishing-Mail aussieht und was sie auslösen kann. Die Regierung wiederum sollte mehr in die IT-Sicherheit investieren. Aus Erfahrung kann ich sagen, dass das gut angelegtes Geld ist.