Die Hacker-Attacke gegen das deutsche Regierungsnetz hat einmal mehr gezeigt, wie es hierzulande um die IT-Sicherheit steht. Neben Deutschland waren auch zahlreiche andere Länder von den Cyber-Angriffen betroffen. Estland hingegen bliebt verschont – und das ist kein Zufall. Das Land hat die Sicherheitsvorkehrungen massiv erhöht, um ihr IT-Netzwerk zu schützen. Sille Laks arbeitet als Sicherheitsexperten bei der staatlichen IT-Behörde „Information System Authority“. Im Interview erklärt Sie, was Estland anders macht als Deutschland.
Die russische Hacker-Gruppe „Turla“ hat die IT-Netzwerke europäischer Regierungen angegriffen. Deutschland war betroffen aber auch baltische Staaten. Ist auch Estland Ziel der Angriffe gewesen?
Nein, wir haben in unseren IT-Systemen keine Indizien eines Angriffs gefunden. Dass wir nicht angegriffen wurden, hat sicherlich auch damit zu tun, dass wir unsere Sicherheitsvorkehrungen im IT-Bereich in den vergangenen Jahren stark ausgebaut haben.
Was war der Anlass für den Ausbau?
Im Jahre 2007 ist Estland als eines der ersten Länder in Europa Ziel eines massiven Cyber-Angriffs gewesen. Das war ein einschneidendes Ereignis. Danach hat die Regierung die Investitionen in die Sicherheit der IT-Systeme deutlich erhöht, um weitere Attacken zu verhindern.
Was wurde konkret unternommen?
Für das Regierungsnetzwerk wurden einheitliche Sicherheitsstandards eingeführt und wir haben eine Behörde gegründet, die Information-System-Authority, ähnlich dem BSI in Deutschland. Die Sicherheitsstandards, die festgelegt wurden, gelten für alle Regierungsinstitutionen und auch für unsere Provider.
Das BSI in Deutschland konnte den Angriff nicht verhindern. Was macht die estnische Sicherheitsbehörde anders?
Ich kann nur für unsere Behörde sprechen. Die Arbeitsweise des BSI kenne ich nicht. Wir haben ein System der ständigen Überprüfung. Wir hinterfragen in regelmäßigen Abständen unsere Arbeitsweise und unsere Sicherheitsstandards. Estlands IT-Sicherheitsbehörden zählen außerdem zu den wenigen in Europa, die das ganze Jahr lang 24 Stunden am Tag besetzt sind.
Gibt es neben der Information-System-Authority weitere Behörden oder Task Forces, die sich um die IT-Sicherheit Estlands kümmern?
Ja, zum Beispiel das National Computer Emergency Response Teams, das die Sicherheitsvorfälle dokumentiert und an alle Behörden weiterleitet.
Wäre also ein Angriff, wie er in Deutschland stattgefunden hat, in Estland nicht möglich?
Es ist sicherlich ein Vorteil, dass wir ein kleines Land sind. In kleinen Ländern ist der Informationsaustausch einfacher, als in großen Ländern wie Deutschland. Da der Behördenapparat auch kleiner ist, fällt es uns leichter unsere Mitarbeiter zeitgleich zu schulen und auf denselben Sicherheitsstandard zu bringen. Der Mensch ist meist ein Unsicherheitsfaktor, über den Hacker in Systeme eindringen.
Also bringt das beste IT-Sicherheitssystem nichts, weil die Mitarbeiter es vermasseln?
Leider ist das oft der Fall. In Deutschland sollen die Hacker wohl über eine einzige Mail ins System der deutschen Regierung eingedrungen sein. In Estland hat jede einzelne Regierungsinstitution einen „Chief Information Security Officer“, der sicherstellt, dass alle Sicherheitsstandards eingehalten werden. Das gilt nicht nur für die Software, sondern auch für die Arbeitsweise der Mitarbeiter. In regelmäßigen Schulungen werden sie für Sicherheitsfragen sensibilisiert.
Folgendes Szenario: Ein Mitarbeiter einer estnischen Behörde bekommt eine verdächtige Mail. Was muss er tun?
Zunächst sollte er in seinem Handbuch für IT-Sicherheitsfragen nachschauen, ob es sich um eine verdächtige Mail handelt. Jeder Mitarbeiter einer Regierungsbehörde muss laut unseren Sicherheitsstandards so ein Handbuch ausgehändigt bekommen. Darin können sie nachschauen, wie verdächtige E-Mails aussehen und was sie tun sollen, wenn sie eine bekommen haben. In letzter Instanz können sich die Mitarbeiter an den IT-Sicherheitschef wenden, der in jeder Behörde vor Ort zu finden ist.
Der Anfangsverdacht bestätigt sich. Was passiert danach?
Sollte sich der Anfangsverdacht bestätigen, werden alle Behörden darüber informiert. In Deutschland soll diese Kommunikation zwischen den Behörden hingegen teilweise gescheitert sein. Der IT-Sicherheitschef der Behörde muss den Vorfall anschließen in einer sogenannten „Schwarzen Liste“ eintragen. Darin werden alle Personen, Dinge und auch Mail-Adressen aufgelistet, von denen Cyber-Angriffe zu erwarten sind. Außerdem müssen nach dem Vorfall auch die technischen Abwehrmaßnahmen überprüft werden.
