Cybersicherheit in LuxemburgInterview mit CTIE-Direktor: „In den meisten Fällen können wir die Angriffe abwehren“

Tageblatt: Das CTIE ist für die digitale Infrastruktur des Staates verantwortlich. Was sind Ihre Kernaufgaben?

Houtsch: Wir sind eine Verwaltung. Wir haben zwei Sorten Kunden: einerseits andere Verwaltungen und Ministerien, andererseits Firmen und Bürger. Für die Verwaltungen betreiben wir IT-Infrastruktur, das heißt Datenzentren und die staatliche Gov-Cloud. Darauf bauen unterschiedliche Dienste auf. Wir kaufen auch das Material für den Staat, etwa Laptops und Smartphones. Außerdem entwickeln wir Websites und Apps. Wir sind im Grunde für den Fortschritt und die Entwicklung des e-Governements verantwortlich. Und wir beschäftigen uns natürlich mit der IT-Sicherheit.

Woher kennt der Bürger Ihre Verwaltung?

Für Bürger und Unternehmen haben wir guichet.lu und myguichet, das kennt ja inzwischen jeder. Diese Dienste betreiben und entwickeln wir gemeinsam mit den Verwaltungen. Ebenso alle staatlichen Websites, die werden von uns gehostet und gemeinsam mit den Verwaltungen konzipiert. Die Verwaltungen liefern die Inhalte, wir kümmern uns um die Technik von Code bis UX-Design.

Uns ist aufgefallen, dass es immer wieder zu Ausfällen von staatlichen Webseiten kommt. Wie oft kommt es zu Cyberangriffen auf die digitale Infrastruktur Luxemburgs?

Wir haben die Systeme des Staats im Auge, nicht von ganz Luxemburg. Was die staatliche Infrastruktur angeht, finden Angriffe quasi jeden Tag statt. In den meisten Fällen bekommen wir diese abgewehrt. Es gibt ja verschiedene Arten von Cyberangriffen. Wenn Websites oder MyGuichet nicht funktioniert, handelt es sich meistens um DDoS-Angriffe. Deren Ziel ist es, die Systeme zu überlasten – entweder durch eine große Anzahl von Anfragen, oder aber durch eine weniger große Anzahl von gezielten Anfragen, die viele Ressourcen verbrauchen. So überlastet man ein System.

Wir haben Mechanismen, um diese Angriffe abzuwehren, auch automatische Mechanismen, die entsprechende Zugriffsmuster erkennen und die Anfragen im Vorfeld ablehnen. Diese Mechanismen müssen ständig auf dem letzten Stand bleiben. Wenn die Zugriffsmuster nicht erkannt werden, stürzen die Systeme ab. Dieses Jahr kam es zu zwei erfolgreichen Angriffen – am 10. Januar und am 24. Februar. Vergangenes Jahr gab es drei – im März, im Oktober und im Dezember.

Die Attacken laufen über Botnets*?

Ja, deshalb ist es auch schwierig, die Urheber ausfindig zu machen. Man kann natürlich herausfinden, um welches Botnet es sich handelt, aber nicht, wer die Kontrolle über das Netz hat und wer den Auftrag gegeben hat. Das liegt auch nicht in unserem Zuständigkeitsbereich, solche Ermittlungen anzustellen. Man sieht bei solchen Angriffen aber, dass die Maschinen, von denen aus die Angriffe erfolgen, auf der ganzen Welt verteilt sind.

Es gibt aber Hinweise, woher die Angriffe stammen?

Es gibt auch hin und wieder Forderungen, die mit den Angriffen einhergehen. Einige Hacktivisten bekennen sich zu den Angriffen oder kündigen sie an.

Was ist da bekannt? Gibt es da Muster, die sich in der Vergangenheit gezeigt haben?

Zu dem Thema habe ich mich bislang nicht geäußert und ich möchte das auch nicht.

Ok. Sie haben jetzt DDoS-Attacken erwähnt. Welche anderen Angriffsvektoren kommen zum Tragen? Phishing bei den Mitarbeitern, Ransomware … ?

Die Attacken werden ja insgesamt immer mehr – gerade beim Phishing sieht man das. Die Versuche werden auch besser: Wenn Sie vor einigen Jahren eine Nachricht auf Luxemburgisch geschickt bekommen haben, waren da hunderte Fehler drin. Phishing richtet sich gegen jeden, also auch gegen den Staat. Ransomware geht in die gleiche Richtung – normalerweise erhält man ein maliziöses Dokument, das beim Ausführen das System infiziert. Das verschlüsselt dann Dokumente …

Aber gab es solche Angriffe denn gezielt gegen das CTIE?

Es gibt diese Angriffe auf den Staat. Aber wir haben fortgeschrittene Analysetools, die die gesamte Kommunikation durchleuchten – sowohl was reinkommt, als auch was rausgeht. Das funktioniert recht gut, das muss man sich vorstellen wie die Antivirus-Software des Privatrechners. Man muss auch hier auf dem neuesten Stand bleiben. Aber ja, wir finden solche Angriffsversuche sehr regelmäßig.

Wie wehren Sie die Angriffe ab?

Wir haben zehn Divisionen beim CTIE zu jeweils rund 60 Leuten. Davon kümmert sich eine Division ausschließlich um Cybersicherheit. Diese Leute kümmern sich exklusiv um den Schutz von Staat und Informationen und betreiben die dafür erforderlichen Systeme. Das hat für uns höchste Priorität.

Luxemburg hat einen schmalen Arbeitsmarkt, insbesondere in der IT-Branche. Wo rekrutieren Sie? Immerhin brauchen Sie hochqualifizierte Leute.

Richtig, aber da wir so zentralisiert funktionieren, brauchen wir vielleicht nicht ganz so viele. (grinst) Wir rekrutieren dort, wo jeder rekrutiert – auf dem ganz normalen Arbeitsmarkt. Das ist nicht immer leicht, deswegen versuchen wir auch, unser Image zu pflegen.

Aber können Sie mit den Gehältern in der privaten IT-Wirtschaft konkurrieren?

Ich würde sagen, wir können konkurrieren, wenn man das Gesamtpaket betrachtet. Es geht ja nicht nur um Gehälter. Wir finden Leute, aber es ist nicht einfach.

Haben Sie viele ausländische Fachkräfte?

Wir haben viele Leute aus der Großregion, die hierher arbeiten kommen. Hinzukommen Dienstleister aus Luxemburg und hin und wieder aus dem Ausland – aber das ist eher die Ausnahme. Das Ganze spielt sich schon hier vor Ort ab.

Welche Sicherheitsüberprüfungen müssen Mitarbeiter durchlaufen, um hier arbeiten zu können? Gibt es Szenarien, bei denen eine Einstellung trotz hoher IT-Kompetenzen abgelehnt wird?

Es hängt davon ab, an welchen Systemen die Person arbeitet. Normalerweise gilt die gewöhnliche Einstellungsprozedur beim Staat, dort werden Kontrollen über Vorstrafen und so weiter durchgeführt. Das wird zentral über die Fonction publique abgewickelt. Bei uns gibt es dann ein paar Bereiche, bei denen zusätzliche Sicherheitsfreigaben notwendig sind. Diese werden dann von der „Autorité nationale de la sécurité“ durchgeführt (diese Funktion übernimmt in Luxemburg der SRE, A.d.R.).

Luxemburg ist ein kleines Land, wir sind aber in die EU-Infrastruktur gut eingebunden. Gibt es Angriffe, die uns über EU-Ebene treffen? Und wie steht es um den Austausch in puncto Cybersicherheit mit anderen EU-Ländern?

Wir stehen nicht selbst im Austausch mit anderen, ausländischen Behörden, wir arbeiten mit Institutionen innerhalb Luxemburgs. Eine davon ist GOVCERT – vielleicht haben Sie ja nochmal Gelegenheit, mit einem von denen zu reden. GOVCERT gibt uns Informationen zu aktuellen Bedrohungen. Sie und andere CERTs in Europa und der Welt tauschen sich häufig aus, um solche Muster in Angriffen und Veränderungen in der Cybersicherheitslage zu erkennen und darauf zu reagieren.

Was ist GOVCERT?

Ich habe jahrelang das GOVCERT geleitet. CERT steht für Computer Emergency Response Team – Gov steht natürlich für Gouvernement. Es gibt auch einen nationalen CERT und auch sektorielle CERTS, so z.B. CIRCL, das Computer Instant Response Center Lëtzebuerg. Das ist ein Team, das für den Privatsektor arbeitet. Jede Regierung hat ein CERT – Luxemburg war eines der letzten Länder, die keins hatten. Diese Dienste sind auf Cybervorfälle spezialisiert – sie zu erkennen, sie zu verstehen und dann zu reagieren. Es ist gewissermaßen die Feuerwehr für Cybervorfälle.

Das GOVCERT untersteht dem HCPN (Haut-Commissariat à la protection nationale, A.d.R.) und dieses wiederum dem Staatsministerium. Das sind die Ansprechpartner für Cyberkrisen.

Sie arbeiten mit verschiedenen staatlichen Stellen zusammen. Gibt es eine koordinierte Verteidigungsstrategie zwischen CTIE, CERT, der Armee und eventuell auch privaten Akteuren angesichts der ernster werden Bedrohungslage.

Die Abwehr von Angriffen ist unser täglich Brot. Falls es aber zu einem, ich sage mal, ernsteren Angriff kommt, der länger andauert, dann greifen verschiedene Mechanismen. Es gibt den „Plan d’intervention d’urgence cyber“, den findet man unter infocrise.public.lu. Dieser Plan bestimmt, wie wir in Luxemburg auf Cyberkrisen reagieren: Wie werden die Teams zusammengerufen? Wer wird wann gerufen? Wo trifft man sich? Wer evaluiert das Szenario? Wir sind also bereit, wenn eine größere Cyberattacke passiert.

Was heißt „Wir sind bereit, wenn eine größere Cyberattacke passiert“?

Bereit heißt, dass die Prozeduren stehen. Wir haben mit dem HCPN eine Entität, die in solchen Situationen die Koordination übernimmt. Wir wissen, wie wir reagieren müssen und was zu tun ist.

Nur für mein Verständnis: Wir sind bereit, falls unsere Infrastruktur lahmgelegt wurde – oder wir sind bereit, damit sie nicht lahmgelegt werden kann?

Wir sind bereit, wenn eine Krise auftritt. Es kann aber sein, dass eine Bedrohung sehr groß wird und dass das Risiko besteht, dass es zu einem größeren Vorfall kommt – da kann man natürlich auch im Vorfeld reagieren. Beide Szenarien sind möglich.