Cybersecurity im Kontext geopolitischer Veränderungen: Vom Schutz kritischer Infrastruktur und Tool-Abhängigkeiten
Cybersecurity im Kontext geopolitischer Veränderungen: Vom Schutz kritischer Infrastruktur und Tool-Abhängigkeiten
Das Jahr 2026 hat aus der Sicht eines Security-Analysten, egal ob Cyber oder anderweitig, mit einem Paukenschlag begonnen. Der Zugriff auf den venezolanischen Präsidenten Nicolás Maduro durch das US-Militär erschütterte die Welt und lieferte viele offene Fragen und mehrere Gründe zur Sorge. Dass die USA zur Wahrung ihrer Interessen das internationale Recht auf ihre Weise interpretieren, ist nun bestätigt. Der mögliche Einsatz von bisher unbekannten Cyber-Fähigkeiten durch die USA bedeutet, dass dieser Entführungsfall die Betreiber kritischer Infrastrukturen in anderen Staaten zu einer Prüfung der eigenen Resilienz zwingt.
Auch weitere geopolitische Ereignisse – einige seit Jahren auf dem Radar, einige nur kurzzeitig in den Nachrichten – sollten als Warnsignale für europäische KRITIS gesehen werden. Dazu gehören Attacken aus dem Ausland gegen Stromversorgungen, verstärkte chinesische Aktivität gegen Taiwan und seine Halbleiterproduktion sowie US-Sanktionen gegen internationale Organisationen, wie den Internationalen Strafgerichtshof.
Kritische Infrastruktur im Fadenkreuz staatlicher und nichtstaatlicher Bedrohungsakteure
In der Nacht vom zweiten auf den dritten Januar, 2026, war es besonders finster in Caracas. Präsident Donald Trump beschreibt die Herbeiführung eines großflächigen Stromausfalls als „eine bestimmte Fähigkeit, die wir [die USA] haben“. US-Streitkräfte konnten im Schutze der Dunkelheit operieren, da die Stromversorgung der Hauptstadt, eine kritische Infrastruktur überall auf der Welt, mutmaßlich durch eine Cyberattacke unterbrochen wurde.
Doch auch auf der anderen Seite des Atlantiks mussten die Bewohner des Berliner Südwestens auf Strom verzichten. Keine Cyberattacke, sondern ein Brandanschlag sorgte für einen großflächigen Stromausfall und demonstrierte, wie unvorbereitet europäische Behörden und die Betreiber kritischer Infrastrukturen auf den Ausnahmezustand sind. Kurz nach der Behebung des Zwischenfalls meldete sich der Bundesverband der Energie- und Wasserwirtschaft e.V. (BDEW) mit einem Positionspapier und zehn Punkten zum Schutz kritischer Infrastruktur zu Wort. Einige dieser Punkte betreffen direkt die in Unternehmen Verantwortlichen für IT GRC und Cybersecurity. So fordert der BDEW eine Neubewertung und Anpassung von Transparenzpflichten, um es potenziellen Angreifern schwerer zu machen, IT-sicherheitsrelevante Informationen offen im Internet zu finden und diese für Attacken zu nutzen. Gleichzeitig sollten Datenschutzhürden für die Überwachung von kritischen Infrastrukturen verringert werden, um physische Angreifer abzuschrecken, Schaden abzuwenden und Ernstfall Ermittlungen mit Beweismitteln zu unterstützen.
KRITIS steht im Fadenkreuz mannigfaltiger Bedrohungsakteure und die IT-Sicherheit muss mit dieser Bedrohungslage umgehen. Härtung von Network Edge Devices, Internet-of-Things (IoT) sowie OT-Devices sollten oberste Priorität genießen. Insbesondere in der Produktion, also der OT, sind oft nicht mehr mit Updates versorgte, aber für die Produktion essenzielle Geräte und Maschinen zu finden. Diese gilt es um jeden Preis abzusichern. Die IT-Lieferkette ist in den letzten Monaten immer stärker in den Fokus von Angreifern geraten und sollte stärkere Überwachung durch die Bezieher von Dienstleistungen erfahren.
Technologische Abhängigkeiten und die Suche nach der europäischen Souveränität
Die ohnehin schon frostigen Beziehungen zwischen dem Internationalen Strafgerichtshof in Den Haag und den USA wurden im Jahr 2025 weiter belastet. Die USA sind kein Unterzeichner der Römer Statute, sie erkennen die Autorität des Gerichtes nicht an. Als der Chefankläger des Gerichtshofes, Karim Khan, gegen den israelischen Premierminister ermitteln ließ und ein Gremium von Richtern diesen auch per Haftbefehl suchen ließ, verhängte die US-Regierung Sanktionen gegen Khan sowie einige Richter. US-Unternehmen konnten den betroffenen Personen keine Dienstleistungen mehr anbieten. Dies betraf auch den Zugang zu Microsoft Konten. Kurzerhand musste also von Microsoft Outlook auf Proton-Mail aus der Schweiz gewechselt werden. Sanktionen der USA gegen europäische Individuen, Unternehmen oder ganze Staaten könnten also gravierende Folgen haben, die nur mit souveränen, europäischen Produkten und Dienstleistungen gekontert werden können.
Die Durchdringung des europäischen Marktes mit Microsoft Produkten und Dienstleistungen kann wohl als der schwerste Vendor Lock-in gesehen werden. Auch Abhängigkeiten von anderen Technologien sollten aber nicht unterschätzt werden. Dazu zählt 5G Infrastruktur aus China, die teils durch Huawei und ZTE bereitgestellt wird, aber auch taiwanesische Halbleiter, verbaut in vielen Komponenten, auch im Telekommunikations-Kernnetz. Ein chinesischer Angriffskrieg gegen Taiwan hätte sowohl Auswirkungen auf die Sicherheit unserer 5G Infrastruktur – vorausgesetzt NATO-Staaten ständen an der Seite Taiwans – als auch auf die stabile Versorgung mit Halbleitern von TSMC und Co. Auch hier kann Europa nur durch die Entwicklung und Verbreitung von unabhängigen Produktionsketten und IT-Dienstleistungen einem GAU vorbeugen.
Hierbei liegt die Verantwortung nicht nur bei der Politik, die selbstverständlich die Rahmenbedingungen für den Wirtschaftsstandort EWR schaffen muss, sondern auch bei den Endabnehmern, die selbst die Nachfrage für in Europa produzierte und betriebene IT-Lösungen generieren müssen. Frankreich hat hier gerade einen signifikanten Schritt gemacht und plant die Migration staatlicher User von Microsoft Teams zur souveränen Lösung Visio. Auch die Landesregierung Schleswig-Holsteins kann sich mit seiner Trennung von Microsoft Office und der geplanten Ablösung von Windows als Vorreiter sehen lassen.
Taiwan rechnet mit einer chinesischen Invasion im Jahr 2027. Die Trump-Administration wird bis dahin auch noch im Amt sein. Der zweitbeste Zeitpunkt, an der europäischen Souveränität zu arbeiten, wäre also heute.
Verfasser: Tobias Philipsen