Kritische Infrastruktur: Landestationen für Seekabel sollen besser geschützt werden
Am 19. Oktober 2022 meldete der US-Cybersicherheitsexperte Zscaler in einem sogenannten Trust Post(öffnet im neuen Fenster) den Ausfall einer Datenverbindung in Südfrankreich. Dieser könnte Auswirkungen auf die Datenübertragung via Unterseekabel haben, die Asien, Europa und die USA miteinander verbinden. Von Paketverlusten und/oder höheren Latenzzeiten beim Aufruf von Webseiten und Anwendungen war die Rede.
Laut Zscaler ermitteln inzwischen örtliche Behörden. Erste Reparaturen wurden bereits einen Tag später vorgenommen. Der Vorfall zeigt, dass das Internet nicht nur Vehikel für Angriffe sein kann, sondern selbst zur Zielscheibe von Angriffen wird. Nach den Anschlägen auf die Gaspipelines Nord Stream 1 und 2 geraten vor allem Unterseekabel und deren Landestationen in den Fokus.
Pro Sekunde 140 Terabyte über Unterseekabel
Laut einem Forschungsbericht des EU-Parlaments vom Juni 2022 (PDF) (öffnet im neuen Fenster) laufen 99 Prozent des weltweiten Internet-Traffics über mehr als 400 Unterseekabel. Pro Sekunde werden 140 Terabyte durch die Unterwasserleitungen gejagt; darunter auch Finanztransaktionen im Wert von rund 10 Billionen US-Dollar - täglich. "Unterseekabel sind das Rückgrat der Weltwirtschaft" , schreibt das Forscherteam in seinem Bericht.
Die Forscher kritisieren, dass sich die Politik zu wenig um die Sicherheit dieser Unterseekabel kümmert: "Die EU-Institutionen haben bisher keine Richtlinien, keine Strategie, keine Initiative und kein Programm ausgearbeitet, die sich vornehmlich und ausdrücklich um den Schutz von Datenkabeln drehen."
"Landestationen von entscheidender Bedeutung"
Neuralgische Punkte in der Infrastruktur sind die Landestationen, an denen die Unterseekabel an Land ankommen. "Die Lage der Landestationen ist für die Resilienz der Kabelinfrastruktur von entscheidender Bedeutung." Für Deutschland zählt die Submarine Cable Map (öffnet im neuen Fenster) vier Standorte auf: Sylt, Puttgarden auf Fehmarn, Markgrafenheide, ein Ortsteil von Rostock, und Rostock selbst.
Aber: Die Landestationen zählen nicht zu den Kritischen Infrastrukturen (Kritis). Noch nicht. "Das BMI betrachtet die Stationen als wichtig und beabsichtigt, die Landestationen für Seekabel in die BSI-KritisVO aufzunehmen" , erklärt eine Sprecherin des Bundesinnenministeriums. Kritische Infrastrukturen werden vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Kritis-Verordnung zusammengefasst. Kritis-Betreiber müssen IT-Schutzmaßnahmen nach dem Stand der Technik umsetzen und diese Umsetzung alle zwei Jahre gegenüber dem BSI nachweisen.
Einschätzung der Gefährdungslage
Die Expertenmeinungen gehen bei der Frage, wie wahrscheinlich Angriffe auf Unterseekabel sind (g+) , auseinander. Aufgrund der hohen Zahl an Unterseekabeln könne der Ausfall einiger weniger Kabel kompensiert werden, ohne dass Webseiten oder Onlineanwendungen ausfallen.
Das BSI simulierte in seiner zweiten Internet-Backbone-Studie vom Februar 2022 (öffnet im neuen Fenster) den Ausfall des transatlantischen Unterseekabels TAT14. Das Fazit: Der Ausfall kann durch die Nutzung anderer Kabel ohne Auswirkungen für Internetnutzer kompensiert werden.
Das liegt auch daran, dass private Unternehmen wie Google oder Amazon längst eigene, leistungsfähigere Unterseekabel verlegt haben. Sollte die Datenübertragung jedoch gleichzeitig über mehrere Kabel unterbrochen werden, dürften die Kapazitäten angesichts stetig steigender Datenmengen an Grenzen stoßen.
Kabelbetreiber verweisen auf Überwachung und Redundanz
Die für die Unterseekabel verantwortlichen Unternehmen verweisen unisono auf genügend Redundanzen, sollte ein Kabel ausfallen. "Die genaue Lage dieser Kabel sowie ihre Anfangs- und Endpunkte sind selten offiziell" , sagt ein Sprecher des Unternehmens Arelion, verantwortlich für das Unterseekabel zwischen Dänemark und Puttgarden.
Das finnische Unternehmen Cinia erklärt, dass es sein Unterseekabel, das Finnland mit Deutschland durch die Ostsee verbindet, rund um die Uhr überwache. "Das schließt auch die Überwachung der näheren Umgebung auf der Ostsee mit ein" , sagt ein Unternehmenssprecher auf Anfrage. Auch Cinia habe genügend Kapazitäten, um einen Ausfall zu kompensieren. Nach dem Willen des BMI müssen diese Anbieter aber demnächst für die Landestationen auf deutschem Boden die Vorgaben des IT-Sicherheitsgesetzes und der BSI-KritisVO erfüllen.
Marc Hankmann ist freier Fachjournalist und berichtet über IT- und TK-Themen sowie über digitale Medien. Weitere Infos unter www.text-management.com.