- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

KRITIS-Unternehmen sind attraktive Ziele


Fünf Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen
Viele Komponenten, die heute bei Kritischen Infrastrukturen eingesetzt werden, sind zwar ans Netz angeschlossen, verfügen aber nicht über integrierte Sicherheitsmaßnahmen

- Anzeigen -





Von Patrick Steinmetz, DACH Sales, BitSight

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario – ein länger andauernder europaweiter Stromausfall – erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht.

Aber auch Störungen durch Cyberangriffe in anderen KRITIS-Sektoren wie Ernährung, Verkehr und Finanzwesen können das ganze Land – Einzelpersonen, Unternehmen und stattliche Organisationen – erheblich schädigen. Im Folgenden werden fünf Faktoren skizziert, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

Cyberangriffe nehmen zu
Ende Mai legte die Telekom aktuelle Zahlen zur Cybersicherheit vor. Anfang April zählte der Konzern 46 Millionen tägliche Angriffe auf seine Honeypots. Dies ist ein neuer Spitzenwert. Im Schnitt gab es im letzten Monat 31 Millionen Angriffe pro Tag. Im April 2018 waren es durchschnittlich noch 12 Millionen und im April 2017 noch 4 Millionen. Die Angriffszahlen steigen exponentiell.

Mit ihrer Analyse steht die Telekom nicht alleine: Auch laut des HPI bereitet das Thema IT-Sicherheit Unternehmen und öffentlichen Einrichtungen zunehmend große Sorge. Branchenübergreifend werden daher IT-Experten gesucht, die sich mit der Thematik auskennen und mit den neuen Bedrohungen professionell fertig werden.

KRITIS zunehmend vernetzt
Die Betreiber Kritischer Infrastrukturen (KRITIS) setzen auf Vernetzung und Digitalisierung, um die Effizienz zu steigern und die Kosten zu senken. Doch das bringt nicht nur Vorteile, sondern es geht auch mit neuen Risiken einher: Wie das BSI feststellt, sind die Systeme und Dienstleistungen, ihre Infrastruktur und Logistik erstens immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig. Zweitens können vormals autarke Systeme aus der Ferne über das Internet angegriffen und lahmgelegt werden.

Als ob ungezielte Angriffe wie Ransomware nicht schon schlimm genug wären, sind Kritische Infrastrukturen bzw. deren IT-Systeme – wie Forschungsministerin Anja Karliczek treffend feststellte – auch noch besonders attraktive Angriffsziele für Kriminelle, Terroristen und ausländische Aggressoren. Das BSI vertritt ebenfalls diese Ansicht: Die Gefährdungslage in den Kritischen Infrastrukturen sei insgesamt auf hohem Niveau. Laut einer im Auftrag eines IT-Sicherheitsanbieters durchgeführte Studie von Tenable und Ponemon Institute berichten neun von zehn Sicherheitsverantwortliche kritischer Infrastrukturen von mindestens einem Cyberangriff innerhalb der letzten zwei Jahre. 62 Prozent der befragten Unternehmen wurden in den letzten zwei Jahren sogar mehrmals angegriffen.

Experten stimmen außerdem darin überein, dass die Anzahl der Cyberangriffe auf KRITIS wächst. So warnte das BSI, dass Angriffe auf Betreiber kritischer Infrastrukturen in der zweiten Jahreshälfte 2018 deutlich zugenommen haben. Auch laut eines F-Secure Berichts sind Spionage- und Sabotageangriffe gegen KRITIS im Laufe der Jahre gestiegen.

Allianzen noch nicht verbreitet genug
Selbstverständlich ist IT-Sicherheit eines der sensibelsten Themen überhaupt in jeder Organisation. Von diesem Standpunkt aus ist es nachvollziehbar, das Unternehmen gerne die komplette Kontrolle darüber haben wollen. Allerdings sind IT-Security-Experten immer schwerer zu bekommen und werden immer teurer. Auch Anschaffung und Betrieb der vielen verschiedenen erforderlichen IT-Sicherheitslösungen für Schutz und Abwehr benötigen immer mehr Ressourcen. Unternehmen, die denken, dass sie aufgrund ihrer geringen Größe keinen umfassenden Schutz brauchen, sind leider auf dem Holzweg. Geringe Größe schützt nicht, oder wie es Torsten Harengel, Director, Head of Cyber Security Germany bei Cisco auf den Punkt formuliert: "KMU sind längst ein genauso attraktives Ziel für Cyberkriminelle wie große Konzerne, da sie vor der Herausforderung stehen, das Sicherheitsniveau eines Konzerns mit wesentlich geringeren Mitteln erreichen zu müssen."

Dirk Backofen, Leiter Telekom Security, teilt diese Einschätzung: "Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten."

Insofern ist es unumgänglich, Kompetenzen zu bündeln, Allianzen einzugehen und auch Outsourcing von IT-Security zu betreiben. SIEM-Lösungen sind beispielsweise als Services aus der Cloud verfügbar. Und auch ein SOC (Security Operations Center) muss nicht selbst betrieben werden: Durch ein Managed SOC oder SOC-as-a-Service profitieren auch Organisationen von den Vorteilen eines SOC, die nicht über die personellen und technischen Ressourcen verfügen, ein komplettes SOC selbst zu betreiben. Das Gemeinschaftsprojekt CSOC ist ein Beispiel dafür und begründet seine Mission wie folgt: "Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert."

Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert
Viele Komponenten, die heute bei Kritischen Infrastrukturen eingesetzt werden, sind zwar ans Netz angeschlossen, verfügen aber nicht über integrierte Sicherheitsmaßnahmen. Daher ist die IT-Sicherheit der vorgelagerten Netze oft der einzige Schutz. Mit dem IT-Sicherheitsgesetz 2.0 regiert der Staat auch auf diese sich verschärfende Situation. Das Gesetz plant für das BSI mehr Personal, Geld und weitreichendere Befugnisse ein. Zudem soll das BSI aktiv nach Sicherheitsrisiken suchen dürfen – auch ohne das Einverständnis der Betroffenen.

Die derzeit für die Suche nach Sicherheitsrisiken favorisierten Pentests haben durchaus ihre Existenzberechtigung, weisen allerdings diverse Nachteile auf: Sie sind teuer, zeitaufwendig und als manuelle Prozesse müssen sie von menschlichen Experten durchgeführt werden. Zudem sind sie nur geeignet, die aktuelle IT-Sicherheit zu prüfen – morgen könnten sie schon veraltet sein.

Eine Ergänzung zu Pentests wäre die moderne Methode der IT-Sicherheitsratings. Anstatt einzelne Stichproben durchzuführen, verfolgen IT-Sicherheitsratings einen anderen Ansatz: automatisches Sammeln und Auswerten großer Datenmengen im Hinblick auf IT-Sicherheit. Die datenbasierte, kontinuierliche Messung der IT-Sicherheit und automatisierte Auswertung durch leistungsfähige Algorithmen ermöglicht einen tagesaktuellen Überblick von außen über die Cybersicherheitsleistungen von allen Organisationen, die zur Kritischen Infrastruktur gehören – eine stets aktuelle Bewertung der Cybersicherheitsleistung von hunderttausenden Organisationen. Dabei steht vom generellen Überblick über die deutschlandweite Cybersicherheitsleistung bis hin zu kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer immer genau die Information bereit, die benötigt wird. (BitSight: ra)

eingetragen: 06.08.19
Newsletterlauf: 05.09.19

Bitsight: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • DSGVO-konforme Datenarchivierung

    Immer mehr Daten und immer schärfere Bestimmungen. Die DSGVO hat den Umgang mit Informationen und Daten nicht einfacher gemacht. Das merken Unternehmen im Alltag bei der technischen Umsetzung immer wieder. "Noch immer liegen viele Daten in Unternehmen unstrukturiert vor, was nicht nur die Verwaltung und Wiederauffindbarkeit erschwert, sondern eine enorme Sicherheitslücke darstellt", weiß Torben Belz, Geschäftsführer der Plutex GmbH aus Bremen. Wo die Gefahren liegen und wie ein DSGVO-konformes Datenmanagement erfolgen kann, erklärt der Profi.

  • Der Kampf gegen Efail geht weiter

    Die Entdeckung der Sicherheitslücke Efail kam einem SuperGAU gleich: 2018 entdeckte ein deutsch-belgisches Forscherteam Schwachstellen, die es Angreifern erlauben, mit OpenPGP oder S/MIME verschlüsselte Nachrichten abzufangen und so zu manipulieren, dass der E-Mail-Klartext nach der Entschlüsselung zu einer vom Angreifer kontrollierten Adresse versandt wird. "Seitdem wird natürlich gegen Efail vorgegangen. Allerdings können die Risiken für eine sichere E-Mail-Kommunikation nur in kleinen Schritten minimiert werden", fasst IT-Sicherheitsexperte Christian Heutger zusammen.

  • DevOps als Selbstzweck

    Bereits seit einiger Zeit gehört DevOps zu den wichtigsten Trends. Damit können Unternehmen neue Kundenanforderungen schneller umsetzen, indem Teams besser zusammenarbeiten und Innovationen vorantreiben. Laut Deloitte verringert sich die Markteinführungszeit bei Organisationen, die DevOps anwenden, um 18 bis 21 Prozent - und sie profitieren durch ein Umsatzplus von 20 Prozent. Doch DevOps erfordert nicht nur die Implementierung neuer Tools. Es müssen auch tief verwurzelte kulturelle Gewohnheiten und traditionelle Prozesse verändert werden. Zudem stellt DevOps keinen Selbstzweck dar, sondern die Möglichkeit zur Erreichung bestimmter Ziele.

  • Sicherheitsfalle: Schadcode via Formular

    Es ist eine Lebensweisheit, die man auch der IT-Sicherheit zugestehen darf: man muss sich kümmern, sonst läuft es aus dem Ruder. Eine kürzlich veröffentlichte Analyse zum Einsatz von 4G-Hotspots zeigt deutliche Sicherheitslücken bei der Nutzung dieser Geräte. Wer sie verwendet, sollte sich ein paar Minuten Zeit nehmen, um Einstellungen und Verhalten einem Sicherheits-Check-up zu unterziehen. Einfach gesagt ist ein 4G-Hotspot eine Miniaturform des hauseigenen Routers, der batteriebetrieben und mit einer SIM-Karte ausgestattet ist. Ein klassischer Router verbindet sich typischerweise mit dem Telekommunikationsanbieter für die Internetverbindung und bietet Wi-Fi oder ein verkabeltes Netzwerk für Laptops, Desktop-Computer und sämtliche smarte Geräte. Im Gegensatz dazu sind 4G-Hotspots meist Geräte im Taschenformat, die nirgendwo andocken, außer um die internen Batterien aufzuladen.

  • Anbieter regelmäßig zur Datennutzung befragen

    ExtraHop warnt in einer Sicherheitsempfehlung vor Anbietern, die bei "Call Home"-Aktivitäten vertrauliche Daten ihrer Kunden ohne deren Wissen oder Zustimmung exfiltrieren. Mit dieser Sicherheitsempfehlung will ExtraHop Unternehmen dazu anregen, ihre Anbieter bei der Nutzung von Kundendaten strenger zu kontrollieren und sie bei Fehlverhalten zur Verantwortung zu ziehen. In dieser neuen Empfehlung wird "Call Home" als Aktivität beschrieben, bei der Daten von einem Host aus über eine speziell dafür etablierte Verbindung an einen Server weitergeleitet werden. Dies gilt als die "White Hat"-Version der Datenausschleusung. Dem Bericht zufolge ist "Call Home" eine gängige Praxis, die völlig legitim und sehr nützlich sein kann - wenn die Kunden ihr Einverständnis erteilt haben. Wenn nicht, werden ohne das Wissen des Kunden personenbezogene oder andere vertrauliche Daten außerhalb des Unternehmens übertragen, gespeichert und dabei möglicherweise großen Gefahren ausgesetzt. Damit verstoßen die Anbieter wahrscheinlich auch gegen die immer strenger werdenden Datenschutzbestimmungen.