9 minute read
Abwehrkräfte stärken
from Cyber-Resilienz
by reflexverlag
Immer mehr Unternehmen werden Opfer von Cyberangriffen. Das Risiko, eine Attacke nicht abwehren zu können, steigt. Das Ziel muss daher die Cyber-Resilienz sein, damit auch nach einem erfolgreichen Angriff effektiv weitergearbeitet werden kann.
Es war ein Schock für Ärzte und Pflegepersonal, Patienten und Angehörige: Am Abend des ersten Märzsonntags ging im Hospital Clinic de Barcelona, einem der größten Krankenhäuser der katalanischen Hauptstadt, nichts mehr. Die Mitarbeitenden hatten keinen Zugriff auf die Patientenakten, die Kommunikation zwischen den Abteilungen war gestört. Die Einrichtung war Opfer eines Ransomware-Angriffs geworden und musste aufgrund der lahmgelegten Krankenhaus-IT 150 nicht dringende Operationen sowie 3.000 geplante Untersuchungen absagen. Nach Angaben der regionalen Cybersecurity-Behörde sei der Angriff von einer Cybergang namens „Ransom House“ von außerhalb des Landes erfolgt. Eine Lösegeldforderung sei nicht eingegangen – es werde aber auch kein Lösegeld gezahlt, hieß es in einer Pressekonferenz.
Advertisement
Verkehr im Fokus von Cyberkriminellen. Und auch privatwirtschaftliche Unternehmen kann es treffen. Neun von zehn Unternehmen sind nach Angaben des Digitalverbands Bitkom im Jahr 2021 Opfer eines Cyberangriffs geworden. Insgesamt seien dabei Schäden in Höhe von 223 Milliarden Euro entstanden – mehr als doppelt so viel wie noch drei Jahre zuvor.
Back-up statt Lösegeld
Das Barceloner Krankenhaus ist nicht die erste – und ganz bestimmt auch nicht die letzte Gesundheitseinrichtung, die Opfer einer Cyberattacke geworden ist. Immer wieder stehen Einrichtungen kritischer Infrastrukturen wie Krankenhäuser, aber auch Energie- oder Wasserversorger, Unternehmen der Informationstechnik und Telekommunikation, des Finanzund Versicherungswesens, Transport und
Es sind vor allem Ransomware-Angriffe – wie auch der auf die Klinik in Barcelona –, die Unternehmen fürchten. Tatsächlich schätzen 92 Prozent der Unternehmen sie als sehr oder eher bedrohlich ein. Dabei werden mithilfe von Verschlüsselungstrojanern Daten oder ganze Systeme für die Anwendenden unbrauchbar gemacht. Nach Zahlung eines Lösegelds soll die Verschlüsselung wieder aufgehoben beziehungsweise von einer etwaigen Veröffentlichung der mitunter sensiblen Daten abgesehen werden. Oft fügen Cyberkriminelle ihrer Lösegeldforderung einen Countdown bei. Ein Lösegeld sollten Unternehmen jedoch auf gar keinen Fall zahlen, rät das Bundesamt für Sicherheit und Informationstechnik (BSI). Eine solche Zahlung ist kein Garant dafür, dass Unternehmen die Hoheit über ihre Daten und Systeme zurückerhalten. Zudem werden Cyberkriminelle zu weiteren Angriffen motiviert.
„Einfallstor von Ransomware sind E-Mails mit verseuchten Anhängen oder kompromittierte Webseiten“, erklärt Robert Formanek, Experte für Cybersicherheit beim BSI. Schutz davor böten vor allem aktive und aktuelle Virenscanner, ein aktiver Firewall-Schutz sowie das Installieren von Sicherheits-Updates. „Und ganz wichtig ist es, regelmäßige Datensicherungen anzulegen – möglichst auf unterschiedlichen Datenträgern und zu unterschiedlichen Zeitpunkten.“ Bei Verdacht auf Ransomware sollten die Systeme umgehend vom Netz getrennt und die Protokolle gesichert werden. So kann festgestellt werden, welche Daten auf den Systemen betroffen sind, rät der Experte. Mithilfe der Back-ups und eines Notfallplans lassen sich Datenbestände im Falle eines Angriffs auch ohne Lösegeldzahlung rekonstruieren. Statt erst im Ernstfall zu reagieren, müssen Unternehmen bereits im Vorfeld konkrete Maßnahmen entwickeln, mit denen sie sich auf mögliche Bedrohungen vorbereiten.
Vorbereitung begrenzt Schäden Cyber-Resilienz lautet das Stichwort. Dabei geht es nicht allein darum, die eigene UnternehmensIT so aufzustellen, dass Angriffe möglichst vermieden oder abgewehrt werden. Mindestens genauso wichtig ist, Vorsorge für den Fall der Fälle zu treffen und die IT so zu konfigurieren,
Um sich einfach gegen Ransomware-Angriffe zu schützen, sollten Unternehmen ein mehrstufiges Verteidigungssystem aufbauen. Wie das funktioniert, erklärt Dr. Nikil Merani vom Compliance-, Risiko- und Qualitätsmanagementspezialisten C.O.S.
Wie schützen sich Unternehmen gegen Ransomware-Angriffe ? Indem sie Angreifern ihre Daten nicht auf dem Silbertablett präsentieren. Das funktioniert am besten, wenn sie mehrere Verteidigungslinien aufbauen. Auf der ersten Ebene geht es darum, mithilfe von präventiven Maßnahmen wie Firewalls, Awareness-Trainings, Anti-Virus-Programmen so viele Attacken wie möglich abzuwehren. Die Realität zeigt aber auch: Allein damit lässt sich ein Eindringen nicht verhindern.
Was also tun? Für den Ernstfall brauchen Unternehmen eine zweite Verteidigungsebene für aufbereitete Inhalte: am besten ein Dokumentenmanagementsystem, das die Unternehmensinformationen in einer Datenbank so fragmentiert und verschlüsselt kapselt, dass Angreifer aus den einzelnen Datenfetzen keine sinnvollen Informationen mehr zusammensetzen können. Sie erbeuten zwar die Inhalte, halten am Ende aber nur Datenschrott in Händen. So wird das Erpressungspotenzial minimiert. www.cos.de dass Unternehmen trotz eines Angriffs ihre normale Geschäftstätigkeit fortführen können und den Schaden gering halten. Jede Downtime wird künftig inakzeptabel. Ein erfolgreicher Cyberangriff darf nicht die Funktionsfähigkeit des gesamten Unternehmens bedrohen. Dank einer nachhaltigen Cyber-Resilienz arbeiten Unternehmen trotz eines Cyberangriffs relativ schnell effektiv weiter.
Und was passiert auf der dritten Verteidigungsebene? Hat das ITSicherheitsteam einen Angriff erkannt, geht es schließlich darum, den Angreifer schnell wieder aus der Unternehmens-IT auszusperren, die Systeme zu bereinigen und wiederherzustellen. Für den Wiederanlauf ohne größeren Datenverlust braucht es regelmäßige nicht infiltrierbare Back-ups – das Unternehmen kann weiterarbeiten, und der Schaden bleibt begrenzt.
Diese resiliente Methode funktioniert auch bei anderen Arten von Cyberangriffen und Katastrophenszenarien.
Planen, prüfen, absichern
Damit das funktioniert, braucht es eine ganzheitliche Strategie und die grundlegende Fähigkeit, Angriffe zu erkennen und zu identifizieren, darauf zu reagieren und sich schnell von Vorfällen zu erholen. Maßnahmen, Konzepte und Tools der Cybersecurity wie Firewalls, VPN und Anti-Malware gelten als wesentlicher Teil – Cyber-Resilienz geht jedoch darüber hinaus und schließt neben der Technologie Personen, Prozesse, Tools und Wissen in die Strategie ein. Ausgebildetes Sicherheitspersonal überprüft die Unternehmens-IT regelmäßig auf Schwachstellen, erarbeitet Pläne und Prozesse für den Ernstfall, setzt konkrete Maßnahmen im
Unternehmen um und observiert regelmäßig die Lage, um Bedrohungen und Angriffe sofort zu identifizieren. Zudem sensibilisiert es die Mitarbeitenden für Cybergefahren wie bedrohliche E-Mails. Ein Klick auf den Link in einer gefälschten E-Mail kann Angreifenden schon Tür und Tor zum Gesamtsystem öffnen.
Sicherheit darf jedoch nicht als statischer Zustand verstanden werden, sondern vielmehr als ständiger Prozess. So müssen Unternehmen Strukturen verankern, die die Sicherheitsmaßnahmen stetig überwachen, kontrollieren, Lücken erkennen und diese schließen. Außerdem braucht es klare Strategien und Abläufe für den Ernstfall, kommt es bei einem Sicherheitsvorfall doch auf Schnelligkeit an: So gilt es, den Angriff erstens umgehend zu bemerken und zu identifizieren, zweitens zeitnah zu reagieren und die Systeme zu schützen und sich drittens anschließend schnell davon zu erholen, damit die Geschäftsabläufe so wenig wie möglich beeinträchtigt werden. Es braucht also eine klare Incident-Strategie. Und nicht zuletzt müssen die personellen und organisatorischen Maßnahmen
Schäden durch Cyberkriminalität in Deutschland im Jahr 2022 (in Milliarden Euro)
Schädigung von IT-Systemen, Produktionsoder Betriebsabläufen
41,50
Datenschutzrechtliche Maßnahmen (z. B. Information von Kunden)
18,30
Patentrechtsverletzungen (auch schon vor der Anmeldung)
18,80
Umsatzeinbußen durch Verlust von Wettbewerbsvorteilen
41,50
Kosten für Ermittlungen und Ersatzmaßnahmen
10,10
Strategien für mehr Cybersicherheit
Cybersicherheit zählt zu den drängendsten Themen der digitalen Welt. Auf der Potsdamer Konferenz für Nationale CyberSicherheit des Hasso-Plattner-Instituts diskutieren vom 19. bis 20. April Vertreterinnen und Vertreter der wichtigsten deutschen Sicherheitsbehörden, der Wirtschaft und der Wissenschaft über die aktuelle Cybersicherheitslage –diskutieren Sie mit!
Der russische Angriffskrieg auf die Ukraine hat auch im Cyberraum eine Zeitenwende eingeleitet: Die Konflikte der Zukunft werden durch die entsprechende Technologie unterstützt und umgesetzt werden. Das reicht von Software für Anti-Malware oder Nutzermanagement über Sicherheitslösungen für die Cloud bis hin zur Kryptografie.
Budgets steigen
Wie ernst Unternehmen die IT-Sicherheit nehmen, zeigt auch der „CIO Tech Poll“, mit dem das Medium „CIO“ die IT-Budgets analysiert hat. In einer internationalen Umfrage wurde dabei unter 300 IT- und Business-Entscheidern ermittelt, wohin der Trend bei Investitionen geht. Eines der Ergebnisse: Auch in Erwartung einer Rezession haben nur zwölf Prozent ihre IT-Budgets gekürzt. Etwas mehr als die Hälfte (51 Prozent) erhöhen sogar die Ausgaben. Die höchsten Zuwachsraten wurden im Bereich Cybersecurity verzeichnet. Zudem erklärten 20 Prozent der befragten Manager, dass ihr wichtigstes Projekt mit Cybersecurity zu tun hat – beispielsweise haben Themen wie Realtime-Security-Monitoring oder Forensik eine hohe Relevanz. Die Zahlen sind ein Zeichen dafür, dass die Unternehmen ihrer Verantwortung gerecht werden.
Erpressung mit gestohlenen Daten oder verschlüsselten Daten
10,70
Kosten für Rechtsstreitigkeiten
16,20
Imageschaden bei Kunden oder Lieferanten, negative Medienberichterstattung
23,60
Umsatzeinbußen durch nachgemachte Produkte (Plagiate) 21,10
Sonstige Schäden
0,90 hybrid sein, die Militarisierung des Cyberraums wird weiter zunehmen. Deutschland und Europa stellt diese Entwicklung vor neue Herausforderungen, denen wir nur gemeinsam begegnen können.
Jedes Jahr bietet das Hasso-Plattner-Institut mit der Potsdamer Konferenz für Nationale CyberSicherheit Politik, Wissenschaft, Wirtschaft und Militär eine Plattform, sich zur aktuellen Cybersicherheitslage in Deutschland auszutauschen. Zu den diesjährigen Schwerpunktthemen zählen: der Schutz kritischer Infrastrukturen, der Cyberwar, Awareness-Maßnahmen für Mitarbeitende und die Notwendigkeit, die digitale Souveränität Deutschlands und Europas zu stärken. sicherheitskonferenz.hpi.de
Die Konferenz bietet Teilnehmenden die Möglichkeit, direkt mit renommierten IT-Sicherheitsexpertinnen und -experten ins Gespräch zu kommen. Freuen Sie sich unter anderem auf Beiträge und Diskussionen mit: Holger Münch, Präsident des BKA; Generalmajor Wolfgang Wien, Vizepräsident des BND; Siemtje Möller, Parlamentarische Staatssekretärin BMVg, und Dr. Markus Richter, Staatssekretär im BMI.
TICKETS
Hier können Sie Tickets für die Cybersicherheitskonferenz erwerben:
Cyberkriminalität verursacht jährlich einen Schaden in Milliardenhöhe. Laut Bundeskriminalamt beträgt die Aufklärungsquote dabei weniger als 30 Prozent. Grundpfeiler für die Digitalisierung sind sichere elektronische Identitäten und kryptografische Mittel, um elektronische Daten und Kommunikation abzusichern. Näheres dazu erläutern Hartje Bruns und Florian Scheld von Governikus.
Warum sind die Anforderungen an digitale Identitäten so besonders? Bruns: Je nach Bedarf und Anforderung an verlässlichem und vertrauenswürdigem Handeln unterscheidet sich das „digitale Ich“ vom „analogen Ich“. In der analogen Welt zeigen wir unseren Personalausweis oder Reisepass vor und wissen, dass niemand anderes sich einfach für uns ausgeben kann. Beim „digitalen Ich“ kommen neue Herausforderungen hinzu. Je nach Anwendungsbereich habe ich unterschiedliche Identitäten, die meist mit unterschiedlichen persönlichen Daten gekoppelt sind. Das sind bei einer ID für ein Shopping-Portal andere als bei einer ID für einen Social-Media-Account.
Wohnung und Auto ummelden oder ein neues Konto eröffnen – dafür muss ich mich aber im Netz zweifelsfrei identifizieren. Wie kann das einfach, aber sicher funktionieren? Bruns: Ein staatliches eID-Schema ins Internet zu bringen war die Idee hinter der Einführung der Online-Ausweisfunktion, die seit dem 1.11.2010 auf dem Personalausweis, seit 2011 auf dem elektronischen Aufenthaltstitel sowie seit 2021 auf der neuen eID-Karte für Unionsbürger:innen ausgegeben wird. Mit dem OnlineAusweis einher ging die Einführung einer gesamten Infrastruktur, damit sichergestellt werden kann, dass a) nur vom Staat ausdrücklich genehmigte Organisationen und Unternehmen die auf dem Chip des Ausweises enthaltenen Daten auslesen können und b) die Daten mittels sicherer Software sowohl aufseiten der Nutzer:innen als auch aufseiten der auslesenden Organisationen für eine sichere Übertragung sorgen. Das gehört für mich in einer zunehmend digitalen Welt genauso zur
Infrastrukturleistung des Staates wie Autobahnen und Schulen.
Was braucht es für die digitale Identifikation? Bruns: Hier gibt es mehrere Möglichkeiten:
Für Bürger:innen ist es ganz einfach: die AusweisApp des Bundes auf dem Smartphone installieren, den Personalausweis ans Gerät halten, eine PIN eingeben, fertig. Unternehmen haben verschiedene Möglichkeiten, sich an die eID-Infrastruktur anzubinden. Ein Beispiel ist die Nutzung eines Identifizierungsdienstes wie AusweisIDent. Das ist ein Dienst, den wir gemeinsam mit der Bundesdruckerei-Tochter d-trust entwickelt haben und anbieten. AusweisIDent ist eine schnelle und einfache Möglichkeit zur Integration des Online-Ausweises, die keinen großen Aufwand auf Unternehmensseite erfordert und in vorhandene Systeme integriert werden kann. Darüber hinaus können Unternehmen, die sehr hohe Identifizierungsquoten haben, auch einen eigenen eIDServer betreiben oder diesen as a Service einkaufen. Da wir an der Entwicklung der eID-Infrastruktur im Auftrag von Bund und allen 16 Bundesländern maßgeblich beteiligt waren und sind, bieten wir alle drei Möglichkeiten an.
Welche Rolle spielt dabei Kryptografie? Bruns: Die Identitätsdaten aus dem Online-Ausweis werden natürlich nicht ohne Schutzmaßnahmen übertragen, sondern über einen sicheren, verschlüsselten Kanal.
Kann Digitalisierung ohne Kryptografie überhaupt funktionieren?
Scheld: Das ist eigentlich nicht denkbar. Die Vergangenheit hat häufig gezeigt, dass rein organisatorische Maßnahmen zur Sicherheit ungenügend sind. Bedenkt man die „Verwundbarkeit“ von Systemen und Daten durch Cyberangriffe, dann überrascht die Antwort nicht. Vertrauen in Identitäten, Daten und Systeme kann nur entstehen, wenn diese ohne jeden Zweifel bestehen. Das fängt bei entsprechenden Zertifikaten, die den Herausgeber einer Website identifizieren, schon an. Eine nicht durch ein Zertifikat verschlüsselte Website wird als „unsicher“ angezeigt, und man würde dort wahrscheinlich keinen Account eröffnen und seine Bankdaten hinterlegen.
Sind kryptografisch behandelte Daten wirklich verlässlicher?
Scheld: Immer mehr Daten und Dokumente entstehen elektronisch und werden elektronisch übermittelt. Diesen fehlen gegenüber dem Papier jedoch wichtige Eigenschaften wie Integrität und Authentizität.
Sprich: Als Empfänger kann ich zunächst nicht feststellen, ob die erhaltenen Daten manipuliert wurden oder diese wirklich vom angegebenen Absender stammen. Um diese forensischen Nachweise herzustellen, werden kryptografische Mittel benutzt.
Das klingt kompliziert … Scheld: Ja und nein. Ja: Die Technologie dahinter ist es sicherlich, und deshalb gibt es bei Unternehmen wie unserem Kryptografie-Expert:innen. Aber: Unsere Software-Entwicklung hat auch das Ziel, Nutzer:innen den Umgang mit entsprechenden Software-Anwendungen so einfach wie möglich zu machen. Anwender:innen sollen sich mit der Komplexität, die mit IT-Sicherheit einhergeht, überhaupt nicht beschäftigen, sondern mit den ihnen vertrauten Systemen arbeiten können. Konkret: Die Integrität und Authentizität von Dokumenten und Daten wird durch digitale Signaturen und/oder Siegel hergestellt. Diese basieren auf einem Kryptografie-Verfahren, welches mittels Schlüsselpaaren die nicht abstreitbare Urheberschaft sowie die Nichtveränderbarkeit eines Dokumentes oder Datensatzes nachweist. Nutzer:innen können diese Schlüsselpaare auf unterschiedlichen Vertrauensniveaus einsetzen, die wiederum – und hier schließt sich der Kreis – von der Güte der Identität abhängen.
Ein anderes Modell, das wir gerade an den Start bringen, ist die Unterschrift mittels Online-Bankings. Meiner Bank gegenüber habe ich mich bei der Kontoeröffnung ausgewiesen. Das kann genutzt werden, um eine rechtsverbindliche Signatur zu erzeugen. Nutzer:innen brauchen dafür lediglich die ihnen bekannten Mittel ihres OnlineBankings und können so direkt in verbindliche elektronische Prozesse einsteigen. So kann Digitalisierung einfach und sicher zugleich gelingen.
