Hundertprozentigen Schutz vor Cyberkriminalität wird es nicht geben, darin sind sich Fachleute einig. Interdisziplinäre Forscherteams arbeiten mit Hochdruck an Technologien, die Angriffe und Schäden minimieren sollen. Das Sicherheitsbewusstsein in den Unternehmen ist indessen noch nicht sehr ausgeprägt.
Trotz aller Fortschritte, die Forscher und IT-Entwickler bei der Erkennung und Abwehr von Angriffen machen, mutet die Aufgabe wie jene des antiken Helden Sisyphos an. Ein herkömmliches Virenschutzprogramm erkennt mehr als 400 Millionen Malware-Signaturen. Täglich kommen aber tausende neue hinzu.
Ein noch größeres Problem sind jedoch Cyberattacken, die in vielen kleinen Angriffen über einen langen Zeitraum erfolgen und kaum Spuren hinterlassen. Sogenannte Advanced Persis-tent Threads (APTs) sind Schadprogramme, die speziell auf das attackierte Unternehmen zugeschnitten sind, über ein Schlupfloch eindringen und sich tief im System einnisten. Ein APT bleibt oft über Monate, manchmal sogar Jahre unentdeckt, da es seine Anwesenheit vor bekannten Erkennungsverfahren verschleiern kann. Meist werden auf diese Weise Daten ausspioniert und wichtige Dokumente oder Patentunterlagen an fremde Server gesendet.
Die Schadsoftware kann aber auch das System gezielt manipulieren. Der Schaden ist immens – Experten gehen davon aus, dass der Gewinn, der durch Cyberkriminalität erzielt wird, den Gewinn aus internationalen Drogengeschäften bereits übersteigt. »Cyberangriffe auf Unternehmen sind längst keine Seltenheit mehr – sie sind an der Tagesordnung«, bestätigt Gottfried Tonweber, Director IT Advisory bei EY Österreich. »Selbst die Unternehmen, die noch keinen Angriff registriert haben, könnten betroffen sein, ohne etwas davon mitzubekommen. Unternehmen, die erst reagieren, wenn das Kind in den Brunnen gefallen ist, handeln fahrlässig: Der Schadensfall kann schnell verheerende Auswirkungen haben.«
Bild oben: Claudia Eckert, AISEC: »So wie der Mensch eindeutig identifizierbar ist, gibt es auch eine Art Biometrie für Objekte.«
Sorgenkind IoT
Noch scheint es, als wären die Täter stets zwei Schritte voraus. Das könnte sich bald ändern. Wissenschafter an den technischen Universitäten und Fachhochschulen arbeiten in ständigem Austausch mit Unternehmen mit Hochdruck an der Entwicklung innovativer Lösungen, die IT-Sicherheit auf einen höheren Level heben sollen. »Der Schutz kritischer Infrastrukturen ist in Eu-ropa wichtiger denn je«, sagt Thomas Brandstetter, Dozent am Department Informatik und Security der FH St. Pölten und Organisator der internationalen Fachtagung »IT-Security Community Exchange« (IT-SECX). »Digitalisierung ist ein Kernthema auch für die Industrie geworden. Industrieunternehmen vernetzen ihre Anlagen immer stärker und statten diese stärker mit Softwarekomponenten aus, um Daten zu generieren und mit diesen den Betrieb zu verbessern. Das öffnet Einfallstore für Schadsoftware und ist eine große Herausforderung für die IT-Sicherheit.«
Spätestens in fünf bis zehn Jahren werde es »selbstregulierende Architekturen« geben, die proaktiv eine Bedrohung verhindern, zeigt sich Claudia Eckert, Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) und Professorin an der TU München, zuversichtlich. »Hacking ist auch ein kreativer Akt«, sagt die Informatikerin – und genau das diese Unberechenbarkeit mache Gegenmaßnahmen so schwierig. Alle Varianten eines möglichen Eindringens müssten durchkalkuliert werden. Aber ähnlich wie Schachcomputer auch den besten Spielern längst überlegen sind, sei es nur noch eine Frage der Zeit, bis auch Sicherheitssysteme so ausgereift sind, dass Angreifer keine Chance haben.
Das Internet der Dinge stellt Forscher und Techniker vor besondere Herausforderung. Damit sich die tausenden im Internet vernetzten Objekte wechselseitig identifizieren können, braucht es für die Industrie praktikable, skalierbare Verfahren. Das AISEC entwickelte eine Methode, die Produktionsmaschinen mithilfe eines Kryptografie-Chips von Infineon eine zusätzliche Sicherheitsstufe vorschaltet. Ähnlich wie der Mensch anhand des Fingerabdrucks identifizierbar ist, gibt es auch eine Art Biometrie für Objekte, die sich aufgrund physikalischer, nicht nachbaubarer Eigenschaften unterscheiden.
Am Austrian Institute of Technology (AIT) entwickelten Wissenschafter eine patentierte Lösung, die auf Ansätzen aus der Bioinformatik basiert. Das selbstlernende Tool kann häufig auftretende Muster in Logfiles und Ereignissen entdecken, klassifizieren und clustern und somit bekannte »gute« Aktivitäten von unbekannten schädlichen Aktivitäten in betrieblichen IT-Infrastrukturen unterscheiden.
Die Erfolge auf dem Gebiet der künstlichen Intelligenz bringen zugleich Fluch und Segen. Durch die Fortschritte in der Forschung wird Cyber Security im Umgang mit den ständig wechselnden Bedrohungen zwar immer effizienter. »Andererseits stellt KI selbst eine Gefahr dar«, meint Gert Weidinger, KPMG-Partner in Österreich. »Sie bedeutet immer auch Vernetzung und öffnet Tür und Tor für Angriffe und Manipulationen für Hacker.«
An der Wurzel packen
Bild oben: Samuel Brandstätter, avedos: »Bedrohungen, die nur schwer zu greifen sind, werden öfter unterschätzt.«
»Durch die Digitalisierung und Vernetzung von intelligenten Systemen werden mehr Daten gesammelt – oftmals ohne Ziel – und über unterschiedliche Kanäle bzw. Protokolle übertragen. Dadurch entsteht eine Vielzahl an neuen Angriffsvektoren, die es in einer allumfassenden Sicherheitslösung zu berücksichtigen gilt«, erläutert Marian Percsy, Major Account Manager bei Check Point Software. »Netzwerke industrieller Automations- und Kontrollkomponenten nähern sich zunehmend den klassischen IT-Netzwerken an. Diese müssen ebenso geschützt werden wie die – bis dato vernachlässigten Bereiche – Cloud- und Container-Lösungen sowie mobile Endgeräte.
»Heartbleed«, eine Lücke im bis dahin als sicher geltenden Zugangsverfahren SSL, zeigte deutlich, wie verletzbar Systeme sind. Durch einen schwerwiegenden Programmierfehler im Quellcode der älteren Versionen konnten 2014 über verschlüsselte Verbindungen Daten von Clients und Servern ausgelesen werden. Automatische Softwareprüfprogramme, die Programmcodes auf Schwachstellen testen, sind inzwischen Standard. Für Programmierer in der Industrie, die spezielle Software für eingebettete Systeme entwickeln, gewinnen Sicherheitstools im Zeitalter des Internet of Things zunehmend an Bedeutung.
»Security by Design« ist eine Anforderung, die ein entscheidendes Problem an der Wurzel behebt: »95 % der erfolgreichen Angriffe basieren auf schlecht programmierter, schlecht gewarteter oder schlecht konfigurierter Software«, sagt Thomas Tschersich, Leiter Internal Security & Cyber Defense der Deutschen Telekom. Anstatt erst »ein Pflaster über das Produkt zu kleben, wenn es bereits zusammengebaut wurde«, sollte das Thema Sicherheit bereits bei der Planung mitgedacht werden.
DSGVO als Motor
Bild oben: Marian Percsy, Check Point: »Datensicherheit ist nicht mehr alleiniges Thema der IT.«
Derzeit lautet die Devise vieler Unternehmen noch, kein einfaches Ziel zu sein. Cyberkriminelle versuchen mit massiven Angriffen, den größtmöglichen Schaden zu erzielen. Art, Größe und Branche des Unternehmens sind für sie zweitrangig. Je besser sich ein Betrieb schützt, desto uninteressanter wird er für Täter. Es gibt genügend andere lohnende Ziele, die über keinen mehrstufigen Schutz, moderne technologische Lösungen, aktuelle Systeme und Passwort-Manager verfügen. Globale Cyberattacken wie Petya oder Wannacry rufen die Gefahren kurzfristig in Erinnerung, dennoch ist »123456« noch immer das beliebteste Passwort der Welt. Nicht weniger fahrlässig handelten die 1.464 Mitarbeiter des öffentlichen Dienstes in Australien, die sich mit »password123« einloggten.
Die seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) und die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) sorgten in vielen Unternehmen für Verunsicherung, trugen aber maßgeblich zu einer breiteren Publizität des Themas Datensicherheit bei.
»Nicht-zielgerichtete Attacken (beispielsweise durch Ransomware) haben aufgrund der Vielzahl an betroffenen Geräten und dem einhergehenden Schaden für großes Aufsehen gesorgt. Diese Art von Attacken stellt jedoch nur einen Bruchteil der gesamten Cyberangriffe dar«, erklärt Check Point-Manager Marian Percsy. Grundsätzlich könnten alle Organisationen, ungeachtet des Betätigungsfeldes und der Größe, potenzielle Opfer von Cyberangriffen werden, so Percsy: »Vorwiegend von Interesse sind jedoch Organisationen mit sensiblen bzw. wertvollen Informationen, die im Rahmen von zielgerichteten Attacken anvisiert werden. Solche Vorfälle werden durch gesetzliche Vorgaben wie die DSGVO und die daraus resultierenden Meldepflichten sichtbarer. Datensicherheit ist folglich nicht mehr alleiniges Thema der IT.«
Die gute Nachricht: Rund die Hälfte der befragten Unternehmen will das Budget für Cyber Security im kommenden Jahr zumindest leicht aufstocken. In jedem fünften Betrieb ist man sogar der Meinung, es sollte mehr als 10 % des IT-Budgets ausmachen.
Wunsch und Wirklichkeit klaffen jedoch noch weit auseinander, weiß KPMG-Partner Andreas Tomek: »Die Vorstellung vom idealen Budget weicht stark vom realen ab.« Bei rund einem Fünftel der Unternehmen beträgt das Security-Budget lediglich 2 bis 5 % des IT-Gesamtbudgets.
Die klassische Prävention in Form von Firewalls, Proxies oder Virenscannern kann strategische Angriffe aber bestenfalls erschweren. »Technik kann und muss gegen technische Schwachstellen schützen. Die erforderliche Komplexität steigt parallel zur wachsenden IT-Infrastruktur in Unternehmen«, erklärt Samuel Brandstätter, CEO der avedos GRC GmbH. »Darüber hinaus sind aber auch organisatorische und menschliche Schwachstellen relevant, gegen die technische Lösungen nur bedingt hilfreich sind.«
Das Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001 bezieht deshalb alle wichtigen Entscheidungsträger mit ein. Besonderes Augenmerk liegt auf laufenden Verbesserung der Security Policies. Trotz der damit verbundenen Aufwertung seiner Position trägt die Verantwortung letztlich aber nicht nur der CIO, so avedos-Chef Brandstätter: »Dies kann keine alleinige Aufgabe des Sicherheitsverantwortlichen oder der IT sein sondern muss in der Organisation verankert sein.«
Ernstfall Cyberangriff
1. Risikoanalyse: Vorsorge ist alles. Um gegen Angriffe gewappnet zu sein, sollte klar sein, über welche kritischen Daten das Unternehmen verfügt wo diese gespeichert sind. Mitarbeiterverzeichnisse, Kundendaten, Fahrtenbücher oder Lieferantenlisten finden sich u.a. auch auf mobilen Devices wie Smartphones, Tablets oder digitalen Fotokameras. Auf Cyber Security spezialisierte Experten ermitteln in einer Analyse den Schutzbedarf und mögliche Bedrohungsszenarien. Penetrationstests zeigen auf, wo Sicherheitslücken bestehen.
2. Schutzmaßnahmen: Ein modernes Sicherheitskonzept beinhaltet ein Frühwarnsystem, das verdächtige Anomalien rechtzeitig meldet. Komplexe Cyberattacken torpedieren das Unternehmen an mehreren Stellen über einen längeren Zeitraum in vielen kleinen Angriffen, von denen jeder für sich unbedeutend erscheint, aber Teil einer gefährlichen Strategie ist. Neben technischen Sicherheitslösungen, die alle Unternehmensprozesse umfassen und regelmäßige Updates vorsehen, sind auch organisatorische Maßnahmen unumgänglich. Dazu gehören Zugangsregelungen und Verhaltensrichtlinien ebenso wie klare Zuständigkeiten. Ein Notfallplan legt fest, welche Maßnahmen in welcher Reihenfolge ablaufen und wer wann zu informieren ist. Die Sicherheitsstrategie sollten laufend überprüft werden und fester Teil der Mitarbeiterschulungen sein.
3. Meldung: Sind personenbezogene Daten von Kunden, Lieferanten oder Mitarbeitern betroffen, muss laut DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Datenschutzbehörde erfolgen. Strafrechtlich relevante Angriffe werden an die Polizei gemeldet. Weiters sind jene Personen zu benachrichtigen, deren Daten möglicherweise in falsche Hände gelangt sind.
4. Krisenmanagement: Nach einer Attacke tritt der im Vorfeld akkordierte Notfallplan in Kraft. Sicherheits- und Datenschutzbeauftragte, Mitarbeiter der IT-Abteilung, des Rechenzentrums und der betroffenen Abteilungen, Betriebsrat und Geschäftsführung sollten sofort einen Krisenstab bilden. Auch die Beiziehung externer IT-Forensiker empfiehlt sich. Statt einfach den Stecker zu ziehen, versuchen Spezialisten, die Angreifer mittels sogenannter »Honeypots« – vielversprechender Fake-Informationen – abzulenken und sie nach Möglichkeit ausfindig zu machen. Gleichzeitig werden zusätzliche Barrieren installiert, um besonders sensible Datenbereiche zu schützen.
5. Dokumentation: Zur Verfolgung und Evaluation eines Cyberangriffs ist ein Protokoll hilfreich, das alle Informationen zu den damit verbundenen Vorgängen enthält, z.B. Zeitpunkte und Kontaktpunkte der jeweiligen Ereignisse, Personen und Verbindungen nach außen, Schadensfeststellung der betroffenen Konten, Systeme, Netze und Dienste.