Vernetzt und verletzlich
Author: Markus Strehlitz
Mit der zunehmenden Digitalisierung steigt auch das Risiko von Online-Angriffen, wie zahlreiche Beispiele zeigen. Unternehmen brauchen ausgefeilte Sicherheitskonzepte, um sich zu schützen. DEKRA bietet dabei Unterstützung.
Die Bedrohung durch Cyber-Kriminelle ist so groß wie nie. Regelmäßig gibt es Berichte über Online-Attacken auf Unternehmen. „43 Prozent der Betriebe verzeichneten in den vergangenen zwölf Monaten eine Zunahme der Cyber-Angriffe“, heißt es zum Beispiel in einer Studie des Marktforschungshauses IDC, das Security-Verantwortliche aus mehr als 200 deutschen Unternehmen befragt hat. Für die Zukunft erwarten 51 Prozent der Befragten einen weiteren Anstieg der Attacken.
Erst im Februar berichtete das Bundesamt für Sicherheit in der Informationstechnik (BSI) von einem weltweiten Ransomware-Angriff, bei dem tausende Server verschlüsselt wurden. Der regionale Schwerpunkt lag dabei auf Frankreich, den USA, Deutschland und Kanada. Hierzulande soll laut BSI eine mittlere dreistellige Zahl von Systemen betroffen gewesen sein.
Bei einem Ransomware-Vorfall verschlüsseln Angreifer die Daten eines Unternehmens, nachdem sie sich Zugang zu dessen Netzwerk verschafft haben. Erst gegen ein Lösegeld geben sie diese dann wieder frei. Wer dazu nicht bereit ist, muss befürchten, dass seine Daten im Darkweb landen und dort verkauft werden. Dazu zählen dann auch sensible Informationen – zum Beispiel Daten aus der Produktion eines Unternehmens.
Die Cyber-Kriminellen nehmen auch verstärkt Unternehmen aus der fertigenden Branche ins Visier. Das belegen aktuelle Beispiele wie die Attacken auf einen deutschen Rüstungskonzern, auf einen Anbieter von Baustoffen oder auch einen Maschinen- und Anlagenbauer. Solche Vorfälle haben einschneidende Folgen. Die IT-Systeme der betroffenen Unternehmen sind nach einem Angriff häufig für eine relativ lange Zeit lahmgelegt.
Schwerwiegende Auswirkungen haben auch Angriffe auf kritische Infrastrukturen, wie ein aktueller Cyber-Angriff auf eine Klinik in Barcelona zeigt. Wegen der Attacke habe die Klinik 150 Operationen und rund 3.000 Patiententermine absagen müssen. Im September 2020 etwa war das Universitätsklinikum Düsseldorf Ziel eines Ransomware-Angriffs. Tagelang fielen zentrale Systeme aus. Das Krankenhaus musste sich von der Notfallversorgung abmelden, Behandlungen wurden abgesagt oder verschoben. In den USA wurde eine Öl-Pipeline von Cyber-Kriminellen attackiert. Der Betreiber Colonial Pipeline, der ein Netz von zirka 8.000 Kilometern unterhält, musste den Betrieb der Pipeline zeitweise aussetzen. Dies sorgte für regionale Engpässe und Hamsterkäufe – beispielsweise von Benzin.
Ransomware ist ein einträgliches Geschäft
Die Bedrohung durch Online-Attacken ist auch deshalb so groß, weil diese ein einträgliches Geschäft ist. Ransomware ist das beliebteste Geschäftsmodell im Cyber-Crime. Denn häufig haben die Cyber-Kriminellen Erfolg mit ihrem Erpressungsversuch. Mehr als die Hälfte der Firmen sei bereit zu zahlen, so die IDC-Studie. Das motiviert die Hacker: 70 Prozent der Unternehmen wurden laut IDC in den vergangenen zwölf Monaten Opfer eines Ransomware-Angriffs. Nur gut die Hälfte davon konnte die Attacke abwehren oder rechtzeitig isolieren.
Hinzu kommt, dass die voranschreitende Digitalisierung den Firmen zwar viel Nutzen bringt, aber auch die Möglichkeiten für Cyber-Kriminelle vergrößert. Alles, was vernetzt ist, kann theoretisch von außen angegriffen werden. Das Ziel ist nicht mehr nur klassischerweise der Computer in den Büros. Auch Geräte aus dem Internet der Dinge (IoT) sind ins Visier der Hacker geraten. Denn viele Firmen versuchen mittlerweile das große Potenzial von IoT für sich zu erschließen. So liefern zum Beispiel Produkte, die bei Kunden im Einsatz sind, Daten an ihre Hersteller. Überwachungsanlagen werden vernetzt. Und Sensoren an den Maschinen in der Fabrik sammeln Informationen, um Produktionsprozesse zu optimieren.
All diese IoT-Komponenten müssen daher geschützt werden. Doch die Sicherheitsverantwortlichen in den Unternehmen stehen dabei vor der großen Herausforderung, die Geräte verschiedener Hersteller mit unterschiedlichen Security-Voraussetzungen und -anforderungen unter einen Hut bringen. Zwei Drittel der von IDC befragten Experten berichten, dass ihre Security-Landschaften komplexer geworden sind. 71 Prozent gehen davon aus, dass dies weiter zunehmen wird.
Angriffe erfordern ausgefeilte Sicherheitskonzepte
Aber die gute Nachricht lautet: Die Firmen kümmern sich verstärkt um den Schutz der eigenen digitalen Infrastruktur. Umfragen und Experten berichten immer wieder, dass Unternehmen mehr in ihre Cyber-Sicherheit investieren wollen. Auch die Marktbeobachter von IDC sprechen davon, dass fast die Hälfte der Organisationen plant, ihre Cyber-Verteidigung anzupassen.
Doch die Angriffe werden immer raffinierter. Sie erfordern entsprechend ausgefeilte Sicherheitskonzepte. Um die flexiblen Netzwerkarchitekturen eines digitalisierten Unternehmens zu schützen, müssen verschiedene Security-Maßnahmen zusammenspielen. Dazu zählen etwa strikte Zugriffsregeln sowie ein sogenanntes Zero-Trust-Konzept. Bei diesem wird grundsätzlich jedem Anwender und jedem Gerät misstraut – unabhängig davon, ob dieser beziehungsweise dieses innerhalb oder außerhalb des eigenen Netzwerks sitzt. Der gesamte Netzverkehr wird überwacht und alle Anwender oder Dienste müssen sich authentifizieren.
Bei der Auswahl der IoT-Geräte sollten Unternehmen zudem auf deren Sicherheitseigenschaften achten. Die Geräte sollten über Cyber-Sicherheitszertifikate verfügen und von Herstellern stammen, die besonderen Wert auf Informationssicherheit legen. Hinzu kommt ein sogenanntes Vulnerability Management. Dabei werden die wichtigsten Daten zu Schwachstellen – etwa in der Firmware von Geräten – regelmäßig erfasst, um darauf mit entsprechenden Schutzmaßnahmen reagieren zu können.
Viele Unternehmen – gerade mittelständische – sind mit diesen mannigfaltigen Aufgaben überfordert. Daher gibt es Service-Unternehmen, die eine Vielzahl von Sicherheitsaufgaben für die Firmen übernehmen. So bietet zum Beispiel DEKRA unter anderem Audits und Risikobewertungen sowie Schulungen für die Mitarbeitenden, um diese für das Thema Cyber-Sicherheit zu sensibilisieren. Schließlich ist der Mensch häufig das schwächste Glied in der Sicherheitskette eines Unternehmens (siehe auch Interview). Hinzu kommen sogenannte Penetrationstests. Mit diesen lassen sich Schwachstellen in den IT-Systemen und Architekturen aufdecken, um entsprechende Lücken schließen zu können.
So können Unternehmen zwar nicht davon ausgehen, dass die Zahl der Cyber-Angriffe abnehmen wird. Aber mit externer Unterstützung können sie dafür sorgen, darauf besser vorbereitet zu sein.
„Der Faktor Mensch spielt in jeder Sicherheitsstrategie eine wichtige Rolle“
Andy Schweiger ist bei DEKRA als Senior Vice President für den Bereich Global Cyber Security Services verantwortlich. Im Interview erklärt er, warum Mittelständler zunehmend von Online-Angriffen betroffen sind, auf welche Weise sie sich schützen können und wie ihnen DEKRA dabei hilft.
Herr Schweiger, wie ist aus Ihrer Sicht die aktuelle Bedrohungslage speziell für mittelständische Industrieunternehmen?
Schweiger: Kleine und mittlere Unternehmen (KMU) werden zunehmend zur Zielscheibe von Cyber-Angriffen, da ihnen oft die Mittel fehlen, um in robuste Cyber-Sicherheitsmaßnahmen zu investieren. Jüngsten Berichten zufolge ist mehr als die Hälfte aller kleinen Unternehmen schon einmal Opfer eines Cyber-Angriffs geworden, wobei Phishing-Angriffe, Ransomware und Malware am häufigsten vorkommen. Diese Arten von Angriffen können den KMU erheblichen Schaden zufügen – einschließlich finanzieller Verluste, Rufschädigung und sogar rechtlicher Haftung. Daher ist es für KMU wichtig, der Cyber-Sicherheit Priorität einzuräumen, indem sie grundlegende Sicherheitsmaßnahmen wie sichere Passwörter, regelmäßige Software-Updates und Mitarbeiterschulungen zur Erkennung von und zum Umgang mit potenziellen Bedrohungen durchführen.
Was sind die häufigsten Einfallstore für Cyber-Kriminelle?
Schweiger: Es gibt mehrere gängige Einfallstore, die Cyber-Kriminelle für ihre Angriffe nutzen. Eines der häufigsten ist Phishing, bei dem betrügerische E-Mails oder Nachrichten an Personen gesendet werden, um sie zur Preisgabe sensibler Informationen wie Anmeldedaten oder Kreditkartendetails zu verleiten. Ein weiteres Einfallstor sind ungesicherte Wi-Fi-Netzwerke, die von Hackern ausgenutzt werden können, um Daten abzufangen, die über das Netzwerk übertragen werden. Außerdem können veraltete Software und Betriebssysteme Schwachstellen aufweisen, die Cyber-Kriminelle ausnutzen können, um sich Zugang zu einem System zu verschaffen. Schließlich können Cyber-Kriminelle auch Social-Engineering-Taktiken wie Vorwände und Köder einsetzen, um sich Zugang zu sensiblen Informationen oder Systemen zu verschaffen.
Welche Rolle spielt der Faktor Mensch aus Ihrer Sicht einer Sicherheitsstrategie?
Schweiger: Der Faktor Mensch spielt in jeder Sicherheitsstrategie eine wichtige Rolle. Während Technologien wie Firewalls und Verschlüsselung einen wichtigen Schutz vor Cyber-Bedrohungen bieten können, bleiben die Mitarbeitenden das schwächste Glied in der Sicherheitskette. Dies liegt daran, dass viele Angriffe auf Social-Engineering-Taktiken beruhen, um Personen dazu zu bringen, sensible Informationen preiszugeben oder bösartige Software herunterzuladen.
Wie können sich Unternehmen schützen?
Schweiger: Um sich zu schützen, sollten Unternehmen vorrangig Mitarbeiterschulungen und Sensibilisierungsprogramme durchführen, in denen die Mitarbeitenden lernen, wie sie potenzielle Bedrohungen erkennen und darauf reagieren können. Dazu sollten regelmäßige Schulungen zu Themen wie Phishing, Passwortverwaltung und Datenschutzrichtlinien gehören. Außerdem sollten Unternehmen Zugangskontrollen und andere Maßnahmen einführen, um die Menge an sensiblen Daten zu begrenzen, auf die Mitarbeitende Zugriff haben.
Schließlich sollten Unternehmen ihre Sicherheitsrichtlinien und -verfahren regelmäßig überprüfen, um sicherzustellen, dass sie mit den neuesten Bedrohungen und bewährten Verfahren Schritt halten. Dazu gehört auch die regelmäßige Durchführung von Schwachstellenbewertungen und Penetrationstests, um potenzielle Schwachstellen in ihren Systemen zu erkennen, bevor sie von Cyber-Kriminellen ausgenutzt werden können. Durch einen proaktiven Ansatz für die Cyber-Sicherheit, der sowohl technologische als auch menschliche Faktoren einbezieht, können Unternehmen ihr Risiko, Opfer eines Cyber-Angriffs zu werden, erheblich verringern.
Wie unterstützt DEKRA Unternehmen bei diesem Thema?
Schweiger: DEKRA unterstützt Unternehmen auf verschiedene Weise beim Thema Cyber-Sicherheit. Zu den wichtigsten Dienstleistungen, die DEKRA in diesem Bereich anbietet, zählen Audits und Risikobewertungen: DEKRA bietet Auditierungsdienste an, um Unternehmen bei der Identifizierung von Schwachstellen in ihren IT-Systemen zu unterstützen und Risiken zu bewerten. Dabei werden auch organisatorische Aspekte wie Richtlinien und Prozesse zu verschiedenen Sicherheitsstands berücksichtigt. Eine weitere Dienstleistung sind Schulungen und Sensibilisierung: DEKRA bietet Schulungen für Mitarbeitende an, um das Bewusstsein für Cyber-Sicherheit zu erhöhen und Best Practices im Umgang mit Datenverarbeitung und -speicherung zu vermitteln. Außerdem führt DEKRA Penetrationstests durch, um Schwachstellen in speziellen IT-Komponenten, Systemen und Architekturen für spezielle Anwendungen (Konsumgüter, Industrieanlagen, Automobile und Ähnliches) aufzudecken und Sicherheitslücken zu schließen. Zertifizierungsprogramme, welche DEKRA ebenfalls anbietet, können Unternehmen zudem helfen, ihre IT-Sicherheitsstandards zu verbessern und ihre Compliance mit geltenden Vorschriften nachzuweisen. Insgesamt kann DEKRA Unternehmen dabei helfen, ihre Cyber Security-Strategie zu entwickeln oder zu verbessern, indem sie ihnen eine breite Palette von Dienstleistungen zur Verfügung stellt, die auf die spezifischen Anwendungsfälle in Unternehmen zugeschnitten sind.