Experten im Video-Interview
Ist Ihr Cybersecurity-Werkzeugkasten auf dem neuesten Stand?
Ransomware-Wellen, Covid-bedingte IT-Umwälzungen und geopolitische Spannungen führen dazu, dass viele Unternehmen ihre IT-Sicherheitskonzepte überdenken müssen. Die Gefährdungslage im Cyber-Raum ist laut BSI so hoch wie nie. Neun Cybersecurity-Experten und ihre Einschätzungen für das laufende Jahr.
Die Bedrohungslage im Cyber-Raum sei angespannt, dynamisch und vielfältig und damit so hoch wie nie, konstatiert BSI-Vizepräsident Dr. Gerhard Schabhüser im Lagebericht 2022 des Bundesamtes. Demnach habe sich im Berichtszeitraum von Juni 2021 bis Mai 2022 die Lage weiter zugespitzt. Die Gründe für die hohe Bedrohungslage sind laut BSI anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. Jede Schwachstelle entsprechender Produkte stelle somit ein potenzielles Einfallstor für Angreifer dar und gefährde die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 seien allein über 20.000 Schwachstellen in Software-Produkten registriert gewesen. Das entspricht einem Zuwachs von 10 Prozent gegenüber dem Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf.
Als besonders kritisch hat sich dabei die Schwachstelle in Log4j erwiesen, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war zudem von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. Als besorgniserregend erwies sich zudem, dass auch neun Monate nach Bekanntwerden der Log4j-Schwachstelle in der Java-Bibliothek fast jedes zweite Unternehmen dahingehend noch nichts unternommen hatte.
| Neun Vertreter aus der Cybersicherheitsbranche gewähren Einblicke |
|---|
|
Im Dezember 2022 hat funkschau mit neun Vertretern aus der Cybersicherheitsbranche gesprochen und sie zu ihrer Einschätzung hinsichtlich der Bedrohungslage 2022 und 2023 und den daraus abzuleitenden Handlungsempfehlungen für Unternehmen befragt. Die Antworten und Einschätzungen der Experten finden Sie im vorliegenden Beitrag in den entsprechenden Videoabschnitten. Persönliche Einblicke gibt es darüber hinaus am Ende des Artikels; hier haben wir gefragt „Was war die bisher kurioseste/originellste/beste Phishing-Mail, mit der Sie es zu tun hatten?“. Die Interviewpartner sind:
*Wiedergabe der Statementgeber der Übersicht halber in alphabetischer Reihenfolge. Die funkschau-Redaktion möchte an dieser Stelle noch einmal ihren Dank an die Kommunikationsagentur Münchner Kafka Kommunikation aussprechen, die maßgeblich an Organisation, Briefing und Vermittlung der Interviewtermine mitgewirkt hat. |
(Vor)Gelebte IT-Security
Das kann eventuell als Indiz dafür ausgelegt werden, dass Cybersicherheit oft noch nicht die entscheidende Aufmerksamkeit erhält, die sie verdient hätte. Ein hausgemachtes Problem? Michael Heuer, VP DACH bei Keepit, appelliert an Firmen, das Thema Cybersecurity ernst zu nehmen. Seiner Meinung nach müsse sich dies auch in mehr Budget und mehr Kompetenzen für CISOs widerspiegeln. „IT-Security muss Teil der Unternehmenskultur werden“, ergänzt Lothar Geuenich, VP Central Europe / DACH bei Check Point. Das müsse jeder – egal ob Unternehmensentscheider oder Mitarbeiter – verstehen. Ein Werkzeug, diese Art der Kultur zu etablieren und nachhaltig zu aufrechtzuerhalten, können regelmäßige Schulungen, sogenannte Security Awareness Trainings, sein. Entscheidend ist dabei vor allem, dass das Bewusstsein für mehr IT-Sicherheit nicht an den Grenzen des Unternehmens endet. „Jeder, sowohl im Privaten als auch Geschäftlichen, müsse seine Sicherheitsmaßnahmen überdenken, ist Alexander Koch, VP Sales EMEA bei Yubico, überzeugt.
Die Sicherheitsforscher von Check Point Research (CPR) kommen zu einer ähnlichen Einschätzung, wonach zuletzt insbesondere Homeoffice-Arbeitsumgebungen in den Fokus der Cyberkriminellen geraten sind. Ihren Daten zur Folge ist die Anzahl der Cyberangriffe in Deutschland 2022 im Vergleich zu 2021 um 27 Prozent angestiegen. Die Statistiken seien zumeist von kleineren, agileren Cyberkriminellen und Ransomware-Banden vorangetrieben, die sich auf die Ausnutzung von Schwachstellen in Kollaborationstools konzentrierten, die in Arbeitsumgebungen von zu Hause aus genutzt werden. In Deutschland zielten die Kriminellen zumeist auf Einzel-/Großhandelsunternehmen (+89 Prozent), Einrichtungen der öffentlichen Verwaltung (+80 Prozent) und Bildungseinrichtungen (+60 Prozent) ab. Die Forscher warnen zudem, dass der Reifegrad von KI-Technologien wie „ChatGPT“ die Anzahl der Cyberangriffe im Jahr 2023 erhöhen könnte.
Ransomware reißt nicht ab
Die nach wie vor größte Bedrohung stellen Ransomware-Angriffe mit dem Ziel, Lösegeld zu erpressen, dar. Darin stimmen die von funkschau befragten Sicherheitsexperten und der BSI-Lagebericht einstimmig überein. Vor allem Unternehmen, Universitäten und Behörden seien betroffen. Auch Anna Collard, SVP of Content Strategy & Evangelist bei KnowBe4, ist beunruhigt über die Gefährdungslage speziell im Public Sector. Ihrer Meinung nach sei dieser im Besonderen nicht ausreichend auf Ransomware- und ähnliche Angriffsmethoden vorbereitet, was sicherlich zum Teil auch an den geringen Ressourcen liege. So ist es kaum verwunderlich, dass es im BSI-Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen ist, bei denen Kommunen in Deutschland angegriffen wurden. Und das zum Teil mit erheblichen Folgen, weshalb es auch zu einem Präzedenzfall in der deutschen Geschichte gekommen war: Eine deutsche Kommune, konkret der Landkreis Anhalt-Bitterfeld, hatte wegen den Folgen eines Hackerangriffs den Katastrophenfall ausgerufen. Der sachsen-anhaltische Landkreis war durch den Cyberangriff so weit lahmgelegt worden, dass für mindestens eine Woche die Auszahlung von Sozial- und Unterhaltsleistungen nicht möglich war. Hauptziel des Katastrophenfall-Ausrufs ist es somit gewesen, die Auszahlung von Geldern möglichst schnell wieder zu ermöglichen. Übergangsweise wurden Zahlungen auf Grundlage der jeweils letzten Auszahlung getätigt. Die Ausrufung des Katastrophenfalls ermöglichte jedoch auch, notwendige Beschaffungen ohne langwierige Ausschreibungen zu tätigen.
Ein Abflauen der Ransomware-Wellen ist dabei nicht erkennbar. Im Gegenteil. Alle von funkschau befragen Experten sehen auch für 2023 darin eine große Bedrohung für die Unternehmenssicherheit. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, habe laut BSI weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, seien weiter gestiegen. Zudem sei es auch zu Erpressungen mit erbeuteten Identitätsdaten gekommen. Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte „Sextortion“-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffentlichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (zum Beispiel Bitcoin) überweisen. „Ransomware ist immer noch hoch“, bekräftigt auch Thomas Sandner, Senior Director Technical Sales Germany von Veeam Software. Seiner Meinung nach habe man es allerdings mehrheitlich nicht mit „highly sophisticated“, also besonders technisch ausgefeilten, Angriffen zu tun. Vielmehr handele es sich um einfach gestrickte Attacken, die größtenteils vermeidbar gewesen wären. Zudem, appelliert Sandner, müssten auch Back-ups verstärkt vor Ransomware geschützt werden. Michael Heuer von Keepit sieht das ähnlich, unterstreicht allerdings auch die Wichtigkeit von Back-ups insbesondere mit Blick auf die Nutzung von Software as a Service (SaaS). Es sei schön und gut, wenn entsprechende Dienste wie MS Office 365, Google Workspace oder Salesforce gut funktionierten und sicher im Betrieb seien. Oft allerdings erlägen Unternehmen dem Trugschluss, dass es damit sicherheitstechnisch schon getan sei. Doch ganz im Gegenteil: „Das heißt nicht, dass man als Anwenderunternehmen nicht in Pflicht ist, seine Metadaten zu sichern“, so Heuer. „Dieses Risiko wird meistens unterschätzt.“
Lieferketten und Perimeter-Systeme im Visier
Doch nicht nur Ransomware-Wellen prägten die Cyberbedrohungslandschaft 2022. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch „Hacktivismus“. Das Kofferwort, zusammengesetzt aus „Hacking“ und „Aktivismus“, beschreibt den Akt des unbefugten Zugriffs auf ein Computersystem zu politischen oder sozialen Zwecken – im vorliegenden Fall insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen) und Kollateralschäden bei Cyber-Sabotage-Angriffen im Rahmen des Krieges. Eine übergreifende Angriffskampagne gegen deutsche Ziele sei allerdings nach BSI-Erkenntnissen nicht ersichtlich gewesen. Bislang habe es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen gegeben. Die Lage im Cyber-Raum von NATO-Partnern sei hingegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch gewesen.
Darüber hinaus habe es laut Bundesamt im Berichtszeitraum sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine Störungen von IT-Lieferketten gegeben. In Folge der Globalisierung verschwimmen alte Perimeter zusehends und die „Angriffsoberfläche der Partner wird auch zur eigenen“, unterstreicht Markus Auer, Security Advisor und Sales Director DACH bei Bluevoyant. Laut einer Studie des Security-Spezialisten vom Oktober 2022 hätten 98 Prozent von über 1.200 CIOs und CISOs aus verschiedenen Ländern angegeben, in den letzten Monaten negativ durch Cybervorfälle in Lieferketten betroffen gewesen zu sein. Eine erschreckende Entwicklung. Unternehmen müssten sich daher laut Auer mehr Gedanken über die Absicherung der Lieferketten und ihrer Partner machen. Dass das kein leichtes Unterfangen ist, weiß auch Sudhir Ethiraj vom TÜV Süd, zu berichten. Zulieferer stünden seiner Meinung nach vor etlichen Herausforderungen bei der Lieferung von Produkten und Dienstleistungen. Das schließe auch geopolitische und -wirtschaftliche Aspekte wie beispielsweise Preiserhöhungen ein. „Die Absicherung globaler und Software Software Supply Chains gewinnt zusehends an Bedeutung“, betont der Global Head of Cybersecurity Office (CSO).
Eine weitere Erkenntnis des BSI-Lageberichts ist, dass vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten sind. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen daher das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.
Back-ups, Monitoring, Notfallmanagement
Der BSI-Lagebericht verdeutlicht, wie komplex sich die Bedrohungslage im Cyber-Raum darstellt. Längst stellt sich Unternehmen nicht mehr die Frage, ob sie zum Ziel eines Angriffs werden könnten, sondern wann. Denn: Cyberkriminalität hat sich zu einem professionellen Geschäft entwickelt und bedroht Privatpersonen, Unternehmen und Behörden gleichermaßen. Hacker bieten ihre Produkte und Dienstleistungen zum Kauf an und begehen Straftaten im Namen ihrer Auftraggeber.
Die wichtigste Voraussetzung für die Wiederherstellung der Betriebsfähigkeit nach einem Ransomware-Angriff sieht das BSI – wie auch ein Großteil der befragten Sicherheitsvertreter – in einer klaren Back-up-Strategie. Diese umfasse die Verfügbarkeit funktionierender und aktueller Back-ups. Die Funktionsfähigkeit dieser Back-ups muss demnach regelmäßig geprüft werden. Es ist inzwischen bei Schadprogramm-Infektionen üblich, dass Angreifende mit zuvor erlangten Administrationsrechten gezielt nach allen Backups suchen und diese, ebenso wie Produktivsysteme, verschlüsseln. Daher sollte zumindest je eine Kopie offline gesichert werden. Diese Kopien werden nach dem Back-up im Idealfall von den anderen Systemen der Einrichtung getrennt und sind daher vor Remote-Angriffen geschützt.
Um der zunehmenden Ausleitung von Daten und der Drohung einer Veröffentlichung wirksam begegnen zu können, sei laut BSI zudem ein systematisches, regelgeleitetes Monitoring des Datentransfers erforderlich. Ein wichtiger Punkt; lasse sich damit etwa der Abfluss ungewöhnlich hoher Datenmengen erkennen und unterbinden. Auch Matthias Canisius, Regional Director Germany bei Sentinel One, misst dem Umgang mit Daten im Kontext Security einen erheblichen Stellenwert bei. Seiner Meinung nach sei 2022 das Jahr gewesen, in dem „in dem Cybersicherheit und die Möglichkeit von Data Analytics Hochzeit gefeiert haben“. Das US-amerikanisch-israelische Unternehmen sammelt Daten aus unterschiedlichsten Quellen, darunter E-Mails, Endpunkte, Cloud-Server und Ihr Netzwerk, um Bedrohungen automatisiert zu analysieren und so für kürzere Reaktionszeiten und verbesserte Sicherheit zu sorgen. Thomas Schneider, Regional Sales Director – DACH & EMEA South bei Ping, sieht ebenfalls in entsprechenden APIs, Monitoring und einem zentralen Managementsystem wichtige Werkzeuge für eine Cybersicherheitsstrategie von Unternehmen. Letzteres auch vor dem Hintergrund, dass angesichts derart zahlreicher bösartiger Akteure heutzutage nicht mehr ein Anbieter alles abdecken könne. „Unternehmen müssen sich von einer One-Stop-Shop-Mentalität verabschieden“, so Schneider. „Man braucht einen Werkzeugkasten, der vor Angriffen schützt“, unterstreicht auch Lothar Geuenich von Check Point. Und jeder Werkzeugkasten gestaltet sich anders – je nachdem, welches Unternehmen ihn für sich zusammenstellt.
Ein mögliches Tool neben den bereits genannten: die Etablierung von alternativen oder auch redundanten digitalen Diensten – zum Beispiel Content Delivery Networks (CDN) für Web-Präsenz –, um den Auswirkungen eines kurzfristigen Ausfalls von IT-gestützten Prozessen entgegenzuwirken. Die Möglichkeit zur zeitnahen Wiederherstellung solcher Prozesse dient laut BSI dazu, den gegebenenfalls aus einem Ausfall resultierenden Schaden so gering wie möglich zu halten. Entscheidend sei hierbei, Maßnahmen für den Fall zu berücksichtigen, dass ein IT-gestützter Prozess beispielsweise durch Ransomware längerfristig nicht regulär wiederhergestellt werden kann. Und um im Fall eines Angriffs vorbereitet zu sein, müssten Reaktionsszenarien schriftlich dokumentiert werden, die alle beschriebenen Aspekte eines Angriffs, zum Beispiel Schäden an Produktionsanlagen, den Einsatz von Personal und Sicherheitsfirmen, alternative Geschäftsprozesse oder den Reputationsverlust, als Teil des Notfallmanagements mit einbeziehen.
Lothar Geuenich von Check Point rät vor diesem Hintergrund grundsätzlich davon ab, einer Lösegeldforderung nachzukommen. Zumal in der Regel keine Garantie besteht, dass die Angreifer den Schlüssel tatsächlich herausgeben. Im schlimmsten Falle komme man zudem noch auf eine Liste derer, die Erpressungen nachgeben würden.
BSI-Vizepräsident Gerhard Schabhüser bringt es im Lagebericht auf den Punkt: „Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“
| Über den BSI-Lagebericht 2022 |
|---|
|
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der „Lagebericht der IT-Sicherheit in Deutschland 2022“ zieht vor diesem Hintergrund konkret eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022. Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. Anhand zahlreicher Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Mehr dazu hier. |
Das könnte Sie auch interessieren
Ratschläge von Arctic Wolf
Was nach einem Ransomware-Angriff zu tun ist
VMware und Venafi
Einfacher zur sicheren Multi-Cloud
Trend Micro gründet Tochter CTOne
Netzwerkschutz für 5G-Umgebungen
DCSO
Mehr Cybersicherheit im Mittelstand
Keeper Security
Erweiterung für den Zero-Trust-Netzwerkzugriff
