Die Risiken im Cyberspace sind nach wie vor vielfältig und hoch. © Adobe Stock/Dzmitry
Es ist ein unschöner und auf denkbar unangenehmste Weise lukrativer Technologietrend, der viele andere in den Schatten stellt: Cybercrime hat in den letzten Jahren einen gigantischen Boom erlebt ...
... NEW BUSINESS hat sich umgehört, um den Status quo zu erfahren.
Technologietrends hin oder her, eines der wichtigsten Themen in der „angewandten IT“ ist und bleibt die Sicherheit. Denn die besten Systeme und neuesten Konzepte nützen nur wenig, wenn den Cyberkriminellen Angriffsflächen geboten werden, die groß sind wie das sprichwörtliche Scheunentor.
NEW BUSINESS hat sich deshalb unter einer Vielzahl von Security-Experten umgehört, um herauszufinden, wo der Schuh heute drückt und worauf man in Zukunft achten muss, um sich, seine Informationstechnologie- (IT) und Operational-Technology-Systeme (OT) und nicht zuletzt seine wertvollen Daten zu schützen.
Keine Ruhepause in Sachen Cybersecurity
In den vergangenen Jahren wurde den Unternehmen in Sachen Security wahrlich keine Ruhepause gegönnt. Man könnte fast davon sprechen, dass Cybercrime den größten IT-Trend der 2020er-Jahre darstellt. „Seit 2020 steigen die reinen Angriffszahlen jährlich um etwa 30 bis 40 Prozent“, sagt etwa Richard Werner, Business Consultant bei Trend Micro. Auf die Frage nach dem einschneidendsten Vorfall in der IT-Security des letzten Jahres antwortet er: „Das eigentlich Erschreckende ist für mich nicht ein einzelner Angriff, sondern dass es zur Normalität geworden ist, Firmen und besonders deren Angestellte durch Cyberangriffe leiden zu sehen.“
Auch für Karl Freundsberger, Country Manager Austria bei Fortinet, ist es die allgemeine Entwicklung, die ihm Sorgen bereitet: „Für mich gibt es 2022 nicht diesen einen signifikanten Fall, sondern die Tatsache, dass vermehrt erfolgreiche Angriffe auf öffentliche und auch kritische Infrastruktur beispielsweise im Verkehrs-, Energie- oder Gesundheitsbereich gemeldet wurden. Das ist erschreckend. Diese Vorfälle führen uns die Abhängigkeit und gleichzeitig die Verwundbarkeit unserer digitalisierten Gesellschaft vor Augen – mit der Konsequenz von Blackouts bis hin zum Verlust von Menschenleben. Jeder einzelne Vorfall kann und muss als Weckruf gesehen werden, dass jeder Bereich unserer Gesellschaft – sowohl die öffentliche Hand als auch die Wirtschaft – laufend an Maßnahmen arbeiten muss.“
Ergänzend dazu Patrick Fetter, Security Engineer und Cyber Security Evangelist bei Check Point Software Technologies Austria: „Die bekannt gewordenen Ereignisse auf Kliniken oder gar ganze Bundesländer haben gezeigt, dass die Angreifer sich schon lange Zeit vor dem eigentlichen Angriff im Unternehmen befanden und dort ‚schlummerten‘. Als Auswirkung dieser Attacken war dann sehr schnell der Alltag der Bevölkerung eingeschränkt.“
Zu den häufigsten Fällen zählte auch 2022 Ransomware, also Lösegeldforderungen. Eine Entwicklung, die nicht nur Mario Zimmermann, Regional Director Austria bei Veeam, mit Schrecken beobachtet: „Waren es zunächst ‚nur‘ verschlüsselte Daten, werden Unternehmen nun mit der Veröffentlichung von z. B. sensiblen Gesundheitsdaten ihrer Kunden erpresst. Somit geht es im Wesentlichen nicht mehr um die Rückgewinnung, sondern um die Nicht-Veröffentlichung dieser Daten – das bereitet mir Sorgen.“
Martin Krumböck, CTO Cyber Security bei T-Systems International, führt ein konkretes Beispiel an: „Der Microsoft Breach hat wieder einmal gezeigt, dass selbst Unternehmen, die im Security-Business tätig sind, Breaches haben können. Als exponiertes und großes Unternehmen weist Microsoft eine große Attack-Surface auf, gleichzeitig sind sie ein wichtiger Akteur, wenn es um Takedowns von Angreifergruppen geht. Somit ist es nicht verwunderlich, dass es Gruppen gibt, die Microsoft kompromittieren wollen. Dies hat die Lapsus$ Group geschafft und mehrere Gigabyte an Sourcecode zu Services wie Bing, Bing Maps und Cortana entwendet.“ Krumböck resümiert: „Wir lernen daraus, dass man stetig wachsam sein muss und jedes Unternehmen Opfer von Breaches sein kann. Es ist wichtig, eine offene Fehlerkultur zu pflegen und somit das Tabu des Breaches aufzubrechen.“
„Der erschreckendste, aber keinesfalls unerwartetste Fall des Jahres 2022 ist eigentlich einer von 2021. Die Rede ist von log4shell“, bringt Tim Berghoff, Security Evangelist bei G DATA CyberDefense, ein weiteres Beispiel aufs Tapet. „Wir hatten bereits damals prognostiziert, dass uns diese Sicherheitslücke noch lange begleiten wird. Im Jahr 2022 kam dann die Bestätigung. Selbst über sechs Monate nach dem Bekanntwerden der Lücke waren noch immer Systeme angreifbar – und selbst nach direkter Kontaktaufnahme durch das BSI (das deutsche Bundesamt für Sicherheit in der Informationstechnik, Anm.) haben sich betroffene Unternehmen teilweise noch immer nicht um eine Behebung gekümmert. Das mag erwartbar gewesen sein, aber manchmal wünschte ich mir, nicht recht zu behalten“, so Berghoff über eines der größten Security-Risiken, dem mit Technik nicht beizukommen ist – die noch immer vielerorts vorherrschende Unbekümmertheit.
Kuriositäten aus dem Security-Kabinett
Über den Einfallsreichtum mancher Hacker kann man nur staunen, wie der folgende kuriose Vorfall belegt, den Markus Sageder, Cybersecurity-Experte bei Cisco Österreich, schildert: „Ein großes internationales Finanzinstitut entdeckte seltsame Aktivitäten auf einer internen Projekt-Collaboration-Tool-Website. Die beauftragten Cybersecurity-Analysten stellten fest, dass die Aktivität vom kundeneigenen Wi-Fi-Netzwerk ausging. Die Einsatzkräfte führten nach ausführlicher Recherche ein integriertes Wi-Fi-Tracing durch, um die Quelle eines Wi-Fi-Nachahmungssignals zu ermitteln. Die Wi-Fi-Verfolgung führte das Team auf das Dach des Gebäudes, wo sie zwei verschiedene Drohnen entdeckten. Eine dieser Drohnen trug einen speziell angefertigten Wi-Fi-Pineapple, ein Gerät, das von der Sicherheitsbehörde für Penetrationstests verwendet wird, der sich als das Wi-Fi-Netzwerk ausgab, mit dem die Mitarbeiter:innen normalerweise verbunden waren. Einmal gelang es, sich mit dem Gerät eines Mitarbeitenden mit dem von dem Wi-Fi-Pineapple betriebenen gefälschten Wi-Fi-Netzwerk zu verbinden, und die Angreifer konnten die Daten abfangen, zu denen auch die Anmeldedaten und Wi-Fi-Details der Benutzenden gehörten.“
Seine Folgerung daraus: „Diese Geschichte erinnert daran, dass neue Technologien unerwartete Risiken mit sich bringen können, wie beispielsweise der Einsatz von Drohnen zum physischen Eindringen in Unternehmensnetzwerke.“
Glücklicherweise sind es nicht nur die Kriminellen, die Technologie für sich arbeiten lassen – und es sind nicht immer digitale Verbrechen, die sich damit aufklären lassen. „Der vielleicht schönste Vorfall 2022 war das Wiederbeschaffen eines gestohlenen Notebooks“, berichtet Michael Klatte, IT-Journalist bei der ESET Deutschland GmbH. Das Gerät wurde einem ESET-Kunden während des Urlaubs im Ausland entwendet.
Klatte weiter: „Die örtliche Polizei konnte den Fall zwar aufnehmen, aber natürlich nicht lösen. In seiner Not wendete sich der Kunde an uns, ob wir nicht weiterhelfen könnten. Und wir konnten dies in der Tat! Unsere Security-Software, die auf seinem Notebook installiert war, besitzt nämliche eine sogenannte ‚Anti-Theft‘-Funktion. Diese schützt im Falle von Verlust oder Diebstahl das Gerät vor unautorisiertem Zugriff. Der Clou der Diebstahlsicherung: Sobald das Notebook genutzt wird, macht die Software einen Standortabgleich und sogar über die integrierte Kamera Fotos vom Anwender. Diese Daten wurden im persönlichen Onlinekonto des Kunden automatisch eingespielt. Somit wusste er genau, wo sich das Gerät befindet und wer es benutzt.“
Wie sich herausstellte, war der Langfinger der „nette“ Kellner des Urlaubshotels. Mit diesen Angaben als Beweis konnte die lokale Polizei vor Ort erfolgreich tätig werden.
Wer sich mit IT-Security beschäftigt, den haut so leicht nichts mehr vom Hocker, könnte man salopp formulieren – und wird von den Experten wahrscheinlich durch die Bank Bestätigung ernten. So wie von Markus Schaub, seines Zeichens Business Unit Manager Security & Data Center Software bei Ingram Micro Österreich. Dennoch legt er seinen Finger auf einen wunden Punkt: „Wenn man tagtäglich mit dem Thema konfrontiert wird, gibt es kaum mehr etwas, das einen ins Staunen versetzt. Jedoch verwundert es mich gelegentlich, dass mittelständische Unternehmen keinen soliden Business-Continuity-Plan parat haben, um im Falle eines erfolgreichen Angriffs notwendige Schritte rasch umsetzen zu können. Gerade dann, wenn die IT-Infrastruktur kompromittiert und die Handlungsfähigkeit massiv eingeschränkt wurde, ist jede Minute kostbar.“
Was 2023 bevorsteht
So viel zur Vergangenheit. Doch worauf müssen sich die Unternehmen für dieses Jahr einstellen? „In den letzten Jahren haben wir einen starken Anstieg von immer ausgefeilteren Cyberangriffen mit künstlicher Intelligenz beobachtet, wie zum Beispiel Phishing oder Social-Engineering-Angriffe über WhatsApp und Zoom mit Deepfakes. Diese Bedrohungen stellen auch im Jahr 2023 eine ernsthafte Gefahr für Unternehmen dar, insbesondere wenn Mitarbeiter von zu Hause aus arbeiten und somit die traditionellen Sicherheitsmechanismen nicht mehr gelten“, warnt beispielsweise Umut Alemdar, Head for Security Lab von Hornetsecurity.
Auch die zunehmende Nutzung von Cloud-Diensten zum Teilen und Bearbeiten von Dokumenten und sensiblen Daten sowie ungesicherte Cloud-APIs und Storage-Dienste sieht der IT-Sicherheits-Experte kritisch: „Wenn diese Dienste nicht ordnungsgemäß geschützt sind, können Angreifer leicht auf Unternehmensdaten zugreifen und diese missbrauchen.“
In fast dasselbe Horn stößt auch Cyber Security Evangelist Patrick Fetter von Check Point: „Während Phishing-Attacken über E-Mail weiterhin gefährlich sind und sich ausbreiten, werden sich Cyberkriminelle im Jahr 2023 auch an der Kompromittierung von Collaboration-Tools wie Slack, Microsoft Teams, Microsoft OneDrive, Google Drive und anderen Tools versuchen.“
„Wir werden in diesem Jahr verstärkt Angriffe auf Liefer- und Wertschöpfungsketten sehen. In diesem Zusammenhang werden auch IT-Dienstleister vermehrt ins Visier geraten. Angreifer haben bereits verstanden, dass sie mit einem gezielten Angriff auf Dienste und Serviceprovider auf einen Schlag wesentlich mehr potenzielle Ziele erschließen können als auf anderen Wegen. Deshalb bauen sie ihre Kapazitäten in diesem Bereich gezielt aus“, führt G-DATA-Evangelist Tim Berghoff weiter aus.
Richard Werner von Trend Micro denkt, dass die größte Bedrohung heuer unter anderem von Ransomware-Gruppen ausgehen wird: „Da die Industrie besonders anfällig für Betriebsunterbrechungen ist, ist sie auch besonders stark von Ransomware betroffen. Laut aktuellen Daten des Versicherers Allianz zahlen Fertigungsunternehmen mit circa zwei Millionen US-Dollar pro Fall die höchsten Lösegelder für ihre Daten. Als neue Entwicklung rechnen wir damit, dass sich immer mehr dieser Cyberkriminellen weniger auf die Verschlüsselung der Systeme ihrer Opfer konzentrieren und stattdessen auf andere ‚Geschäftsmodelle‘ setzen werden. Das kann beispielsweise die Androhung der Veröffentlichung gestohlener Daten oder auch die Spezialisierung auf Cloud-Systeme sein. Eine weitere Herausforderung speziell für Industrieunternehmen wird der verstärkte Einsatz von Zukunftstechnologien wie 5G und künstlicher Intelligenz in ihren Systemen sein. Die Nutzung dieser anspruchsvollen Technologien wird den ohnehin schon massiven Mangel an Security-Fachkräften im OT-Bereich noch verstärken.“
Zusammenwachsen von IT und OT
Martin Krumböck von T-Systems spricht ebenfalls das weitere Zusammenwachsen von IT und OT an: „Daraus ergeben sich Konflikte im Mindset, der Prioritäten sowie der Paradigmen, die angewandt werden. Bedingt durch Erfolgsdruck werden so Systeme und Anlagen in Produktion gesetzt, welche noch unzureichend abgesichert sind, schlichtweg um den Businesserfolg zu gewährleisten. Wenngleich dies kurzfristig durchaus nachvollziehbar ist, ergeben sich dadurch langfristig erhebliche Risiken. Es wird für Angreifer einfacher, an kritische Systeme in klassischen OT-Umgebungen zu kommen und diese somit zu kompromittieren. Gleichzeitig wird die Verteidigung der Systeme schwieriger, da oftmals die Zuständigkeiten in dem Übergang unzureichend definiert sind.“
„Dadurch, dass IT und OT weiter zusammenwachsen, werden die Angriffsflächen größer, und das Cyberrisiko steigt. Gleichzeitig werden die Angreifer immer einfallsreicher, agieren gezielter und aggressiver. Trends wir Ransomware as a Service oder die Kommerzialisierung von Wiper-Malware, die 2022 ein spektakuläres Comeback gefeiert hat, unterstützen die Vermehrung der Gefahren. 2023 wird also sicher keine Entspannung für Unternehmen in Sachen Cybersecurity bedeuten. Besonders im für Österreich so wichtigen Bereich Critical Infrastructure ist Vorsicht angesagt“, wirft Karl Freundsberger von Fortinet einen Blick in die nahe Zukunft.
Er hat aber auch konkrete Tipps parat: „Für CISOs gilt es, genauso schnell und methodisch vorzugehen wie ihre Widersacher. Und zwar nicht morgen, sondern heute. Dabei von besonderer Bedeutung: Transparenz und eine automatisierte Cybersecurity-Plattform. Oft existieren bereits viele unterschiedliche Security-Komponenten in Unternehmen. Nur wenn ich nicht weiß, welche vor was genau schützen und wie die Systeme miteinander kommunizieren – was sie zumeist nicht tun –, wird es schwer. Daher brauche ich einen umfassenden Einblick über alle IT-Umgebungen sowie die Datenströme. Mit einer KI-basierten Cybersecurity-Plattform, die über Netzwerke, Endpunkte und Clouds hinweg integriert ist und automatisierte und umsetzbare Bedrohungsinformationen sowie fortschrittliche verhaltensbasierte Bedrohungserkennungs- und Reaktionsmaßnahmen bietet, sind Unternehmen besser in der Lage, sich vor komplexen Angriffen zu schützen.“
Ratschläge gibt es auch von Markus Schaub von Ingram Micro Österreich: „Eine gute Maßnahme wäre es, seine IT-Infrastruktur durch ein vertrauenswürdiges externes Unternehmen auf Schwachstellen untersuchen zu lassen, um seine Cyberresilienz zu stärken und/oder gegebenenfalls auszubauen. Hier bieten wir als Ingram Micro – gemeinsam mit unseren Partnern – Managed Security Services, um mögliche Angriffspunkte zu minimieren. Im Wesentlichen muss jedoch jedes Unternehmen, unabhängig von der Größe oder Ausrichtung, einen soliden Business-Continuity-Plan haben, um den Betrieb im Falle eines erfolgreichen Cyberangriffs schnellstmöglich wieder instand setzen zu können.“
Michael Klatte von ESET rückt die Szenerie des laufenden Jahres in eine globalere Perspektive: „ESET schätzt, dass die größte Bedrohung im Jahr 2023 erneut Cyberangriffe auf kritische Infrastrukturen sein werden. Im Jahr 2022 sahen wir einen Krieg in der Ukraine, der das Erscheinen von Industroyer2 einleitete, das auf den Energiesektor abzielte, aber wir sahen auch eine andere Bedrohung desselben Kalibers: Operation LiberalFace. Wir sind der Meinung, dass der Versuch, die Regierungsführung in Japan zu stören, zur gleichen Kategorie von Bedrohungen gehört und im Jahr 2023 nicht ignoriert werden kann. Diese Erkenntnis basiert auf der Einsicht, dass politische Stabilität eine Voraussetzung für die Verbesserung der Cybersicherheit eines Landes ist. Die Ankündigung einer neuen Taskforce zwischen der NATO und der EU, die sich auf den Schutz kritischer Infrastrukturen konzentrieren soll, kommt daher zur rechten Zeit und erinnert uns erneut an die politische Stabilität, die erforderlich ist, um solche Projekte voranzutreiben.“
Die drei oben genannten Bereiche, die alle zu den kritischen Infrastrukturen zählen, bieten Klatte zufolge „eine riesige Bedrohungsfläche für die Destabilisierung von Staat, Wirtschaft und sozialem Zusammenhalt durch zahlreiche Arten von Malware, Schwachstellen und komplexe bösartige Kampagnen“.
Es gibt immer einen Weg
„Letztendlich werden Angreifer:innen immer einen Weg finden, um in IT-Systeme einzudringen, nur das Einfallstor ändert sich gelegentlich. Darum beschäftigen wir uns lieber mit Entwicklungen und Trends als mit einzelnen Gefahrenquellen oder einzelnen Methoden der Cyberkriminellen“, so Maria Kirschner, Managing Director von Kyndryl Österreich. 100-prozentige Sicherheit in der IT sei schlussendlich unerreichbar. Kirschner dazu: „Allein der Budgetrahmen setzt dem klare Grenzen. Es ist wie bei einem Blitzschlag: Es besteht immer die Möglichkeit, dass ein solcher einschlägt. Aber sollte man deswegen das Haus nicht mehr verlassen? Wahrscheinlich nicht.“
Für sie ist die auch schon von Markus Schaub angesprochene Cyberresilienz das Wort der Stunde. „Um als Organisation widerstandsfähiger zu werden, braucht es eine neue Struktur, denn in den letzten 30 Jahren hat sich die IT immer kleinteiliger in Fachrichtungen spezialisiert. Mainframe, Server, Netzwerk, Cloud, Anwendungen, Sicherheit etc. Jeder Bereich ist eine eigene Disziplin, und entsprechende Fachkräfte konzentrieren sich oft mit Tunnelblick auf ihre Aufgaben, während sie den Blick fürs große Ganze verlieren. Dadurch geben viele auch Verantwortung ab, wenn ein Problem außerhalb ihres direkten Aufgabenbereichs liegt. Dieser Silo-Ansatz ist im Falle eines Cyberangriffs besonders problematisch. Die Struktur schafft Verantwortungslücken, die eine wirksame Reaktion und Wiederherstellung unmöglich machen“, so Maria Kirschner.
Sie bringt abschließend auch einen weiteren Faktor ins Spiel, der in diesem Zusammenhang gerne aufgegriffen wird – hier aber aus einer anderen, „menschlicheren“ Perspektive. Denn laut Kirschner sei auch eine „allgemeine Erschöpfung“ von Cybersecurity-Expert:innen zu beobachten:
„Mehr als 90 Prozent geben laut einem Bericht von Deep Instinct an, in ihrer Position gestresst zu sein, und fast die Hälfte hat schon einmal darüber nachgedacht, der IT-Branche den Rücken zu kehren. Sie tragen die Verantwortung für die katastrophalen Folgen, die ein Cyberangriff nach sich ziehen kann, was zu Überlastung und Stress führt. Es gibt Maßnahmen, die Unternehmen jetzt ergreifen können, um den Stress ihrer Mitarbeiter:innen zu lindern. Doch wie bei der Bewältigung von Cybersecurity-Herausforderungen ist es auch hier erforderlich, nicht nur an Sicherheit, sondern vor allem auch an Resilienz zu denken.“
Wie in so vielen anderen Fällen darf eben auch bei der IT-Security niemals vergessen werden, dass es bei allen Bits und Bytes am Ende vor allem um die Menschen geht, die mit den Systemen arbeiten – und nicht umgekehrt. (RNF)