Die Cyber Attacken steigen seit Jahren kontinuierlich an, vergleiche etwa auch den Blogpost: Kleine Chronik der Cyber Attacken. Auf der Veranstaltung Wirtschaftstag der Innovation – Digitalpolitische Agenda 2030 Anfang Juni bezifferte Arne Schönbohm (Präsident des BSI) das Ausmaß der Bedrohung wie folgt: Weltweit gibt es bereits über eine Milliarde (sic!) Schadsoftwareprogramme, jeden Tag kommen 300.000 bis 400.000 neu hinzu. Insbesondere die erfolgreichen Cyber Attacken gegen die Software AG (Anfang Oktober 2020), die Softwarefirma Solarwinds (Dezember 2020) und die Softwarefirma Kaseya (Juli 2021) haben Verantwortliche in Alarmbereitschaft versetzt.
Diese Entwicklung macht klar: Das Thema Cyber Security bzw. Resilienz gehört zwingend auf die Agenda der Geschäftsführung, das kann man nicht mehr an einen „Fachknilch“ aus der IT Abteilung delegieren (so der BSI-Präsident Schönbohm auf eingangs genannter Veranstaltung). Ganz egal, ob es um ein DAX-Unternehmen geht oder einen 3-Personen-Betrieb. Was heißt das konkret?
Mitarbeiterschulungen, Awareness Training
Vielfach sind Menschen Einfallstore für Cyberattacken (social engineering, Phishing, Spear Phishing). Der Großteil aller Cyber-Angriffe beginnt mit einer Mail. Die Firma Cyber Samurai geht so weit zu behaupten, dass “91 % aller erfolgreichen Cyber-Angriffe auf dem Fehlverhalten von Mitarbeitern basieren“. Kurzum: Cyber Security im Unternehmen beginnt bei der Schulung von Mitarbeitern.
Unternehmen wie Cyber Samurai, Perseus und Andere bieten wirklich gut Phishing Trainingsangebote an. Ich habe selbst an einem solchen teilgenommen, der Aha-Effekt kann überwältigend sein. Insbesondere Spear-Fishing tarnt Hackerangriffe in Emails, die bisweilen von bekannten Geschäftspartnern kommen (bzw. zu kommen scheinen); Beispiel Hackerangriff auf den Bundestag in 2015: Die Mail mit der Malware schien von den UN zu kommen, und zwar mit einer offiziellen Verlautbarung.
Das Awareness Training für Mitarbeiter ist hierbei keine Einmal-Veranstaltung bei Kaffee und Kuchen; vielmehr handelt es sich um ein kontinuierliches Training, indem in unregelmäßigem Rhythmus Phishing-Attacken simuliert werden. Zum Training gehören auch Aspekte wie Passwortsicherheit, Nutzung von Laptops in öffentlichen Verkehrsmitteln, ausschließliche Nutzung passwortgeschützter USB Sticks und derlei mehr.Sicherheitssoftware: Das Standardpaket … und darf’s auch etwas mehr sein?
Zur IT-Infrastruktur eines Unternehmens gehört heute ein Standardpaket an Sicherheitssoftware – ganz gleich, ob ein eigener oder ein externer IT Administrator die Infrastruktur managed. Dazu gehören etwa Komponenten wie eine Anti-Virus-Software (McAfee, Norton Antivirus, Kaspersky, etc.) und eine Firewall. Teil des Standardpakets sind auch Back-Ups wichtiger Daten bzw. der Systeme (Sicherheitskopien).
Ebenfalls Standard beim Großteil von Unternehmen sind Softwareprodukte für die Überwachung von Netzwerkwerken, das Zugangsmanagement und Endpoint Security (Ein Anbieter ist etwa Auconet BICS). Gerade bei Unternehmen mit hohen Compliance-Anforderungen (z.B. Banken, Versicherungen) sind sogenannte Identity Access Management (IAM) Systeme im Einsatz, die das Rechtemanagement und den Zugriff auf kritische Daten sicher verwalten und Manipulationsversichen entziehen (Vergleiche etwa das Produkt Garancy Portal).
Angesichts der wachsenden Cyber Bedrohung rüsten viele Unternehmen auf. Hier gibt es vielfältige Ansatzpunkte, von denen ich einige nur beispielhaft aufführen kann.
Dazu zählen KI-basierte Systeme, die den Netzwerkverkehr überwachen und Anomalien erkennen. Damit lässt sich auch fortschrittlichen Angriffsformen vorbeugen. Zu derartigen Anomalien zählt etwa der Versand von Daten / Dateien an Empfänger bzw. Adressen, die im bislang beobachteten Netzwerkverkehr als neu bzw. ungewöhnlich auffallen. Zu diesen Produkten zählen etwa Secunet Monitor oder Darktrace. Zu den Maßnahmen zählt etwa auch die Einführung sogenannter Zero Trust-Sicherheitsmodelle. Diese beschreibt das Magazin CIO wie folgt: “Hierbei werden [innerhalb eines Netzwerkes] alle angeschlossenen Computer, Tablets, Telefone, Router und selbst jede Anwendung als mögliche Bedrohung betrachtet. Für den Zugriff gelten strenge Beschränkungen und alle Netzwerktransaktionen erfordern eine Authentifizierung.“ Auch regelmäßige Penetrationstests gehören zu den Maßnahmen, die Schwachstellen aufdecken und eine Kultur der Cyber Security Awareness etablieren.
Resilienz im Unternehmen erhöhen
Viele Sicherheitsexperten gehen inzwischen davon aus, dass es nur bedingt möglich sein wird, ein Unternehmen vollständig gegen jede Bedrohung abzuschotten. Trotz Awareness Training kann nicht mit 100-prozentiger Sicherheit ausgeschlossen werden, dass Mitarbeiter mit einem unbedachten Klick Malware ins Unternehmen holen. Andere Schwachstellen lassen sich kaum absichern: Das Beunruhigende an der Cyber Security Attacke über Solarwinds bzw. Kaseya war nämlich, dass die Schadsoftware über einen IT-Serviceprovider bzw. Softwarehersteller verbreitet wurde.
Der Vorfall hat im Übrigen dazu geführt, dass Unternehmen mit besonders hohen Sicherheitsanforderungen Code-Reviews bei deren Softwarezulieferern einfordern. Der Vorfall hat zweifelsohne dazu geführt, dass Softwareentwickler die Latte bei Sicherheitsanforderungen höher gelegt haben – aber auch für die Zukunft kann man einen solchen Angriffsvektor nicht völlig ausschließen.
Das bedeutet, dass Unternehmen die IT-Infrastruktur, die Netzwerke resilienter machen müssen, um bei einer erfolgreichen Attacke den Schaden zu begrenzen. Hierbei geht es darum, Netzwerke in voneinander unabhängige Segmente zu unterteilen – und dazwischen digitale Brandmauern hochzuziehen. Auch die Erarbeitung eines Notfallplans gehört dazu, auf den ein Unternehmen im Ernstfall zugreifen kann (ggf. flankiert von Übungen für einen solchen Ernstfall – vergleichbar dem „Feueralarm“, der in jedem Unternehmen fest etabliert ist).
Hohe Anwendungssicherheit für Eigenentwicklungen und beauftragte Software
Neben Standardsoftware nutzen alle Unternehmen heute – in der ein oder anderen Form – Individualsoftware, die entweder in Eigenentwicklung oder durch IT Dienstleister erstellt wird. Das Kriterium der Anwendungssicherheit ist heute allerdings nicht immer zwingend in Anforderungsspezifikationen enthalten – und noch weniger die Zahlungsbereitschaft von Auftraggebern für erhöhten Entwicklungsaufwand oder Penetrationstests durch Drittunternehmen.
Die Entwicklung von (Individual)Software mit hoher Anwendungssicherheit erfordert erfahrene Softwarearchitekten, Schulungen und besondere Sorgfalt bei der Entwicklung. In nachfolgendem Blogpost gebe ich einen Überblick zum Thema: Erfolgsrezept für die Entwicklung Sicherer Software. Zur Kultur der Cyber Resilienz in Unternehmen gehört ebenfalls das Bewusstsein für die Relevanz dieses Themas; und natürlich die Einplanung von Budgets für einen Entwicklungsprozess, der diesem Anspruch genügt.
Einführung von Sicherheitsstandards
Nicht zuletzt aufgrund der ansteigenden Bedrohung durch Cyber Kriminalität gewinnen Sicherheitsstandards an Bedeutung und werden etwa für Softwarehäuser zum Mindeststandards. Dazu zählen etwa ISO27001 für Organisationen im Allgemeinen; aber auch der neue Standard ISO 21434 („Road vehicles – Cybersecurity engineering“) für die Fahrzeugentwicklung angesichts der Cyber-Security: Aufgrund der zunehmenden Risiken durch Cyber-Angriffe auf Fahrzeuge und weil die Infrastruktur zu Online-Updates von Fahrzeugen (OTA), Flottenmanagement, Kommunikation zwischen Fahrzeugen (Car2X/V2X) und weiteren Anforderungen die Fahrzeuge neue Angriffsflächen bieten, soll der Standard Maßnahmen für die Entwicklung vorschlagen.
Vergleiche dazu auch folgenden Blogbeitrag: IT Sicherheitsgesetze und IT Sicherheitsstandards – ein Überblick
