Michael Bartsch

Entwicklung und Umsetzung von Maßnahmen zur Erhöhung der Cybersicherheit

Es gibt im Wesentlichen zwei Arten von Angriffsmethoden, 1) die, die sofort bemerkt werden, wie z. B. ein DDoS-Angriff oder der Einsatz von Ransomware (Erpressungstrojaner) oder 2) die, die erst spater oder nie bemerkt werden (Spionagetrojaner). Cyberangriffe haben je nach gewunschtem Ziel unterschiedliche technische Methoden, die jedoch immer einem generischen Muster folgen. Welche Art des Cyberangriffs gewahlt wird, entscheidet uber die Abwehrmasnahmen, die jeweils individuell getroffen werden mussen. Das Verstandnis des generischen Vorgehens hilft bei der Entwicklung eines Masnahmenkatalogs, der Angriffe vermeiden hilft oder deren Auswirkungen reduziert. Ein Cyberangriff lasst sich in die folgenden generischen Phasen unterteilen: Vorbereitungsphase, Reaktionsphase, Nutzungs- und Tarnphase. In der Vorbereitungsphase wird der Angreifer versuchen, alle notwendigen Informationen fur die Durchfuhrung des Angriffs zu beschaffen. Dazu wird die gesamte Zielumgebung ausspioniert. In der Angriffsphase werden dann technische Mechanismen benutzt, die den Zugang zu IT-Systemen des Opfers ermoglichen. In den meisten Fallen sind dies Trojaner, die uber USB-Speichersticks, E-Mails oder sonstige Medien in das System eingebracht werden. In der Nutzungs- und Tarnphase ubernimmt der Angreifer administratorische Fahigkeiten der IT-Systeme und kann dadurch auf alle Informationen von ausen zugreifen. Gegen Cyberangriffe, die nach einem generischen Muster ablaufen, sollten vorab geeignete Masnahmen entwickelt werden, damit bereits bekannte Cyberangriffe nicht durchfuhrbar sind und das Unternehmen auf weitere Cyberangriffe vorbereitet ist. Diesbezuglich gibt es ebenfalls drei generische Phasen, die als allgemeingultig gelten konnen: die Praventionsphase, die Reaktionsphase und die Stabilisationsphase. Welche moglichen Masnahmen getroffen werden konnen, um die Cybersicherheit zu erhohen, wird in diesem Kapitel beschrieben.

Hintergrundinformationen zur Cyber-(Un)Sicherheit

Die zunehmende Digitalisierung, Automatisierung und Vernetzung haben stark zugenommen und zu grosen Abhangigkeiten gefuhrt. Geschlossene Netzwerke und Stand-alone-Computersysteme wurden durch Standardisierung, Vernetzung und Mobilitat verdrangt. Regierungen, kritische Infrastrukturen, Unternehmen und Gesellschaften digitalisieren und automatisieren ihre Geschaftsmodelle sowie die zugrunde liegenden Geschaftsprozesse und Lebensbereiche, somit sind viele Geschaftsmodelle ohne diese Technologien nicht mehr wettbewerbsfahig betreibbar. Dadurch sind grose Chancen und Vorteile, aber auch Risiken entstanden. Die Abhangigkeit von der Informationstechnologie bedeutet, dass die Systeme zuverlassig funktionieren mussen und die Sicherheit gewahrleistet sein muss. Fur Unternehmen und Regierungen gleichermasen ist es unerlasslich, dass ihre Prozesse und Systeme unter allen relevanten Umstanden geschutzt werden. Das gesamte Unternehmen und seine Liefer- und Logistikketten mussen berucksichtigt werden. Es besteht somit der Bedarf und die Notwendigkeit, das Bewusstsein und das Verstandnis fur Cybersicherheit im Rahmen einer „Sicherheitskultur“ auf allen Ebenen des Unternehmens zu entwickeln. Ein besseres Verstandnis der Risiken, Schwachstellen und Bedrohungen fur die IT-Systeme und Netzwerke mussen auf allen Managementebenen und bei jedem einzelnen Mitarbeiter etabliert werden.

Komplexität der IT-Systeme

Die Grundstrukturen unserer heutigen Vernetzung und Datenverarbeitung sind zu einem Zeitpunkt entstanden, an dem funktionale Anforderungen im Vordergrund standen. Diese Strukturen und Protokolle aus den 1970er- und 1980er-Jahren bilden heute immer noch die Basis des Internets und sind damit auch die Basis fur die Mehrheit der IT-Systeme und diese sind daher per Definition nicht sicher. Damit entstand auch eine Sicherheitsdiskussion, wie diese unsicheren Strukturen und Systeme geschutzt werden konnen. Diese Strukturen konnen nicht gesichert, sondern bestenfalls nur geschutzt werden. Cybersicherheit ist ein integraler Bestandteil fur die Sicherheit von IT-Systemen und dass unsichere Systeme nicht durch Sicherheitsprodukte gesichert werden konnen, da Sicherheitsprodukte nur einen Schutz vor allgemeinen, aber nicht vor spezifischen Sicherheitslucken bieten konnen. Dieser Umstand fuhrt dazu, dass vermeintlich gut gesicherte Infrastrukturen trotzdem erfolgreich angegriffen werden. Aufgrund der Gesamtkomplexitat und der Neuartigkeit des Themenfeldes Cybersicherheit konnen viele Systeme noch nicht so geschutzt werden wie sie sollten. Daher haben sich in den letzten Jahren Tater darauf fokussiert, diesen Umstand als Grundlage fur digitale Straftaten zu nutzen.

Digitalisierung des Bösen: Energiewirtschaft als Cyberopfer

Die Energieversorgung ist eine kritische Infrastruktur, da alle anderen Sektoren von der Stromversorgung abhangig sind und eine Storung katastrophale Auswirkungen mit unvorhersehbaren Kaskadeneffekten mit sich bringen wurde. Das oberste Ziel der Betreiber ist daher sicherzustellen, dass Masnahmen fur eine storungsfreie Stromversorgung ergriffen werden. Cyberangriffe stellen ein hohes Risiko fur die Energieversorgung dar. Dabei kann die Energiewirtschaft von Massenphanomenen wie Cybercrime betroffen sein, aber auch Gegenstand von technisch komplexer Cybersabotage werden, wie bei dem Angriff Ende 2015 auf einen ukrainischen Energieversorger. Die Stromversorgung fiel fur mehrere Stunden aus und hatte weitreichende Auswirkungen fur die Bevolkerung und Unternehmen.

Von der globalen zur individuellen Bedrohungslage

Die Bedeutung der globalen Bedrohungslage ist fur das einzelne Unternehmen wichtig, denn wer der Gegner ist, hangt davon ab, wer man selbst ist. Das bedeutet, welche Art der Bedrohungslage fur ein Unternehmen zutreffend ist, hangt unter anderem davon ab, was der Unternehmensgegenstand ist, welche Marktposition ein Unternehmen hat und aufgrund welcher Innovation Wettbewerbsvorteile entstehen. Das Verstandnis und die Unterscheidung zwischen Massenphanomenen (DDoS) und Einzelphanomenen (Advanced Persistent Threat) und wie ein Unternehmen getroffen werden kann und welche Auswirkungen entstehen konnen, sind unternehmensspezifisch und mussen beachtet werden. Jedes Unternehmen sollte sich diesbezuglich Kernfragen, die in diesem Kapitel beschrieben sind, stellen, um die Cyber-Gefahrdungslage des Unternehmens besser zu verstehen und damit die Cybersicherheit erhohen zu konnen.

Täter und Täterorganisationsstruktur

Das Taterprofil hat sich in den letzten Jahren stark verandert. Heute ist nicht nur vom klassischen Einzeltater auszugehen, sondern die Delikte werden oft auch von internationalen Banden und gewerbsmasig organisierten Tatergruppen begangen. Die Tatmotive sind entweder finanzieller, wirtschaftlicher oder politischer Natur und die Tater bedienen sich Methoden wie DDoS-Attacken, Trojanern, Hacking oder Social Engineering. Oft ist auch kein technisches Spezialwissen zur Durchfuhrung von Online-Straftaten notwendig und auch technisch unwissende Tater konnen erfolgreich in Computer-Netzwerke eindringen. Im Internet gibt es spezielle Angebote und vorgefertigte Software, die problemlos beschafft und genutzt werden konnen. Dazu gehoren „Crime as a Service“- oder „Malware as a Service“-Angebote, die Angriffe auf Computer und Netzwerke ohne groses Spezialwissen ermoglichen. Die Taterstrukturen und Organisationsformen sind unterschiedlich, es gibt einerseits Taterstrukturen, die oftmals arbeitsteilig ohne klassische hierarchische Strukturen und Organisationsformen arbeiten und andererseits die hoch spezialisierten Organisationsstrukturen, die aufgrund der Komplexitat der Systeme und deren Vernetzung ein gewisses Mas an Organisation und Spezialisierung (technisch sowie im Management) zur Durchfuhrung von Angriffen benotigen. Strafverfolgungsbehorden und Nachrichtendienste sind daher mit grosen technischen und organisatorischen Herausforderungen konfrontiert. Zur Verfolgung und Bekampfung von Cyberkriminalitat gibt es einerseits die Polizeien und andererseits Allianzen und neuartige Kooperationsmodelle etwa in Form von Public Private Partnerships und die Zentralen Ansprechstellen Cybercrime (ZAC) der deutschen Landeskriminalamter.

Cybersicherheit: ein allumfassender und risikobasierter Lösungsansatz

Cybersicherheit ist nicht nur IT-Sicherheit, da Cyberrisiken Teil des Gesamtrisikos eines Unternehmens sind und nicht ein isoliertes Problem der IT. Ein reiner IT-Ansatz ist daher nicht zielfuhrend, da die Cyberproblematik uber den IT-Ansatz hinausgeht und zusatzlich personelle, physische und organisatorische Aspekte berucksichtigen muss. Es sollte ein allumfassender und risikobasierter Ansatz gewahlt werden und fur alle erwahnten Teilaspekte die Risiken ermittelt und darauf abgestimmt die geeigneten Sicherheitsmasnahmen entwickelt werden. Beispiele von organisatorischen, personellen, physischen und technischen Risiken und Masnahmen sind in diesem Kapitel beschrieben.

Schadenspotenzial und Kosten

Cyberangriffe verursachen nicht nur einen direkten Schaden, sondern generieren auch Kosten, die oft schwer zu bemessen sind. Jedes Unternehmen muss analysieren, welche Eigenschaden (z. B. Betriebsbeeintrachtigungen und -unterbrechungen, Vorfallbearbeitung, Krisenmanagement, Wiederherstellungskosten, Vertragsstrafen und Busgelder, Reputationskosten etc.) und welche potenziellen Fremdschaden (aus der Abhangigkeit von Kunden und Lieferanten) entstehen konnen. Durch die Vorfallsbehebung fallen weitere Praventionskosten an, die man ansetzen muss, damit der stattgefundene Cybervorfall sich nicht wiederholen kann und das betroffene Unternehmen besser auf Cyberangriffe vorbereitet ist. Mehr als die Halfte der deutschen Unternehmen sind bereits Opfer eines Cyberangriffs geworden, durch die ein Schaden in Hohe von 51 Milliarden Euro entstanden ist. Nur knapp die Halfte der Unternehmen verfugt aber uber ein Notfallmanagement und bei mehr als der Halfte der Unternehmen besteht keine Sicherheitskultur (in Form von Schulungen und Awareness). Der Eigenschutz, der in der Regel in den gangigen Betriebssystemen integriert ist, reicht in vielen Fallen nicht aus. Diese standig steigende Bedrohungslage, die Professionalisierung der Tater und die technisch ausgereiften Angriffe haben zur Folge, dass man dieser Herausforderung nur mit einem ganzheitlichen Cybersicherheitsansatz entgegentreten kann.

Grundsätze der Strategieentwicklung

Je vernetzter und digitalisierter ein Unternehmen ist, desto wichtiger ist es, eine bereichsubergreifende Cyberstrategie zu entwickeln, da Cyberstrategien eine Teilstrategie der Unternehmensstrategie sind. Eine Cyberstrategie zu entwickeln ist, wenn die richtige Methode und die richtigen Instrumente angewendet werden, keine Zauberei. Unternehmen (insbesondere Kleine und Mittlere Unternehmen – KMU) beschaftigen sich nicht in dem Mas mit der Cyberstrategieentwicklung, wie sie sollten. Die gesamte Energie und Konzentration wird oft in das operative Tagesgeschaft investiert und nicht in den Cyberstrategie-Planungsprozess. Untenstehend werden die vier generischen Schritte zur Cyberstrategieentwicklung beschrieben. Das Unternehmen sollte zuerst die Ausgangslage analysieren und sein Umfeld kennen. Dann sollten die Vision und die strategischen Ziele gesetzt werden und darauf basierend die Cyberstrategie entwickelt werden. Der letzte Punkt ist die Cyberstrategie-Umsetzung. Es ist wichtig, dass das Unternehmen eine Struktur etabliert, die den Umsetzungsprozess aktiv begleitet und anhand eines Monitorings Anpassungen vornimmt. Aufgrund der strategischen Ziele mussen geeignete Handlungsfelder und Masnahmen definiert werden, die bedarfsgerecht auf das jeweilige Unternehmen ausgerichtet werden. Bei Bedarf kann auch externe Hilfe und Unterstutzung hinzugezogen werden, damit eine bedarfsgerechte und masgeschneiderte Cyberstrategie entwickelt werden kann.

Die Bedrohungen der Zukunft

Die Digitalisierung, Automatisierung und Vernetzung aller Lebensbereiche – privat wie geschaftlich – ermoglicht standig neue Moglichkeiten. Man denke nur an das Internet der Dinge, Industrie 4.0, die Robo Advisor der FinTechs, Smart Home etc. Es wird zunehmend „intelligente Endgerate“ geben, die an das Internet angeschlossen werden und durchgangig vernetzt und immer online sind. Mogliche, damit einhergehende Risiken sind in diesem Kapitel grob beschrieben, jedoch sind die reellen Risiken heutzutage nicht detailliert abschatzbar und mussen individuell fur jeden Einsatzbereich betrachtet werden.