Wie sicher ist Ihr Unternehmen vor Cyberattacken?

Cyberangriffe sind heute ein Problem, das sehr viele Unternehmen in Europa betrifft. Nicht nur die großen Firmen geraten ins Visier der Kriminellen: 28 Prozent der kleinen und mittelgroßen Unternehmen Europas haben in den vergangenen 12 Monaten zumindest einmal Erfahrung mit Cyberkriminalität gemacht, so eine Studie des Beratungsunternehmens Ipsos im Auftrag der EU, die im November und Dezember 2021 durchgeführt wurde. In der Umfrage fühlen sich Mangerinnen und Manger gut informiert zum Thema Cyberkriminalität.

Wenn es darum geht, Angriffe abzuwehren, geben sich die Unternehmen allerdings weniger selbstbewusst. So zeigt eine aktuelle Studie im Auftrag der DIHK (Deutsche Industrie- und Handelskammer), dass sich 75 Prozent der Unternehmen zumindest in Deutschland beim Thema Cyberangriffe Unterstützung durch Staat, IHK oder andere Organisationen wünschen, beispielsweise in Form von rechtlichen Hinweisen, Prozessunterstützung und Informationen zur technischen Prävention.

Wer denkt, dass er das Problem lösen kann, indem er eine große Menge Geld investiert, irrt sich. Viel Geld bedeutet nicht automatisch viel Schutz. Das liegt einerseits daran, dass viele wichtige Maßnahmen kaum etwas kosten, andererseits daran, dass manch teures Produkt gar nicht so sinnvoll ist. Wofür sollte man also sein Budget ausgeben?

Mike Hart, Vice President Western Europe bei der IT-Sicherheitsfirma Mandiant, empfiehlt als allererste Checkliste folgende Punkte:

• Langfristig ein Bewusstsein für die Gefahr von Cyberangriffen im Unternehmen schaffen: Jede und jeder muss wissen, mit welchen Methoden das Unternehmen möglicherweise angegriffen wird. Die wahrscheinlichsten Angriffe variieren von Branche zu Branche etwas. Das Thema sollte präsent gehalten werden, besonders wenn der letzte Angriff schon lange zurückliegt.

• Workflows definieren, die Angriffe verhindern: Es muss beispielsweise einen Ansprechpartner geben für den Fall, dass eine verdächtige Mail ankommt.
• Workflows definieren für den Fall eines erfolgreichen Angriffs: Definiert werden unter anderem Prozesse, um den Schaden zu beheben, aber auch die Informationspolitik gegenüber Aktionären, Unternehmenspartnern und der Presse.
• Grundsätze sicherer IT befolgen, zum Beispiel:
  • Geeignete Passwortpolitik: Systeme sollten so gestaltet sein, dass nur sichere Passwörter vergeben werden können und Multifaktor-Authentifizierung genutzt wird
  • Sparsame Rechtevergabe beim Datenzugriff: Es sollten nur diejenigen Personen Zugriff auf einen Bereich des Netzwerks haben, welche die enthaltenen Daten wirklich benötigen.
  • Generelle Netzwerk- und E-Mail-Sicherheit: Dazu gehören unter anderem der Einsatz von Firewalls, VPN und Verschlüsselung, Verwendung sicherer, aktueller Software, regelmäßige Datensicherungen, Nutzung von Sicherheitssoftware/Antivirensoftware und so weiter.

Auch Maschinen müssen gegen Cyberangriffe geschützt werden. Für diesen Zweck haben Automatisierungsunternehmen beispielsweise Systeme für die Regelung der Zugangsberechtigung zu Maschinen im Sortiment sowie spezielle Firewalls für die Absicherung industrieller Steuerungsnetzwerke.

Diverse Sicherheitsspezialisten bieten eine Überprüfung der technischen IT-Infrastruktur als Dienstleistung an, beispielsweise @-yet. Dabei wird sowohl von außerhalb (zum Beispiel Angriff auf das WLAN) als auch unternehmensintern (zum Beispiel Ausnutzen einer Schwachstelle in der Firewall) versucht, einen unautorisierten Zugriff auf des Produktionsnetzwerk sowie die angeschlossenen Komponenten zu erhalten. Die Durchführung solcher Trainingsangriffe dauert etwa zwei bis drei Tage.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat am 1. Februar 2023 die aktualisierte Fassung des IT-Grundschutz-Kompendiums herausgegeben, das Fachleuten umfassende Informationen liefert.

Die IT-Sicherheitsfirma Mandiant hat für 2023 eine Prognose veröffentlicht, wonach es drei Gruppen von Hackern gibt, die der Industrie Probleme bereiten können:

• Kriminelle: Diese Gruppe ist groß, professionell und greift häufig Unternehmen an. Hier geht es vor allem um Geld und Daten. Oft sind die eingesetzten Techniken gar nicht übermäßig komplex. „Für Kriminelle geht es nur darum, dass die Malware gut funktioniert, zum Beispiel schwer zu verfolgen ist“, erklärt Daniel Kapellmann Zafra. Er leitet bei Mandiant das Team Cyber Physical Threat Intelligence.

• Staatliche Hacker: Unternehmen können zum Ziel staatlicher Hacker werden, wenn es einem geopolitischen Ziel dient. Dieser Fall tritt seltener ein als der erste – je nach Branche ist er aber nicht zu vernachlässigen, denn die staatlichen Hacker sind nochmal eine Spur gewitzter als die üblichen Cyberkriminellen und die Zahl staatlich getragener Cyberangriffe hat in den letzten Monaten zugenommen.
• Hacktivisten und Angeber: Diese Gefahr ist eher nicht so groß. Wer gegen die erste Gruppe oder die ersten beiden Gruppen gut geschützt ist, hat hier meistens nicht mehr viel zu befürchten.

Laut der Mandiant-Prognose zur globalen Cybersicherheit hält das aktuelle Jahr folgende Entwicklungen bereit:

• Ransomware stellt weiterhin eine große Gefahr da. Europa könnte die USA als am stärksten betroffene Region ablösen.
• Cyberkriminelle setzen künftig vermutlich stärker auf Erpressung und weniger auf den klassischen Ransomware-Angriff. Statt Systeme zu verschlüsseln, schleusen sie Daten aus und drohen dann beispielsweise damit, diese gestohlene Unternehmensdaten auf Leak-Seiten zu veröffentlichen.
• Desinformationskampagnen werden immer öfter an Marketing- oder PR-Agenturen ausgelagert und damit besser abstreitbar.
• Apple, Google und Microsoft haben sich verpflichtet, den Standard für passwortlose Anmeldung zu unterstützen. Diese Technologien werden zunächst für Verbraucher verfügbar sein, aber vermutlich werden kurz danach erste Lösungen für Unternehmen entwickelt.
• Cyberkriminelle werden neue Methoden entwickeln, um Nutzeridentitäten zu stehlen. Wahrscheinlich setzen sie eine Kombination aus Social Engineering, Hackertools für den Nutzeridentitätsdiebstahl und illegal erlangten Unternehmensinterna ein.
• Angreifer agieren professionell: Kriminelle nutzen Blogs der Sicherheitsprofis, um sich fortzubilden und zu informieren.
• Cyberversicherungen werden teurer beziehungsweise decken weniger Fälle ab, da das Risiko für Angriffe gestiegen ist.
• In Nordamerika und Europa wird Zahl der Angriffe durch Einzelgänger wird zunehmen, denen es stärker um Reputation geht, während ihnen die Beute zwar willkommen ist, aber nicht die Hauptmotivation darstellt.
• Auf den Untergrund-Foren werden häufiger gestohlene Anmeldedaten angeboten. Käufer nutzen solche Anmeldedaten und Cookies, um sich Cyberangriffe zu vereinfachen.
• Es wird 2023 mehr Versuche geben, Menschen mit gefälschten Werbesendungen und Quittungen, verseuchten USB-Sticks oder anderen Alltagsgegenständen anzugreifen. Diese enthalten beispielsweise einen QR-Code, der auf schädliche Webseiten führt.
• Speziell für Europa, den nahen Osten und Afrika erwartet Mandiant eine steigende Zahl von Phishing-Kampagnen, die Energieversorgung und Energiepreise als Aufhänger nutzen.

Angriffe mit staatlicher Unterstützung sind vor allem aus Russland, China, Iran und Nordkorea zu erwarten:

• Russland wird vermutlich seine Sabotageakte über die Ukraine und ihre unmittelbaren Nachbarländer hinaus ausdehnen – vielleicht europaweit. Infrage kämen insbesondere Energieversorger, die Rüstungsindustrie und ihre Zulieferer, Logistikunternehmen, die Güter in die Ukraine transportieren, jede Art Organisation, die an der Einführung und Durchsetzung von Sanktionen beteiligt ist.
• In China wurden 2022 ausländische Unternehmen mit einer Desinformationskampagne angegriffen. Damit ist auch in Zukunft zu rechnen.
• Angriffe aus dem Iran sind vor allem in der Telekommunikations-und der Transport-und Logistikbranche zu erwarten.
• Hacker aus Nordkorea werden weiterhin versuchen, für das Regime finanzielle Mittel und strategisch wichtige Informationen zu beschaffen. Sie konzentrieren sich dabei vermutlich auf Südkorea, Japan und die USA.

Sowohl aus der Sicht eines Angreifers als auch aus der Sicht der Verteidigung wäre künstliche Intelligenz ein interessantes Werkzeug, stellt Mike Hart von Mandiant fest. „Der Einsatz von KI ist aktuell jedoch noch gar nicht üblich“, fügt er hinzu. Auch Deepfakes (mit KI gefälschte oder manipulierte Bilder und Videos) würden außerhalb von Desinformationskampagnen noch keine Rolle spielen, ergänzt sein Kollege Daniel Kapellmann Zafra.

Es lässt sich nicht pauschal sagen, wie groß das Risiko für Unternehmen ist, von Cyberkriminellen oder staatlichen Hackern angegriffen zu werden. Manche Branchen sind gefährdeter als andere. 2022 wurden im Bereich der industriellen Fertigung vor allem metallverarbeitende Betriebe Opfer von Cyberattacken.

Das Thema Cybersecurity ist für die Industrie allein schwer in den Griff zu kriegen. So betonte Thomas Pilz, geschäftsführender Gesellschafter beim Automatisierungsunternehmen Pilz, in einer Mitteilung zur Hannover Messe 2023, dass Cybersicherheit eine Gemeinschaftsaufgabe von Industrie und Politik sei.

Sicherheitsexperten gehen davon aus, dass die US-Regierung im Jahr 2023 eine ganze Serie von Programmen starten wird, um die Cybersicherheit zu verbessern. Auch die EU hat das Thema auf dem Schirm. „Die Gesetzgebung in Europa hat die Bedeutung erkannt und bringt nun eine Reihe von Gesetzen und Verordnungen auf den Weg, die die Security von Produkten und Prozessen verpflichtend machen“, bilanziert Pilz.

Am 18. April 2023 stellte die geschäftsführende EU-Vizepräsidentin und Kommissarin für Digitales Margrethe Vestager einen Vorschlag für ein europäisches Cyber-Solidaritäts-Gesetz und eine europäische Cybersicherheits-Kompetenz-Akademie vor. Der Vorschlag für das Cyber-Solidaritäts-Gesetz sieht zwei Mittel vor:

• Ein Netz von Sicherheitsoperations-Zentren, die digitale Gefahren staatenübergreifend aufspüren, auch unter Einsatz von künstlicher Intelligenz.
• Ein Europäischer Notfallmechanismus, der unter anderem die Einrichtung einer Cybersicherheitsreserve aus „vertrauenswürdigen privaten Anbietern“ vorsieht, die auf Ersuchen eines Mitgliedstaats bei einem groß angelegten Cyberangriff eingreifen könnte.

Die ECSO (European Cybersecurity Organisation) schätzt, dass aktuell 260.000 Expertinnen und Experten für Cybersicherheit fehlen. Um diese Lücke innerhalb der kommenden Jahre zu überbrücken und die Zahl der Fachleute zu erhöhen, setzt die EU-Kommission auf die neue Europäische Akademie für Cybersicherheitskompetenzen. Sie soll ein unbürokratisches Konstrukt werden und anders als der Name vermuten lässt eher ein Hub sein als eine Schule. Zu ihren Aufgaben könnte beispielsweise die Zertifizierung von Weiterbildungsangeboten gehören.