Risiken durch Cyberangriffe und Empfehlungen zur Cyberresilienz

Heute habe ich an einem Fachgespräch zum Thema Cyberresilienz des FEA und ArMiD teilgenommen. Da es nicht genug Zeit gab, um alle Fragen zu beantworten, möchte ich hier die wichtigsten auflisten und kurz beantworten:

Vorbemerkung

Sehr häufig hört man in Deutschland die Einschätzung, die Gefahr durch Cyberangriffe auf kritische Infrastrukturen und auch ganz allgemein sei gering, denn bisher habe es weltweit nur sehr wenige erfolgreiche Angriffe mit großer Wirkung gegeben. Ich halte diese Einschätzung für gefährlich, da sie ein unangebrachtes Gefühl von Sicherheit vermittelt.

Erstens, es gibt viele solcher Angriffe auf kritische Infrastrukturen. Das Handelsblatt vom 22.5.2021 zitiert eine Antwort der damaligen Bundesregierung auf eine kleine Anfrage der FDP, nach der die Anzahl der IT-Störfälle bei kritischen Infrastrukturen dramatisch zunimmt, von 254 in 2019 auf 345 in 2020. Nicht alle Störfälle sind Cyberangriffe, aber die Bundesregierung rechnet mit einer großen Dunkelziffer an Cyberangriffen. 

Zweitens, weltweit gab es bereits einige erfolgreiche Angriffe, die zum Ausfall kritischer Infrastrukturen führten, etwa 2015 die Stromversorgung in der Ukraine und 2021 auf die Ölversorgung der USA. Kritisch ist aber nicht nur Sabotage, sondern auch Spionage. 2015 wurden beispielsweise Daten aus dem Deutschen Bundestag gestohlen. Wer Fähigkeiten zur Cyberspionage hat, hat typischerweise erst recht die Fähigkeiten zur Cybersabotage. Man darf auch nicht vergessen, dass staatlich Cyberangriffe oftmals proaktiv erfolgen, d.h. der Angreifer baut lediglich Hintertüren ein. Vermutet wird das beispielsweise in den Netzen der Energieversorgung der USA, festgestellt wurde es vor wenigen Monate in den Netzen der ukrainischen Eisenbahn.

Drittens, als kritisch zählen in Deutschland nur die großen Infrastrukturen, deren Ausfall nachhaltige, dramatische Folgen hätte. Dazu gehören nicht die vielen Stadtwerke, kommunalen Verwaltungen oder Forschungseinrichtungen. Viele dieser “kleinen” kritischen Infrastrukturen wurden in den letzten 2 Jahren Opfer von Ransomware-Angriffen. 

Viertens, wer eine Cybersicherheitsstrategie für eine Organisation macht, sollte eben strategisch vorgehen und nicht den Kopf in den Sand stecken. Natürlich haben viele Länder die Fähigkeit, unsere kleinen wie großen kritischen Infrastrukturen durch Cyberangriffe zu stören. Aus vielen Gründen haben sie das bisher nicht getan, zumindest nicht im großen Stil. Das könnte sich aber jederzeit ändern, und dafür muss man Vorsorge treffen.

Q & As

Frage 1:  Inwieweit ist es sinnvoll, zur Zeit alle Verbindungen zu/von russischen Servern (IP-Adressen) in unseren Firewalls zu unterbinden?

Antwort 1: Ich würde das nicht tun. Stattdessen sollte man Blacklists verwenden, also nur gezielt einzelne Server/Domänen/Netze/IP Adressen blockieren, und die Standardmaßnahmen zum Schutz gegen Angriffe anwenden. 

Frage 2: Wie soll man sich auf den Fall der Fälle vorbereiten? 

Antwort 2: Man sollte die bekannten Sicherheitsmaßnahmen anwenden, auf verschiedenen Ebenen:

1. Verantwortliche (z.B. CISO) benennen und ihre Rolle im Unternehmen klar kommunizieren. Eventuell das Risiko durch Cyberangriffe versichern.
2. Relative einfache technische Maßnahmen erschweren Angriffe ganz erheblich, z.B. sofortiges Patchen bekannter Schwachstellen, regelmäßiges Einspielen von Updates, Segmentieren der Netzwerke, Filtern von gefälschten Emails, Multifaktor-Authentifizierung und sichere Passwörter, aktuelle Backups, regelmäßige Sicherheitsuntersuchungen.
3. Um sich gut zu schützen, muss man eine Überblick darüber haben, wie die eigene IT aussieht: Übersicht zu digitalen Ressourcen, also was hat die Organisation, z.B. welche IP Adressen, Netzwerke, Domänen, Geräte, Datenbanken im Cloud,...., und welche Sicherheitslücken gibt es. Die IT-Organisation muss diese Übersicht regelmäßig erstellen und aktuell halten. 
4. Angriffe sollte man so früh wie möglich erkennen: Auch sehr gut abgesicherte Systeme können mit ausreichend Aufwand gehackt werden. Deshalb ist es wichtig, die Systeme und den Netzverkehr so umfassend wie möglich zu monitoren und auf Indizien für einen erfolgreichen Angriff (bekannte Angriffsmuster, ungewöhnliche Datenflüsse, ungewöhnliches Nutzerverhalten) zu analysieren. 
5. Man muss planen, wie es nach einem Vorfall weitergeht: Zur Wiederherstellung der Systeme und Daten nach einem Angriff müssen Backups regelmäßig durchgeführt werden und sicher ausgelagert werden (z.B. in ein anderes Netz oder Netzsegment). Eventuell müssen auch Ersatzsysteme und -dienstleister vorhanden sein. Tritt de Notfall ein, müssen die Verantwortlichkeiten und Meldewege jedem in der Organisation klar sein. Die notwendigen Prozesse – Abschalten und Wiederhochfahren der Netze und Systeme, Krisenkommunikation, usw. – müssen definiert und vor allem auch eingeübt werden. Cyber-Übungen sollten genauso regelmäßig durchgeführt werden wie heute Brandschutzübungen.

Frage 3: Wie hoch sind die Kosten für einen Sicherheitscheck?

Antwort 3: Das kann man so nicht sagen, es hängt davon ab, wie groß die Organisation ist, was gemacht wird und wie häufig. 

Frage 4: Was sollten kleinere und mittlere Unternehmen mit begrenzten IT-Ressourcen tun?

Antwort 4: Wer keine eigene IT-Sicherheitsorganisation aufsetzen kann, ist gut beraten, die IT-Infrastruktur weitgehend an externe Dienstleister, also z.B: Cloud-Anbieter, auszulagern.

Frage 5: Was sind die Kernfragen, die wir als (nicht IT-orientierte) Aufsichtsräte den IT-Verantwortlichen / CTOs stellen sollten?

Antwort 5:

1. Wer ist im Unternehmen für die IT-Sicherheit zuständig? An wen berichtet der oder die IT-Sicherheitsverantwortliche (möglichst nahe am Vorstand)? Je nach Branche sollte es auch mehrere Verantwortliche geben, etwa für den eigenen Betrieb und für die Produktion. Ist ausreichend Budget für IT-Sicherheit im Betrieb vorhanden (ca. 15-20% des IT-Budgets)? Ist IT-Sicherheit in allen wichtigen Entscheidungsprozessen abgebildet und habe die IT-Sicherheitsverantwortlichen ein qualifiziertes Vetorecht?
2. Gibt es eine unternehmensweite “IT-Sicherheitskultur”, also beispielsweise regelmäßige Informationen und Schulungen, praktische Übungen für den Krisenfall?
3. Gibt es ausformulierte Sicherheitsrichtlinien? Werden die einschlägigen Standards (z.B. ISO 27000) umgesetzt und von Dienstleistern und ggf. auch Zulieferern eingefordert? Gibt es Prozesse, wie die Sicherheitsrichtlinien aktualisiert werden? Gibt es etablierte Kanäle, wie mit vergleichbaren Unternehmen und Behörden Informationen ausgetauscht werden?
4. Wie sieht die “Landkarte” der digitalen Ressourcen des Unternehmens aus? Wie wird sichergestellt, dass diese Landkarte aktuell und vollständig ist und bleibt? Welche Ressourcen gibt es und welche sind besonders wichtig? Wie werden die wichtigen Ressourcen geschützt? 
5. Wie hoch schätzt das Unternehmen das Risiko durch Cyberangriffe ein? Worauf basiert diese Einschätzung? Gibt es laufende oder zumindest regelmäßige Sicherheitstests und Audits? Gibt es Notfallpläne? Sind Cyberrisiken versichert. Wie vergleicht sich das Unternehmen mit der Konkurrenz bzw. der Branche insgesamt?
6. Gibt es eine langfristige Cybersicherheitsstrategie? Hat das Unternehmen Pläne, moderne Sicherheitskonzepte umzusetzen, z.B. eine Zero Trust Architektur umzusetzen.

Frage 6: Das BSI (Bundesamt für Sicherheit in der IT) warnt aktuell vor der Nutzung von Softwareprodukten russischer Hersteller. Können russische IT-Anbieter vom russischen Staat dazu gezwungen werden, Angriffe auf ihre Kunden in Deutschland und anderswo zu ermöglichen oder gar durchzuführen? 

Antwort 6: Selbstverständlich können Regierungen Firmen, die in ihrem Einflussbereich angesiedelt sind, zwingen zu kooperieren. Das gilt für Russland ebenso wie für andere Länder, und selbst für Firmen in den USA gab es schon entsprechende Medienberichte. Lokale Sicherheitsbehörden könnten so Zugriff auf die IT-Infrastruktur solcher Firmen bekommen oder auch Hintertüren in die Produkte dieser Firmen einbauen lassen. Das ist eine weitere gute Motivation, weshalb Digitale Souveränität so wichtig ist.

Frage 7: Kann man Produkte so zertifizieren oder prüfen, dass die Existenz von geheimen Hintertüre ausgeschlossen ist?

Antwort 7: Eine Hintertür ist ein undokumentierte, alternativer Zugang zu einem IT-System. Hintertüren können vom Hersteller eingebaut werden, wissentlich, durch einen kriminellen Mitarbeiter oder durch einen Cyberangreifer, der die IT-Systeme des Herstellers korrumpiert hat. Hintertüren können oft dazu genutzt werden, ein System über das Internet komplett zu steuern oder beliebige Daten abzugreifen. Wer eine Hintertüre einbaut, tut dies meist so unauffällig wie möglich, und dementsprechend ist das Finden von Hintertüren extrem schwierig. Viele Hintertüren sind nichts anderes als absichtlich eingebaute oder offen gelassene Fehler, also Schwachstellen, im Programmcode. Zu behaupten, ein IT-Produkt enthalte mit 100% Sicherheit keine Hintertüren, ist deshalb mindestens genauso unsinnig wie zu behaupten, ein IT-Produkt enthalte keinen Fehler. Also nein, eine solche Zertifizierung ist nicht möglich. 

Frage 8: Sollte eine Übung zum Umgang mit Cyberangriffen als Regelprogramm in Unternehmen durchgeführt werden?

Antwort 8: Auf jeden Fall! Eine schnelle Reaktion kann oft Schäden minimieren und begrenzen, und ohne Übung kann der Schaden beliebig anwachsen.