Angriff von außen stellen ein Gefahr für Unternehmen dar, finanziell wie produktionstechnisch. (Bild: https://www.craiyon.com/)
Wie hat sich die Bedrohungslage durch die Digitalisierung der Industrie verändert?
Aktuell formt die Industrie 4.0 die Zukunft der Produktion und Fertigung, die Produktionsstätten selbst haben in mancher Hinsicht bereits den Wandel durchlaufen, um ihre Umgebungen zu modernisieren und einen stärker datengesteuerten Ansatz für den Betrieb zu schaffen. Diese Umstrukturierungen bieten zwar einen erheblichen Mehrwert, insbesondere durch erhöhte Produktivität, intelligentere Erkenntnisse und bessere Entscheidungen, sind aber nicht ohne Risiko.
Neue Herausforderungen an die betriebliche Sicherheit stellt vor allem der zunehmende Einsatz innovativer operativer Technologien (Operational Technology; OT), beispielsweise Automatisierungsprozesse, moderne IoT-Geräte und Robotik in modernen Fertigungsumgebungen, die oftmals in Verbindung mit Geräten auf älteren Betriebssystemen laufen und von der IT-Infrastruktur abgekoppelt sind und isoliert arbeiten. Kombiniert mit dem Mangel an Sicherheitskompetenzen im OT-Bereich und dem zunehmenden Risiko von Angriffen auf die Lieferkette, ist schnell ersichtlich, warum die Fertigungsbranche ein Hauptziel für Bedrohungsakteure geworden ist.
Welche grundlegenden Maßnahmen sollten Unternehmen ergreifen, um sich vor digitalen Angriffen zu schützen?
Die meisten Probleme sind auf eine unzureichende Vorbereitung zurückzuführen. Beispielsweise ist ein Unternehmen besonders anfällig für Angriffe, wenn es sich lediglich auf einen veralteten, signaturbasierten Antivirenschutz verlässt. Unternehmen benötigen eine klare Prüfung der zahlreichen Systeme, die – direkt oder indirekt – Zugangspunkte zu Unternehmensdaten und -netzwerken einrichten. Und die Endgeräte sollten entsprechend mit aktuellen Erkennungs- und Reaktionslösungen (EDR) unterstützt werden.
Unternehmen sollten außerdem den Kontakt zu erfahrenen Experten pflegen, die schnell reagieren können, um im Notfall Schaden zu begrenzen, zu beheben und den Betrieb schnell und sicher wieder aufzunehmen. Für Unternehmen, die möglicherweise nicht selbst über Spezialisten verfügen, ist es entscheidend zu wissen, wen sie im Notfall um Hilfe bitten können und in solchen Fällen auch einen entsprechenden Prozess definiert zu haben, um schnell und effektiv handeln zu können.
Welche Rolle spielt der Mensch beim Thema Cybersecurity?
Da eine der größten Herausforderungen im OT-Bereich sicherlich der Mangel an Sicherheitsfachkräften ist, spielt der Mensch eine große Rolle. Während IT- und OT-Sicherheitskompetenzen zudem oftmals übertragbar sind, unterscheiden sich die Philosophien etwas, beispielsweise in ihrer Herangehensweise: Ein IT-Spezialist würde vielleicht im ersten Schritt die Systeme ausschalten, um einen Angriff einzudämmen und darauf zu reagieren, während OT-Spezialisten darauf getrimmt sind, Ausfallzeiten und damit einhergehende Umsatzverluste zu minimieren.
Doch können Widersprüche in den Herangehensweisen, den Ansätzen und Kulturen für Herausforderungen bei der OT-Sicherheit sorgen. So kann die OT-Mentalität beispielsweise auch dazu führen, dass Systeme ohne Patches, Updates oder Sicherheitsvorkehrungen existieren – solange sie ihre Aufgabe zuverlässig erfüllen. Diese Herausforderungen werden noch dadurch verschärft, dass jüngere Arbeitskräfte mit älteren Technologien, Betriebssystemen und Praktiken nicht vertraut sind.
Angreifer scheinen immer einen Schritt voraus: Lässt sich eine 100%-Sicherheit überhaupt erreichen?
Oftmals besteht das Gefühl, dass Cyberangreifer ihren Opfern einen Schritt voraus sind, weil sie ständig neue Tricks und Techniken entwickeln, um Schwachstellen auszunutzen. Phishing mag zwar „altmodisch“ sein, ist aber nach wie vor eine der am weitesten verbreiteten Methoden, um an wertvolle persönliche Daten und Unternehmensdaten zu gelangen. Und Malware- und Ransomware-Angriffe werden immer raffinierter. In den letzten Wochen und Monaten hat das Research & Intelligence Team von BlackBerry neue Varianten von Bedrohungen aufgedeckt, darunter ZingoStealer (die Infostealer-Malware, die sich als „kostenlose Software" tarnt), LokiLocker (Ransomware, die Dateien auf einem kompromittierten Gerät verschlüsselt und ein Lösegeld verlangt, um den Zugriff wiederherzustellen) und Ransomware-as-a-Service, Monster, die ihre Identität verschleiert, während sie in aller Ruhe ihr Bitcoin-Lösegeld kassiert.
Angesichts der Schnelligkeit und Raffinesse der heutigen Cyberkriminalität müssen wir uns ähnliche Eigenschaften von künstlicher Intelligenz (KI) und maschinellen Lerntechnologien (ML) zunutze machen, um Angriffe vorherzusagen und zu verhindern. BlackBerry trainiert die Cylance KI fortlaufend mit Datenseen, die Milliarden von Dateien – gute und schlechte – enthalten. So lernt sie Bedrohungen frühzeitig zu erkennen, noch bevor diese eine Chance haben, ausgeführt zu werden. Dadurch war die KI von BlackBerry aus dem Jahr 2016 in der Lage Malware, die bei verschiedenen jüngsten Angriffen verwendet wurde, effektiv vorherzusagen und zu verhindern, bevor sie Schaden anrichten konnte. Das Ergebnis dieser umfangreichen, fortlaufenden Trainings: die nachgewiesene Erfolgsbilanz beim Blockieren von Bedrohungen – für bis zu zwei Jahre in die Zukunft.
Rechnet sich ein vollständiger Schutz für Unternehmen?
Ja, das tut er! Beispielsweise konnte WannaCry, das Millionen von Computern auf der ganzen Welt unbrauchbar machte, durch ein ML-Modell von BlackBerry Cylance verhindert werden. Das Modell wurde 24 Monate vor der ersten Meldung der Malware entwickelt, geschult und anschließend eingesetzt. Die Fähigkeit, Unternehmen proaktiv vor Cyberangriffen zu schützen, lange bevor Bedrohungen entstehen, ist sehr bedeutsam. Während andere IT-Teams Mühe haben, sich von einem Vorfall zu erholen, der für das Unternehmen mit hohen Kosten (sowohl finanziell als auch für den Ruf) verbunden ist, läuft für diejenigen, die die Macht der KI und den Prevention-First-Ansatz nutzen, das gewohnte Geschäft, business as usual.
Raten Sie Kunden auch zu Versicherungen im Bereich Cybersicherheit?
Immer mehr Führungskräfte erkennen, dass Cyberrisiken mit hohen Geschäftsrisiken verbunden sind. Dazu hat BlackBerry in den USA kürzlich eine Umfrage mit Corvus Insurance durchgeführt, die offenbart hat, wie sich eine Cyberversicherung bzw. das Fehlen einer solchen auf die Geschäftspraktiken auswirkt. Innerhalb dieser Umfrage haben 60 Prozent der Teilnehmer angegeben, eine Partnerschaft oder Vereinbarung mit einem anderen Unternehmen zu überdenken, wenn dieses keine Cyberversicherung hat.
Dennoch haben nur 55 Prozent der Befragten selbst eine Cyberversicherung und weniger als 20 Prozent haben eine Deckung, die 600.000 US-Dollar übersteigt, was dem Median der Ransomware-Forderung im Jahr 2021 entspricht. Das bringt viele Unternehmen in eine prekäre Lage – das Äquivalent zur Cybersicherheit als „Betrieb ohne Netz". Besonders akut ist die Situation für nicht versicherte kleine und mittlere Unternehmen (KMU), die die rasant steigenden Kosten für Cyberversicherungsprämien gegen das sehr reale Risiko abwägen müssen, im Falle eines Angriffs nicht wiederhergestellt werden zu können.
Gibt es aus Ihrer Sicht eine Branche, die besonders von Angriffen bedroht ist?
In puncto Cyberkriminalität gibt es keine Immunität, daher ist auch keine Branche immun gegen Angriffe, vielmehr wächst die Bedrohungslage überall – bedingt durch die Zunahme vernetzter Endpunkte und die fortschreitende Migration zu digitalen Technologien – während Taktiken wie Ransomware-as-a-Service (RaaS) zusätzlich zeigen, dass kleinere, sogar Nischenorganisationen zu realistischen Zielen werden.
Der BlackBerry 2022 Threat Report hat außerdem gezeigt, dass Schwachstellen in der digitalen Lieferkette in allen Branchen zu einem wachsenden Problem werden. Die Zusammenarbeit mit Drittanbietern führt zu einer höheren Anfälligkeit für Schwachstellen. Produktionsumgebungen haben nicht nur eine eingeschränkte Kontrolle über die Software der Anbieter, sondern es besteht auch das Risiko, dass die Software kompromittiert und mit Malware infiziert wurde. Dadurch haben Bedrohungsakteuren die Möglichkeit, aus der Ferne auf industrielle Steuerungssysteme zuzugreifen und diese zu kontrollieren.
Wie hat sich das Bewusstsein für Sicherheit in den Firmen in den letzten Jahren geändert?
In den letzten Jahren haben zahlreiche aufsehenerregende Angriffe das Bewusstsein geschärft. In Deutschland haben Angriffe auf Nationalstaaten, diverse kritische Infrastrukturen und große Marken Schlagzeilen gemacht und damit dazu beigetragen, dass Unternehmen auf die Bedrohungen sowie auf die potenziellen Kosten und Folgen eines Angriffs aufmerksam geworden sind. Doch besteht bei vielen nach wie vor der Irrglaube „unter dem Radar" von Cyberkriminellen zu fliegen, insbesondere bei KMU. Das bedeutet, dass viele Unternehmen noch immer die Wahrscheinlichkeit eines Angriffs unterschätzen.
Bedrohungsakteure sind sich der vergleichsweise „leichten Ziele", die kleinere Organisationen wie KMUs darstellen, durchaus bewusst. Es ist schwieriger, ein großes Unternehmen anzugreifen, da diese dann doch eher umfangreichere Sicherheitsmaßnahmen nutzen und über gute bis erstklassige IT-Teams verfügen. KMUs verfügen jedoch oft nicht über die nötigen Ressourcen, um eine ähnlich wirksame Verteidigung aufzubauen. Doch viele KMUs arbeiten mit größeren Unternehmen und führen beispielsweise Auftragsarbeiten aus – so wurden tatsächlich einige dieser aufsehenerregenden Cybersicherheitsvorfälle durch die Kompromittierung kleinerer Firmen durchgeführt, die durch die Zusammenarbeit Zugang zu größeren Zielen hatten. Die beiden aktuellen Beispiele für Angriffe über die Lieferkette SolarWinds und Kaseya zeigen, wie ein kleineres Unternehmen infiltriert wurde, um letztlich größere Ziele zu attackieren.
Das Bewusstsein hat sich zwar geschärft, aber es muss noch mehr Aufklärungsarbeit geleistet werden.
Hat der Angriff von Russland auf die Ukraine die Bedrohungslage verschärft z.B. in Deutschland?
Das Internet bietet heutzutage eine sehr komplexe Landschaft, in der Hacker ihren Aufenthaltsort verschleiern, Nationalstaaten sich hinter einer „glaubhaften Bestreitbarkeit" verstecken und die Identität krimineller Akteure verbergen können. Aus diesem Grund sind viele der Meinung, dass zukünftige Kriegsführung im Cyberspace vonstattengeht – eine Welt, in der Staaten die Infrastruktur eines Landes angreifen können, ohne Konsequenzen befürchten zu müssen.
Ob in Russland oder anderswo – Satellitennetze, Windturbinen und Energiesysteme stehen zunehmend im Visier von Cyberkriminellen. Sie gelten als hochwertige Ziele und gehören in der Regel zu den kritischen Infrastrukturen in Deutschland. Für KRITIS-Unternehmen ist der Schutz vor Cyberangriffen unverzichtbar, um den reibungslosen Ablauf unseres täglichen Lebens zu gewährleisten, von der Energieversorgung bis zum öffentlichen Nahverkehr. Die große Frage ist also, ob die kritischen Infrastrukturen und Industrien in Deutschland mit der Technologie und dem Fachwissen ausgestattet sind, um Angriffe vorherzusehen und zu verhindern, woher sie auch kommen mögen.
