Secure Computer Network. Zero Trust Security Model.

Angesichts potenzieller Feinde an zahlreichen Fronten wird Datensicherheit zunehmend zu einer Operation militärischen Ausmaßes. Zero Trust bildet ein verlässliches Rahmenwerk. (Bild: Olivier Le Moal - stock.adobe.com)

Laut einem Bericht von IBM und dem Ponemon Institute aus dem Jahr 2023 belaufen sich die durchschnittlichen globalen Kosten einer Datenschutzverletzung auf beachtliche 4,45 Millionen US-Dollar, was einem Anstieg von 2 Prozent gegenüber dem Vorjahr entspricht.

Diese Zahlen sind für jeden CEO Grund zur Sorge. Verstöße gegen IT-Bestimmungen sind nicht nur ein Problem für CIOs und deren Sicherheitsteams, sondern treffen die gesamte Organisation. Dennoch kommt die Industrie bei der Integration der IT in andere Abteilungen, um einen ganzheitlichen Ansatz für Cybersicherheit zu schaffen, nur äußerst schleppend voran.

Stuxnet-Angriff: Lehren aus der Vergangenheit ziehen

Ein frühes Beispiel dafür, wie Cyberangriffe in einem Unternehmen Schaden anrichten können, war der Stuxnet-Angriff auf das iranische Atomprogramm zwischen 2005 und 2010. Der Stuxnet-Wurm war darauf ausgelegt, speicherprogrammierbare Steuerungen (SPS) anzugreifen, die die Automatisierung verschiedener industrieller Prozesse steuerten. Der Wurm infizierte die SPS, die die Zentrifugen in den Kernreaktoren steuerten und verursachte Fehlfunktionen. Dies beeinträchtigte das iranische Atomprogramm so stark, dass Berichten zufolge etwa 20 Prozent der Zentrifugen des Landes unbrauchbar wurden.

Stuxnet the word or concept represented by wooden letter tiles
Stuxnet markierte für IT-Sicherheitsexperten einen Wendepunkt. Der Cyberangriff deckte die Verwundbarkeit von Organisationen auf und machte deutlich, dass eine IT-Infrastruktur nicht isoliert betrachtet werden darf. (Bild: lexiconimages - stock.adobe.com)

Stuxnet markierte für IT-Sicherheitsexperten einen Wendepunkt. Der Cyberangriff deckte die Verwundbarkeit von Organisationen auf und machte deutlich, dass eine IT-Infrastruktur nicht isoliert betrachtet werden darf. Obwohl der Vorfall als gezielter Angriff auf den Iran betrachtet wurde und als koordinierter Schlag ausländischer Geheimdienste gilt, zeigte er zugleich erstmalig das verheerende Potenzial eines Malware-Angriffs auf operative Technologie (OT), der sich nicht lediglich auf den IT-Bereich beschränkt. Nicht nur die Nuklearindustrie ist bedroht und es betrifft auch nicht nur den Iran. Sicherheitsexperten von Norton schätzen, dass es täglich zu 2200 Cyberangriffen kommt. Das entspricht ca. 800.000 gehackten Personen pro Jahr. Auch die USA sind nicht dagegen gefeit. Das bekannteste Beispiel für einen groß angelegten Angriff auf amerikanischem Boden war die Attacke auf SolarWinds im Jahr 2020.

Bei einem der größten Cyberangriffe des 21. Jahrhunderts schleusten Hacker Schadcode in das IT-Überwachungs- und Managementsystem Orion von SolarWinds ein, auf welches weltweit Tausende Unternehmen und Regierungsbehörden angewiesen waren. Dieser Vorfall offenbarte eine Vielzahl von Schwachstellen in den USA und weiten Teilen der westlichen Welt. Führungskräfte und Entscheidungsträger sahen sich mit der Tatsache konfrontiert, dass ihre IT-Systeme durch alle Arten von koordinierten Schlägen gefährdet werden konnten, insbesondere wenn die Angreifer die Ressourcen eines Nationalstaates hinter sich hatten – wie es beim Angriff auf SolarWinds anscheinend der Fall war.

Angesichts potenzieller Feinde an zahlreichen Fronten wird Datensicherheit zunehmend zu einer Operation militärischen Ausmaßes. Es ist daher wenig überraschend, dass das US-Verteidigungsministerium die Führung bei der Entwicklung eines neuen, rigorosen und organisationsübergreifenden Ansatzes zur Cybersicherheit übernommen hat.

Der militärische Ansatz für Cybersecurity

Militärische Einrichtungen sind schon seit langem bevorzugte Ziele von Cyberangriffen. Da das US-Verteidigungsministerium bereits Erfahrungen im Umgang mit Sicherheitslücken in anderen Bereichen hatte, war schnell klar, dass der Datenschutz in militärischen Einrichtungen verstärkt werden musste. Im Januar 2020 wurde daher eine neue Initiative ins Leben gerufen, die nicht nur staatliche Einrichtungen umfasst, sondern auch sämtliche Auftragnehmer in der Lieferkette einbezieht. Die CMMC-Zertifizierung (Cybersecurity Maturity Model Certification) basiert auf dem Zero-Trust-Prinzip. Dieses besagt, dass sämtliche Teile einer Organisation und alle ihrer Interaktionen in jeder Phase zu überprüfen sind: Nichts und niemandem zu vertrauen ist oberstes Gebot.

Eine CMMC-Zertifizierung bedeutet, dass Unternehmen, die Produkte oder Dienstleistungen an US-Regierungsbehörden verkaufen wollen, ein rigoroses Rahmenwerk und einen Zertifizierungsprozess einhalten müssen, bei dem jeder einzelne Herstellungsschritt jeder einzelnen Komponente, deren Verwendung und deren Zusammenspiel mit anderen Komponenten überprüft wird. Dieser Ansatz ist mittlerweile für sämtliche Unternehmen, die als Lieferant des US-Verteidigungsministeriums (DoD) tätig werden möchten, obligatorisch. Darüber hinaus kann kein Unternehmen ohne Betriebsgenehmigung (Authorization To Operate; ATO) Geschäfte mit einer US-Regierungsbehörde tätigen.

Zero-Trust außerhalb der Verteidigungsindustrie

Der Zero-Trust-Ansatz lässt sich ebenso gut außerhalb der Verteidigungsindustrie anwenden und wird in immer stärkerem Maße unverzichtbar. Er erfordert jedoch beträchtliche Investitionen und eine Neuausrichtung der Unternehmenskultur, bei der die Zusammenarbeit von Technikern, Ingenieuren, IT und Testteams enger und umfassender gestaltet wird.

Es mag zunächst erschreckend klingen, aber das Konzept der Cybersicherheit betrifft längst nicht mehr nur den IT-Bereich. Es gibt mittlerweile eine Vielzahl von IP-verbundenen Geräten und anderen potenziell anfälligen Systemen, wie etwa Klimaanlagen. Erinnern Sie sich noch an Target²? Dabei handelte es sich um eine Malware, die versehentlich von einem kleinen Dienstleister für Klimaanlagen (HLKK) installiert wurde und die anschließend dazu verwendet wurde, um Finanzdaten von Kunden zu stehlen und diese an Hacker in Osteuropa zu übermitteln. Dieser Vorfall kostete das amerikanische Einzelhandelsunternehmen Target geschätzte 202 Millionen US-Dollar. Als Fazit lässt sich festhalten, dass es keine wirklich sicheren Bereiche mehr gibt – innerhalb eines Unternehmens kann es überall zu illegalen Übergriffen kommen. Und selbst wenn man im eigenen Unternehmen eine vorbildliche Cybersicherheitsstrategie implementiert, ist die Gefahr noch lange nicht gebannt. Das Beispiel von Target veranschaulicht, dass Cybersicherheitsstrategien auch auf externe Dienstleister ausgeweitet werden müssen. Auch diese müssen engmaschig überwacht werden, um zu gewährleisten, dass sie den Sicherheitsanforderungen entsprechen und dem Schutz sensibler Daten oberste Priorität einräumen.

CMMC-Zertifizierung und ihre Auswirkung auf Unternehmen

Es ist beispielsweise unerlässlich, die IT bereits in Testphasen einzubinden, um sicherzustellen, dass die Auftragnehmer Cybersicherheit von Anfang an in Chips, Komponenten und Systeme integrieren. NI ist derzeit einer der wenigen Anbieter, der die Bedeutung von CMMC-konformen Testlösungen erkannt und frühzeitig in entsprechende Maßnahmen investiert hat. Je mehr Unternehmen außerhalb der Verteidigungsbranche den Zero-Trust-Ansatz implementieren, desto stärker werden auch andere Akteure in der Lieferkette dazu motiviert, die erforderlichen Investitionen in cybersichere Geschäftspraktiken zu tätigen.

Das Zero-Trust-Modell mit CMMC-Zertifizierung bildet ein verlässliches Rahmenwerk, welches als Fundament verwendet werden kann, das jedoch kontinuierlich weiterentwickelt wird. Ständig kommen neue Herausforderungen hinzu, wie zum Beispiel die Zunahme von Remote-Arbeit und die zunehmende Verbreitung von Cloud-Speicherlösungen. In unserer neuen Welt des „Zero Trust“ erfordert der Kampf gegen Hacker die Einbindung der gesamten Lieferkette. Techniker, Ingenieure, Testteams, IT-Spezialisten und Testanbieter müssen alle miteinander vernetzt sein, um Cybersicherheit zu gewährleisten. (na)

Steve Summers, NI
(Bild: NI)

Steve Summers

Offering Manager und Leiter Sicherheit in den Bereichen Luftfahrt, Verteidigung & Regierungsangelegenheiten bei NI

Sie möchten gerne weiterlesen?