robsonphoto - stock.adobe.com
Cyberwarfare wirft seine Schatten auf Deutschland
Längst hat die geopolitische Lage Folgen für die Bedrohungslage in Sachen Cyberangriffen für hiesige Unternehmen. Darauf müssen sich Firmen mit ihrer Cyberabwehr einstellen.
Cyberwarfare, beziehungsweise die Gefahr Opfer eines Kollateralschadens durch einen Cyberangriff zu werden, der als Akt des Cyberwars angesehen wird, war lange Zeit ein Thema, das für deutsche Unternehmen fast keine Relevanz hatte. Diese Thematik betraf weit weg Unternehmen und Organisationen in den USA, bei denen bereits seit Jahren über die Bedrohungslage und deren Bedeutung für Standorte im Ausland diskutiert wurde. In Deutschland konnten sich die Sicherheitsverantwortlichen lange auf die Abwehr von Cyberbedrohungen konzentrieren, die vor allem auf den Diebstahl von Daten und die Lösegelderpressung abzielten. Diese Attacken waren in den meisten Fällen zielgerichtet und verfolgten ein klares Ziel und konnten nach einer gewissen Aufarbeitungszeit remediert werden.
Nach dem 24. Februar 2022 hat sich diese Situation geändert. APT-Gruppen wie Killnet und andere haben westeuropäischen Regierungen und deren angeschlossenen Institutionen und Unternehmen im Falle einer Unterstützung der Ukraine mit Vergeltung gedroht. Im März 2022 wurde bekannt, dass eine Wiper-Malware in ganz Europa Modems unbrauchbar gemacht hatte, die für die Fernsteuerung von Windkraftanlagen genutzt wurden. Mehrere Hundert von ihnen musste im Zuge dieser Cyberattacke ausgetauscht werden. Ausgangspunkt war wohl eine Cyberattacke eines unbekannten Angreifers auf das Satellitennetzwerk KA-Sat, dass in der Ukraine bis vor dem Krieg für die Satellitenbilder sorgte. Erst im April konnte die Fernverbindung zu den Windrädern wiederhergestellt werden – mit erheblichen Kosten.
Zuletzt hatte die Hacktivisten-Gruppe, die sich Killnet nennt, Anfang 2023 in Deutschland zahlreiche Flughäfen, Fluggesellschaften und Banken ins Visier genommen und mit dem einfachen wie wirkungsvollen Mittel von DDoS-Angriffen deren Webseitenpräsenzen zeitweise unerreichbar gemacht. Diese vor allem auf Unterbrechung von IT-Services und bei Wiper-Malware wie in der Ukraine gesehen, auf Zerstörung von IT-Systemen ausgerichteten Attacken, zeigen die zuvor erwähnte neue Qualität, mit der sich auch Unternehmen auseinandersetzen müssen. Denn frappierend ist die Wahllosigkeit, mit der die Angreifer vorgehen. Es ist scheinbar völlig irrelevant, ob die genannten Branchen in den Konflikt involviert sind, oder nicht. In den oben beschriebenen Fällen handelte es sich um kritische Infrastrukturen, deren Services von Millionen Menschen täglich genutzt werden und die deshalb ins Visier der Hacktivisten geraten sind.
Staatliche Regulierung als Compliance-Treiber: IT-SiG 2.0, NIS-2 und B3S
Regierungen, Sicherheitsdienste und damit verbundene zuständige Behörden in der EU setzen beim Thema Cyberwar als Teil der Cyberabwehr auf nationale und supranationale Gesetzgebung. Zum Jahreswechsel 2022/2023 hat sich die EU dazu entschieden, die Cybersicherheit innerhalb der Union zu stärken und in diesem Rahmen die Cybersicherheitsanforderungen an Mitgliedstaaten aktualisiert und die NIS-2-Initiative ins Leben gerufen. Sie soll Unternehmen stärker an die Hand nehmen, damit diese sich eingehender mit ihren Software-Stücklisten (Assets) befassen, den Fokus auf die Absicherung ihrer Netz- und Informationssysteme setzen und ihre Lieferketten schützen. Anfang 2023 ist die NIS-2-Richtlinie in Kraft getreten. In Deutschland sorgen das IT-Sicherheitsgesetz 2.0 – beziehungsweise B3S in der Gesundheitsbranche – dafür, dass Unternehmen und vor allem Betreiber von KRITIS ihre Cybersicherheit erweitern.
Cyberwar: Wirklichkeit oder Zukunft?
Die Ergebnisse einer Studie zeigen, dass bereits im Jahr 2022, 59 Prozent der deutschen Unternehmen mindestens eine Datenschutzverletzung erlebt haben. Inwieweit es sich hierbei bereits um Cyberangriffe gehandelt hat, die sich als Akt des Cyberwars deklarieren lassen, ist unbekannt. Wichtiger erscheint, wie die Firmen darauf reagieren. Ebenfalls 59 Prozent der befragten IT-Experten gaben Datensicherung als eine der relevantesten Strategien zum Schutz ihres Unternehmens an. An zweiter Stelle folgte mit 61 Prozent, dass der Datenschutz hinsichtlich der Cybersicherheit die höchste Priorität eingeräumt wird. Nicht die Absicherung der Netzwerke oder die Erkennung von Cyberangriffen stehen also oben auf der Agenda, sondern der Schutz dessen, was im Zweifel von Behörden mit Strafzahlungen geahndet wird.
Die Daten zeigen also eine klare Diskrepanz zwischen der Sicherheitslage, die zuständige Behörden durch Gesetzgebungen erreichen wollen, und der Meinung von IT- und Sicherheitsexperten. Leider geben zudem 78 Prozent der Befragten an, dass Cyberrisiko-Frameworks, wie sie von NIST, dem BSI und anderen vergleichbaren Einrichtungen vorgeschlagen werden, noch nicht in ihren Unternehmen implementiert wurden. Diese Richtlinien tragen dazu bei, die Voraussetzungen für die Erkennung von Cyberangriffen nach dem PPT-Prinzip (People, Process und Technology) zu schaffen. Eine mangelnde Identifizierung von Cyberrisiken bedeutet darüber hinaus, dass Unternehmen nicht wissen, welche Assets sich in ihrem Bestand befinden und welche Risiken sie für den Geschäftsbetrieb darstellen. Die Studie zeigt dann folgerichtig auf, dass nur 27 Prozent der Befragten in Asset-Management investieren – und das heißt, 73 Prozent tun dies nicht.
Schutzmaßnahme Cyberversicherung
Eine automatisierte Sicherheitserkennung, die die Reaktion auf Eindringungsversuche und Angriffe beschleunigen könnte, scheint Unternehmen nicht so wichtig zu sein wie der Abschluss einer Cyberversicherung. Viele Unternehmen, vor allem mittelständische, haben bereits in der Vergangenheit auf die zunehmend unsichere Lage im Cyberspace auf den Abschluss von Cyberversicherungspolicen gesetzt. Doch bei einem Sicherheitsvorfall, der sich im Zuge der forensischen Untersuchung und Aufklärung als Cyberangriff als Teil des Cyberwars entpuppt, scheint sie nicht immer zu gelten. Einige Rechtsanwälte sind der Meinung, dass es hierbei auf den Aggressor ankommt. Kann eine staatliche Beteiligung also ein Cyberangriff auf staatlicher Anweisung nachgewiesen werden, sollte der Sicherheitsvorfall als Cyberwar deklariert werden. Aber nur dann, wie rechtlich argumentiert wird. Es bleibt abzuwarten, wie sich der Versicherer im Zweifelsfall entscheidet. In der Vergangenheit drohten Versicherungsunternehmen bereits sich aus dem Markt zu verabschieden, nachdem Ransomware-Gruppen ihre Lösegeldforderungen den Versicherungssummen angepasst hatten. Sich auf eine solche Police zu verlassen, ist angesichts der aktuellen Bedrohungslage daher keine gute Idee.
Schatten-IT als Angriffsfläche
Zwar gehen einige der Befragten der Studie davon aus, dass ihre Unternehmen ausreichend auf Cyberwarfare vorbereitet sind, doch die meisten halten die Bereitschaft ihres Unternehmens für unzureichend – und das zurecht. Experten sind sich darüber einig, dass mehr Mittel für Cybersicherheit bereitgestellt werden müssen, um sich gegen die Auswirkungen des Cyberwars zu rüsten. Das Asset-Management wird als ein wichtiger Teil einer proaktiven Cybersicherheitsstrategie bislang unterschätzt, um bislang unbekannte IT-Systeme, -Komponenten und Anwendungen aufzuspüren. Das Problem: Diese Schatten-IT stellt eines der gefährlichsten Einfallstore dar. Eindringlinge können erst nach Auffinden der kompromittierten Systeme enttarnt und Gegenmaßnahmen in Gang gesetzt werden. Das Gefährdungspotenzial Schatten IT wird durch die zerstörerische Kraft des Cyberwars noch verstärkt.
„Eine automatisierte Sicherheitserkennung, die die Reaktion auf Eindringungsversuche und Angriffe beschleunigen könnte, scheint Unternehmen nicht so wichtig zu sein wie der Abschluss einer Cyberversicherung.“
Mirko Bülles, Armis
Die europäische NIS-2 wird jedoch dazu beitragen, diese Lücke zu schließen. Artikel 18 dieser Richtlinie schreibt ein Mindestmaß an konformen Funktionen und Technologien vor, die eine wesentliche oder wichtige Einrichtung implementieren muss. Wenn diese Mindestanforderungen nicht eingehalten werden, erwarten das Unternehmen nun auch Geldstrafen von bis zu 10 Millionen Euro oder zwei Prozent der weltweiten Umsätze (gemäß Artikel 31). Die erste Anforderung stellt eine angemessene Risikoanalyse dar. Unternehmen müssen für eine geeignete Risikoanalyse alle kritischen Assets kennen. Die meisten Unternehmen betreiben jedoch noch keine Asset-Bestandsaufnahme oder ihre Bestandslisten sind veraltet oder unvollständig. Um dies zu beheben, bedarf es der Einführung moderner Technologien zur Sichtbarkeit von Assets und zur Verwaltung derselben.
Fazit
Unternehmen in Deutschland konnten sich lange Zeit als Zuschauer aus der Ferne auf die akuteren Cyberbedrohungen konzentrieren. IT-Sicherheitsabteilungen waren in der Lage sich auf Cyberbedrohungen wie Ransomware zu fokussieren. Sie mussten in den letzten Jahren weniger in den Schutz vor DDoS- und anderen rein zerstörerischer Malware und entsprechenden Hackertechniken investieren. Zudem war die Gefahr zum Opfer eines Cyberangriffs zu werden, weniger der politischen Großwetterlage ausgeliefert. Die Zeiten haben sich jedoch geändert und Firmen sollten mit einem massiven Cyberangriff rechnen, der zeitweise vielleicht große Teile des Internets außer Gefecht setzen könnte. Nach der Zäsur am 24. Februar 2022 sollten deshalb auch die letzten deutsche Unternehmer verstanden haben, dass ihre Unternehmungen stärker gefährdet sind und ihre IT-Systeme besser schützen. Sicherheitsverantwortlichen müssen mehr denn je auf Technologien zur automatisierten Erkennung von unbekannten Assets setzen, um im Zweifel schnell auf IT-Sicherheitsverletzungen reagieren zu können.
Über den Autor:
Mirko Bülles ist Director Technical Account Management EMEA bei Armis.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.