Herr Veit, was war das Besondere an den Blackouts in der Ukraine?
Das Besondere an diesem Fall ist, dass es sich hier nicht um die schon fast alltäglichen Cyberangriffe auf Unternehmensnetzwerke und Internetdienste handelt, bei denen es meist um den Diebstahl von Daten oder das – zeitweise – Ausschalten von Internetdiensten geht. Hier wurde mit der Stromversorgung eine zentrale, für die Allgemeinheit auch jenseits der IT notwendige, kritische Infrastruktur erfolgreich angegriffen. Angriffe dieser Art sind sehr aufwendig und deshalb auch glücklicherweise sehr selten.
Fachleute sind der Meinung, dass sich so ein Szenario wie in der Ukraine auch in Deutschland abspielen könnte, wie sehen Sie das?
Prinzipiell ist so ein Szenario fast überall möglich, da die Steuerung von Industrieanlagen weltweit IT-gesteuert passiert. Durch die Fragmentierung der Energieinfrastruktur in viele Energieproduzenten und Netzbetreiber in Deutschland wären Ausfälle hier aber eher lokal begrenzt.
Wie können sich Unternehmen, die kritische Infrastrukturen betreiben, wirksam schützen? Ist überhaupt ein wirksamer Schutz möglich?
Unternehmen können es Angreifern zumindest sehr schwer machen, indem sie ihre IT-Infrastruktur von Grund auf sicher anlegen, moderne Schutztechnologien einsetzen und die Infrastruktur regelmäßig von Experten überprüfen lassen.
Es handelt sich hier um ein andauerndes Wettrüsten zwischen Angreifern und Verteidigern. Während die Verteidiger jedoch hundert mögliche Angriffswege absichern müssen, benötigt der Angreifer meist nur eine einzige Lücke, um ein System zu infiltrieren. Für den Angriff auf das Stromnetz in der Ukraine hat aller Wahrscheinlichkeit nach ein großes Team von Angreifern mit mehreren Dutzend Experten zusammengearbeitet, um die Sicherheitslücken zu finden und auszunutzen. Man kann über die Auftraggeber und auch die Beteiligung staatlicher Akteure spekulieren, generell gilt aber, dass man mit ausreichend Geld und hochqualifiziertem Personal auch sehr hohe technische Hürden überwinden kann.
Der gefährlichste Faktor ist der Mensch. Stimmt das und warum sind Unternehmen hier so anfällig? Was kann man hier tun um dem gegenzuwirken?
Wenn die technischen Hürden für den Angreifer hoch und damit nur schwer – und kostspielig – zu überwinden sind, dann ist es oft einfacher, sich auf den Menschen als oft schwächstes Glied in der Abwehrkette zu konzentrieren. Der Weg, den die Angreifer hier gehen ist Social Engineering, beispielsweise durch Phishing-Emails. Mit genau solchen Phishing-Emails ist etwa in den letzten drei Jahren der größte der Teil der Ransomware in die Unternehmen gelangt. Ein gut gemachter, gezielt auf einzelne Personen ausgerichteter Phishing-Angriff, hat auch heute noch eine hohe Erfolgschance.
Social Engineering ist jedoch auch unabhängig von IT-Systemen möglich – so kommt ein Angreifer, der im Blaumann mit Werkzeugkasten in der Hand oder als Pizzabote mit einer Transportbox vor der Tür steht, heute in vielen Unternehmen an allen Sicherheitskontrollen vorbei.
Um solchen Social-Engineering-Angriffen vorzubeugen, müssen Unternehmen regelmäßig Awareness-Trainings für alle Mitarbeiter durchführen. Sophos bietet mit Phish Threat zum Beispiel eine Lösung an, mit der Mitarbeiter online trainiert werden können. Simulierten Phishing-Kampagnen überprüfen dabei, ob Mitarbeiter auf Phishing-Emails hereinfallen.
Sind Ihrem Unternehmen Fälle bekannt, in denen es schwerwiegende Hackerangriffe gab?
Die meisten Angriffe zielen weiterhin auf den Diebstahl geistigen Eigentums oder die Sabotage/Verschlüsselung von Daten mit dem Ziel der Erpressung von Lösegeld. Teilweise haben Ransomware-Infektionen dabei in verschiedensten Industriebereichen auch Teile der Produktion lahmgelegt.
Stimmt es, dass die Menge und Qualität von Hackerangriffen zunimmt?
In den letzten Jahren haben wir vor allem einen starken Anstieg von Ransomware-Angriffen gesehen. Laut einer im Januar 2018 veröffentlichten Studie von Sophos sind allein im Jahr 2017 etwa die Hälfte der weltweit befragten Unternehmen von Ransomware betroffen gewesen – obwohl diese Unternehmen Virenschutz und Firewalls im Einsatz hatten. Das ist ein Indiz dafür, dass Angreifer immer mehr Aufwand betreiben, um etablierte Sicherheitsmaßnahmen zu umgehen.
Welche Hackerangriffe sind derzeit besonders im Kommen? Welche sind die gefährlichsten?
Mit der Scharfschaltung der EU-DSGVO bietet sich Angreifern ein neues, gegenüber der verschlüsselnden Ransomware noch lukrativeres Geschäftsmodell. Anstatt Dateien lokal auf dem Unternehmensrechner zu verschlüsseln und gegen einen geringen Lösegeldbetrag den Nachschlüssel herauszugeben, zielen neue Angriffe auf den Diebstahl personenbezogener Daten ab, welche zum Angreifer übertragen werden. Sobald der Angreifer genug personenbezogene Daten gesammelt hat, kann er das bestohlene Unternehmen damit erpressen, die nicht ausreichend gesicherten Daten der Öffentlichkeit und der Aufsichtsbehörde zukommen zu lassen. Um den Reputationsverlust und die im Rahmen der DSGVO drohenden Strafen zu vermeiden, werden Unternehmen den Erpressern sehr viel höhere Lösegelder zahlen als für den Nachschlüssel zu den lokal verschlüsselten Daten der traditionellen Ransomware. In der profitorientierten, stark professionalisierten Cybercrime-Industrie wird dieses Geschäftsmodell in den nächsten Monaten massiv zulegen.
Was gehört inzwischen zum Standard-Schutz?
Am Endpoint und Server reicht der traditionelle Virenschutz schon seit Jahren nicht mehr aus. Hier werden zusätzlich signaturlose „NextGen“-Techniken wie Machine Learning/Deep Learning, Exploit-Schutz und Verhaltenserkennung eingesetzt, um auch unbekannte Bedrohungen zu erkennen. So hat beispielsweise CryptoGuard, eine Sophos-Komponente zu Erkennug bösartiger Verschlüsselung auf Workstations und Servern, fast die gesamte Ransomware der letzten Jahre nur am bösartigen Verhalten erkannt.
Am Email- und Web-Gateway gibt es NextGen-Sandboxing-Lösungen, bei denen Email-Anhänge und heruntergelandene Programme und Dokumente zunächst in einer simulierten sicheren Umgebung ausgeführt werden, um bösartiges Verhalten zu identifizieren.
Während man früher oft Workstations, Server und sogar IoT-Produktionssysteme im selben Netzwerk hatte, setzt sich im Industrie 4.0-Zeitalter zunehmend eine starke Netzwerksegmentierung durch, d.h. es werden Systeme mit bestimmten Funktion in sehr kleine Bereiche eingepackt, damit beispielsweise ein über Phishing mit Schadsoftware infizierter Büro-PC nicht auf die Steuersysteme von Maschinen und Industrieanlagen zugreifen kann.
Kleine und mittlere Unternehmen haben oft nicht ausreichend finanzielle Mittel um sich zu schützen. Was können diese tun, um trotzdem nicht Opfer von Angriffen zu werden?
IT-Sicherheit darf nicht einfach als Kostenfaktor gesehen werden, den man nachträglich einer bestehenden Struktur hinzufügt. Vielmehr muss IT-Sicherheit schon beim grundlegenden Design aller Infrastrukturen als integraler Bestandteil betrachtet werden. Da praktisch sämtliche Dienste und Prozesse im Zeitalter der Digitalisierung IT-unterstützt sind, ist IT-Sicherheit demnach Grundvoraussetzung für einen zuverlässigen Betrieb.
Da viele heute bestehenden Infrastrukturen nicht unter dieser Prämisse aufgebaut wurden, müssen hier zumindest Schutzmechanismen auf dem Stand der Technik nachgezogen werden, insbesondere NextGen-Endpoint- und Gateway-Technologien sowie eine Segmentierung des Netzwerkes.
Dazu ist es wichtig, dass die IT-Sicherheitssysteme nicht mehr unabhängig voneinander agieren, sondern als System zusammenarbeiten. Durch ein zentrales Management der Sicherheit und die zentrale Erfassung und Korrelation von Ereignissen können Bedrohungen und Hackeraktivitäten im Netzwerk besser identifiziert und betroffene Systeme atomatisch im Netzwerk isoliert werden.
Sophos hat mit Sophos Central eine Plattform zur Verwaltung der gesamten IT-Security geschaffen und mit dem Synchronized Security-Konzept agieren die Komponenten als System. Gerade für kleine und mittlere Unternehmen bietet dieses Konzept den Vorteil, dass kein spezialisiertes IT-Sicherheitspersonal zur Verwaltung benötigt wird und dass es durch die automatische Reaktion bei einer Bedrohung keine Verzögerung gibt, bis ein Administrator die Bedrohung entdeckt, analysiert und manuell reagiert.
Wird es immer bei diesem ewigen Wettrüsten bleiben, Hacker gegen Unternehmen?
Davon ist auszugehen und mit der zunehmenden Digitalisierung aller Bereiche in Unternehmen, in der Infrastruktur und allen Bereichen der Gesellschaft wird es immer mehr Angriffsvektoren und auch Angriffe geben.
Unternehmen müssen die Digitalisiserung nutzen, ihre Infrastruktur und Produktionsprozesse teilweise zu überarbeite und mit dem Fokus auf IT-Sicherheit zu gestalten. IT-Sicherheit ist einer der Faktoren für den Erfolg und die Überlebensfähigkeit von Unternehmen in der Zukunft.
Hacker greifen bevorzugt dort an, wo mit wenig Aufwand viel Geld zu verdienen ist. Wenn Unternehmen sich nach dem Stand der Technik absichern, ihre Mitarbeiter regelmäßig in IT-Sicherheitsthemen schulen und das Unternehmen regelmäßig von Experten überprüfen lassen, dann suchen sich die Angreifer meist einfachere Ziele – von denen es leider weltweit sehr viele gibt.
Was ist nötig, damit die Digitalisierung nicht aus dem Ruder läuft?
Dazu sollten die Unternehmen sich unbedingt von IT-Sicherheitsexperten beraten lassen. Diese können abschätzen, wo ein Unternehmen aktuell die größten offenen Flanken besitzt und und welche Baustellen in welcher Reihenfolge angegangen werden müssen.
Generell sind in einem pragmatischen Ansatz folgende Themen priorisiert zu behandeln:
• Netzwerksegmentierung, das heißt Abschottung einzelner Bereiche wie Industrieanlagen, Server- und Workstationsegmente
• NextGen Endpoint- + Gateway-Schutz
• Zentrales Management der kompletten IT-Security
• Sicherheit-als-System, das heißt Sicherheitskomponenten tauschen Informationen aus und reagieren automatisch bei Bedrohungen
IT-Sicherheit muss sich ab generell in der Wahrnehmung der Unternehmen von einem Kostenfaktor in einem Erfolgsfaktor wandeln, ohne den ein Unternehmen zukünftig nicht bestehen kann.
Michael Veit ist IT-Security-Experte bei Sophos
