Herr Michels, RADAR Cyber Security hat sich auf Managed Detection and Response (MDR)-Systeme spezialisiert. Was versteht man überhaupt darunter?
Sebastian Michels: Grob umrissen heißt Detection, dass man ein IT-Netz überwacht. Zum Beispiel gibt es gibt es eine Log-Datenanalyse, mit der man sehen kann, wer sich wo einloggt. Die Technik von Radar kann mit ihrer Intelligenz schon hier bekannte Angriffsvektoren erkennen oder sie bemerkt Anomalien. Wenn sich bei einem Unternehmen etwa jeden Morgen zwischen sechs und acht Uhr stets 200 Mitarbeiter einloggen und an einem Montag nur 20, erkennt das die Technik. Dann erhalten die Fachleute im Cyber-Defence-Center eine Meldung und haben evtl. schon vorab die Information, dass heute eine Betriebsversammlung ist. Dann ist klar, warum sich nur 20 angemeldet haben. Wenn das nicht der Fall ist, wird der Kunde sofort informiert und wir besprechen mit ihm was zu tun ist.
Ein anderes Beispiel: Wenn man den Netzwerk-Verkehr analysiert und die Hacker schon im Netz sind, kann die Technik erkennen, dass sensible Daten abgezogen werden. Im Normalfall sieht man dann auch, dass keine Datenströme vom Kunden ins Internet fließen oder nur sehr geringe. Ein weiteres gängiges Modul ist der Schwachstellenscan (Vulnerability Management and Compliance Module – VMC). Hier wird permanent im Netzwerk nach Lücken gesucht, die dann aber auch behoben werden müssen.
Frank Brech: Wir erkennen mit unserer Technologie, die engmaschiger als viele IT-Sicherheitssysteme funktioniert, ob Angriffe stattfinden. Klar solle man sie möglichst frühzeitig unterbinden, aber auch das klappt nicht immer sofort. Im Regelfall sollte man aber ein Eindringen von Hackern nicht nach 200 Tagen, sondern nach 30 Minuten oder fünf Stunden erkennen, damit man reagieren kann und sich die Angreifer nicht ausbreiten.
Radar Cyber Security
ist nach eigenen Angaben der einzige europäische Anbieter von Managed Detection & Response-Lösungen, der seine Dienste auf der Grundlage eigenentwickelter Technologien anbietet. Dazu gehören mehr als als 10 Jahre Forschung und Entwicklung.
Mit der Plattform-Lösung für Cybersicherheit und IT-Risikoerkennung überwache man täglich die IT-Sicherheit von Marktführern in allen Branchen sowie im öffentlichen Dienst. Radar Cyber Security gilt nach Unternehmensangaben als weltführend im Bereich Machine Learning für IT Monitoring und bezieht kontinuierlich die neuesten Erkenntnisse in seine Dienstleistungen ein. Am Hauptstandort in Wien befindet sich Europas größtes Cyber Defense Center für Managed Services.
EnBW Cyber Security
Angefangen als Innovationsprojekt hat sich die EnBW-Tochter von Anfang an auf Beratung spezialisiert und ist seit 1. Mai eine eigene Gesellschaft. Ihre Kunden, die vor allem aus dem KRITIS-Bereich kommen, werden über einen sogenannten IT-Quick-Checkt oder Penetrationstest analysiert.
Anschließend überlegt man mit dem Kunden, wie er die nötigen IT-Sicherheitsvoraussetzungen mit seinen Prozessen und Mitarbeitern erfüllen kann. Im nächsten Schritt kann ein Managed-Service von Radar Cybersecurity aufgesetzt werden, das geschieht über ein Audit oder dem Aufbau eines IT-Sicherheitsmanagement-Systems. Aktuell errichtet die EnBW-Tochter ein eigenes Cyber Defence Center in Karlsruhe mit der Technik von Radar. Darüber werden die IT- und OT-Netze der Kunden auf Angriffe und Anomalien überwacht. Aktuell habe man 70 Kunden, hauptsächlich in der Beratung.
Wie sieht es bei der aktuellen Lage aus, hat der Krieg von Russland in der Ukraine Auswirkungen auf die IT-Sicherheit, oder ist es eher generell so, dass die Angriffe zunehmen?
Brech: Cyberattacken nehmen ganz allgemein zu. Große Unternehmen sind schon immer Ziele von Angriffen gewesen. Es gibt drei Segmente: Wirtschaftskriminalität mit Erpressung, Spionage, um Schaden anzurichten. Hier geht es zum einen darum, andere Länder lahm zu legen, das ist eher die russische Variante, oder zum anderen das Thema Patente, wo die Angriffe eher aus Asien kommen. Und drittens gibt es die guten Hacker, die Schwachstellen aufspüren, aber die lassen wir hier außen vor.
Zum Beginn des Ukraine-Kriegs gab es den Fall mit den Windkraftanlagen, die sich nicht mehr fernsteuern ließen, weil man die Satelliten-Verbindung gekappt hatte. Energieversorger selbst haben aber keine so exorbitant erhöhten Angriffe. Zuletzt war ein südhessischer Versorger in den Fokus geraten, der über einen Dienstleister gehackt wurde (gemeint ist die Entega, Anmk. der Redaktion). Hier war aber nicht die kritische Infrastruktur betroffen.
Die Angriffe werden zunehmend auch automatisierter. Viele russische Gruppen schicken einfach verschlüsselt Trojaner los und irgendwer fällt darauf rein. Dann werden die Daten verschlüsselt und das ganze Prozedere geht los. Das passiert immer öfters, dass man zufällig gehackt wird und nicht gezielt. Wir nennen das Beifang.
Michels: Die erfolgreichen Angriffe haben wirklich exponentiell zugenommen. Ganz am Anfang haben vor allem nur die großen Unternehmen damit begonnen, sich mit unserer Technik zu schützen. Jetzt sind auch viele KMU ab etwa 1000 Mitarbeitern dabei.
Man hat das Gefühl, die Angreifer haben „nur“ die Büro-IT im Fokus, weniger die OT?
Brech: Hier sind die Attacken noch nicht so breit gefächert, es ist wesentlich schwieriger, hier anzugreifen und die passenden Spezialisten zu bekommen. Auch hier nehmen die Angriffe zu. Man spricht allerdings nicht so gerne über einen erfolgreichen OT-Angriff, aber wir sagen stets, es ist wichtig, dass man weiß, was passiert. Wir raten unseren Kunden dazu, erfolgreiche Angriffe publik zu machen. Denn das ist keine Schande, sondern es kann jeden treffen. Oft werden solche Attacken aber auch gar nicht erkannt, weil die Mitarbeiter nicht damit rechnen.
Michels: Häufig sind die IT-Systeme in der OT auch veraltet, so dass sehr viele Angriffsmöglichkeiten entstehen. Manche Komponenten sind hier noch von XP-Rechnern, die funktionieren gut, sind aber eben inzwischen nicht mehr up to date. Oft sind sie irgendwann vernetzt worden und so kann ich über die Windows-XP-Rechner auf Steuerungskomponenten zugreifen. Das ist ein großes Risiko. Oft ist den Kunden auch nicht klar, welche Software sie auf ihrem Campus oder in ihrem Netzwerk haben. Hier bieten wir sogenannte Technik- Assessments an: Wir analysieren die Komponenten im Netz und geben einen Überblick. Wie alt sind die Teile, wo befinden sie sich, sind sie vielleicht mit dem Internet verbunden?
Brech: Oftmals fragen gerade Stadtwerke oder kritische Infrastruktur-Anbieter dies verstärkt nach. Die Awareness ist also da, dass man hier ganz schnell etwas tun muss. Ich sage oft: Macht eure IT sauber und schützt die erst einmal.
Für mehr Schutz soll auch das IT-Sicherheitsgesetz 2.0 sorgen, darin wird auch ein System vorgeschrieben. Das müsste Ihnen gelegen kommen?
Brech: Das IT-Sicherheitsgesetz gibt uns natürlich Aufwind, weil wir schon länger darauf aufmerksam machen, dass die Unternehmen jetzt etwas tun müssen. Nun sind nicht nur die Unternehmen selbst, sondern auch die Haupt-Zulieferer bestimmten Anforderungen unterworfen. Nächstes Jahr im Mai müssen diese umgesetzt sein. Wir sind gespannt, wie das BSI dann reagiert: Wird kontrolliert? Werden gleich Strafen wie bei der Datenschutzgrundverordnung erhoben oder erst einmal verschoben? Denn es ist auch klar: Die ganzen Unternehmen werden es nicht zu diesem Termin schaffen, weil sich viele erst jetzt damit befassen. Wir haben deutlich spürbar mehr Anfragen, denn der Mai 2023 rückt näher. Wer jetzt noch nicht begonnen hat, der wird sich schwertun, im Mai fertig zu sein. Denn ein komplettes Netz überwacht man nicht einfach mal so in zwei Tagen.
Michels: Die Frage ist auch: Reicht es, wenn man sich auf den Weg gemacht hat, oder muss man schon eine Anomalie-Erkennung bis dahin eingeführt haben? Das ist aktuell nicht klar.
Brech: Gar nichts zu machen, wird vermutlich bestraft. Denn nach dem IT-Sicherheitsgesetz 2.0 müssen die Unternehmen das umsetzen. Es gilt dort auch die Geschäftsführer-Haftung und wenn sich grobe Verfehlungen nachweisen lassen, ist die Strafe nicht sehr gering. Leider wird häufig nur gehandelt, um eine Haftung zu reduzieren und nicht um das Risiko für das gesamte Unternehmen zu mindern?
Wie lange dauert es denn, bis ich Ihre Lösung installiert habe?
Michels: Das ist natürlich größenabhängig, aber bei einem Mittelstands-Unternehmen müssen sie mindestens mit sechs Monaten rechnen. Wir diskutieren in dieser Zeit die Architektur, setzen die Systeme auf und rollen sie aus, so dass der Kunde einen Basis-Schutz hat. Anschließend kommen für sechs bis neun Monate noch Feintuning und kundenspezifische Anpassungen hinzu.
Brech: Der Kunde lernt erst in der Basisversion, welche Vorteile so eine Überwachung mit sich bringt. Oft kommen dann noch weitere Bereiche dazu.
Welche Punkte setzen Unternehmen generell ungern um bei IT-Sicherheitsfragen?
Michels: Dieses häufig sehr strukturierte Abarbeiten von Backup-Systemen ist nicht sehr beliebt. Allerdings kann man mit einem Backup-Management sehr schnell Abhilfe schaffen, wenn man gehackt wurde, die Daten verschlüsselt sind und man diese wieder aufspielen kann.
Notfallpläne sind ebenfalls schwierig – immer noch. Das dritte Thema ist die Incident- und Response-Forensik. Sprich, es ist etwas passiert und jetzt muss ich das System mit echten forensischen Spezialisten analysieren, damit ich das Problem beheben kann und es nicht wieder passiert. Das ist ein Thema, auch aufgrund der Kosten, Intensität und des Personalmangels, das ungern umgesetzt wird.
Brech: Die meisten Unternehmen machen zwei- oder einmal im Jahr Brandschutz-Übungen. Die allerwenigsten machen Cyber-Schutz-Übungen. Hier wird ein Cyberangriff simuliert und dieser wird realistisch nachgespielt. Der Kunde soll hier die Abläufe und Prozesse lernen und merkt dann oftmals: Oh, ich habe gar keine Mitarbeiter, Daten oder Back-ups. Mit so einer Übung kann man Schwachstellen aufdecken, die dann im Nachgang behoben werden. Dann erstellt man Notfall-Handbücher für Cyberangriffe. Das ist wie ein Drehbuch, nach dessen Anleitung man bei einer echten Attacke vorgeht. Denn selbst bei einer Übung ist man so in Panik, dass man nicht klar denken kann. Und wenn man einen Leitfaden hat, hilft das, dass man relativ strukturiert reagieren kann. Wenn man noch die Forensiker schnell bekommt, die tief in die Technik gehen können, um den Angreifer im Netz zu isolieren, ist man gut aufgestellt. Aber gerade diese Notfall-Übungen und Szenarien werden immer noch ganz selten gemacht.
Wo drückt sonst noch der Schuh?
Michels: Meistens müssen Sie kaum einem Unternehmen erklären, dass es für seine Cybersicherheit etwas tun muss. Die meisten wissen bloß nicht genau, was sie machen müssen, weil das Thema so komplex ist. Die EnBW bietet hier Beratung an, um die Kunden abzuholen. Selbst die Großen, die relativ genau wissen, was zu tun ist, haben bei den Ausschreibungen zur IT-Sicherheit trotzdem Berater dabei. Die kleineren sind allerdings völlig überfordert mit dem Thema. Und mit kleineren Unternehmen meine ich solche, die pro Jahr eine Milliarde Umsatz machen. Trotzdem ist hier oft nicht klar, wie man das Thema angehen soll.
Brech: Was auch ganz wichtig ist, es ist immer auch ein Veränderungsprozess für die Mitarbeiter. Denn gewisse Themen müssen jetzt auf einem einheitlichen, bindenden Dashboard sichtbar gemacht werden, damit ich mein ganzes System auf einer Plattform sehe. Die Analysten arbeiten auf dieser Plattform und sehen die ganzen Anomalie-Meldungen. Damit verändert sich auch die Arbeitsweise. Das ist nicht gravierend, aber es ändert sich eben dennoch etwas. Deswegen dauert es auch dieses halbe Jahr, bis die Basisversion eingeführt ist. Denn was der CISO oder CEO möchte, heißt es noch lange nicht, dass die Mitarbeiter sagen „Wir sind begeistert, das wollen wir“. Auch das ist ein Prozess, den man im Unternehmen klären muss.
IT-Sicherheit ist vermutlich auch sehr teuer?
Michels: Die Großen haben das Thema schon im Fokus, die müssen das aufgrund ihrer internen Compliance umsetzen. Jetzt nehmen sie mal die ganz kleinen, die sind damit völlig überfordert. Die brauchen die gleichen Tools. Wenn ich aber als kleines KMU einen beträchtlichen Teil meines Umsatzes für Cyber Security ausgeben muss, wie soll ich das machen? Mit dem derzeitigen Ansatz bleiben diese Unternehmen auf der Strecke.
In der neuen Cyber-Sicherheitsagenda des Bundesinnenministeriums ist vorgesehen, dass auch kleinere Unternehmen gefördert werden. Damit könnten sich diese auch einen Basis-Schutz holen, denn sonst kann sich das keiner leisten. Am Ende sind die Unternehmen insolvent oder müssen Lösegeld zahlen und sind dann auch kaputt. Für kleine Unternehmen ist das ein echtes existenzielles Risiko.
Die Fragen stellte Stephanie Gust
