Herr Kögel, Fachleute sind der Meinung, dass sich so ein Szenario wie in der Ukraine, wo die Stromversorgung gehackt wurde, auch in Deutschland abspielen könnte, wie sehen Sie das?
Deutschland ist gut aufgestellt, was die Absicherung kritischer Systeme für die Stromversorgung angeht. Sollten jedoch kombinierte und langanhaltende Angriffe mit einer ähnlichen Vorgehensweise wie in der Ukraine erfolgen, könnte dies auch bei uns zu vergleichbaren Ausfällen führen. Die Notfall- und Krisenbewältigung ist in Deutschland allerdings gut vorbereitet: Auf Basis des IT-Sicherheitsgesetzes wurden Prozesse eingeführt und Planübungen durchgeführt, die im Fall eines Blackouts schnell greifen.
Wie können sich Unternehmen, die kritische Infrastrukturen betreiben, wirksam schützen? Ist überhaupt ein wirksamer Schutz möglich?
Entscheidend bei der Absicherung von kritischen Infrastrukturen ist ein Umdenken bei den Sicherheitsstrategien. Mit Antivirensoftware und herkömmlichen Firewalls allein lassen sich Angreifer heute nicht mehr abhalten. Benötigt werden stattdessen Sicherheitslösungen, die nicht auf die Angreifer reagieren, sondern diese „proaktiv“ aus dem IT-System fernhalten. Ein Beispiel für eine solche proaktive Lösung ist ein virtueller Browser, der von allen anderen Anwendungen und Daten hermetisch getrennt ist. Viren, Trojaner, Ransomware & Co. bleiben in der virtuellen Umgebung eingeschlossen und können sich nicht verbreiten.
Kritische Infrastrukturen benötigen zudem neue „proaktive“ Firewall-Technologien. Herkömmliche Firewalls arbeiten mit sogenanntem „Blacklisting“: Datenpakete mit bekannten Angriffsmustern werden geblockt, alle anderen Daten werden durchgelassen. Gegen neue und unbekannte Angriffe bleiben solche Mechanismen wirkungslos. Next- Generation Firewalls lassen nur die Datenpakete passieren, die sich als gutwillig identifizieren können. Alle anderen, auch die unbekannten, werden abgewiesen. Dieses als „Whitelisting" bezeichnete Verfahren bietet sich besonders im Intranet und für SCADA- und IoT-Netzwerke an.
Betreiber kritischer Infrastrukturen benötigen zudem Firewalls, die im Inneren des Netzes arbeiten und dieses in mehrere Zonen segmentieren. Solche „Brandabschnitte“ sorgen dafür, dass im Falle eines Angriffs der Schaden nicht auf das gesamte Netzwerk übertreten kann. Mit solchen Sicherheitslösungen ist tatsächlich ein wirksamer Schutz möglich.
Oft heißt es, der gefährlichste Faktor ist der Mensch? Stimmt das und warum sind Unternehmen hier so anfällig? Was kann man hier tun um dem gegenzuwirken?
Es stimmt: Sehr häufig gelangen Hacker durch Fehler der Mitarbeiter in das Netzwerk eines Unternehmens. Mit immer raffinierteren Phishing-Mails werden Mitarbeiter beispielsweise verleitet, auf Anhänge zu klicken oder Webseiten zu besuchen, über die ein Hacker dann Zugang zum System erhält oder eine Schadsoftware eindringen kann.
Nicht zu unterschätzen ist der bewusste Angriff von innen – wenn zum Beispiel Mitarbeiter auf sensible Dokumente zugreifen und diese weitergeben. Ob aus Frust oder um Geschäfte zu machen: Mitarbeiter werden zu einer immer größeren Gefahr für die Datensicherheit im Unternehmen.
Verbreitet ist auch das sogenannte Social Engineering: Durch verschiedene Methoden wird versucht, das Vertrauen einer bestimmten Person zu erhalten, damit diese Login-Namen und Passwörter preisgibt. Nachlässigkeiten, wie Mobilgeräte ohne Passwortschutz oder öffentliche Telefonate zu sensiblen Inhalten, sind weitere Beispiele.
Senken lässt sich das Risiko „Mitarbeiter“ mittels Sicherheitstrainings, klar und verständlich formulierten Richtlinien, Weiterbildungs- und Motivationsmaßnahmen sowie entsprechenden Sicherheitslösungen, die das Ausmaß menschlicher Fehler reduzieren. Entscheidend ist außerdem der Aspekt „Usability“: Nur wenn Sicherheitslösungen einfach zu bedienen sind, werden sie tatsächlich genutzt.
Welche Hackerangriffe sind derzeit besonders im Kommen? Welche sind die gefährlichsten?
Immer raffiniertere Phishing-Mails und Attacken, die sich automatisch über Netzwerke verteilen, machen es Hackern immer leichter, Daten abzugreifen oder Prozesse zu sabotieren. Mit der steigenden Digitalisierung nimmt gleichzeitig die Anzahl der Angriffsflächen zu. Schwer zu stoppen sind vor allem sogenannte „Zero-Day-Exploits“. Dieser Angriffstyp nutzt gezielt Lücken in der Sicherheit aus, bevor diese entdeckt und geschlossen werden können.
Für Spionageangriffe kommen häufig sogenannte „Advanced Persistent Threats“ (APT) zum Einsatz. Bei dieser Art von Angriff verschafft sich eine nicht autorisierte Person Zugriff auf ein Netzwerk und hält sich dort so lange wie möglich unentdeckt auf, um sogenannte Hintertüren zu legen, die sich für die Spionage nutzen lassen.
Neben Spionage ist zurzeit vor allem die Erpressung durch Hacker mittels Ransomware, welche PC und Datenbestände verschlüsselt, eine der größten Bedrohungen für Unternehmen. WannaCry und Petya haben gezeigt, wie schwer diese Angriffsart aufzuhalten ist. Die Angreifer nutzen Zero-Day-Exploits, um in die Systeme zu gelangen. Herkömmliche Antivirensoftware ist auch hier machtlos. Das machte den Angriff so gefährlich.
Kleine und mittlere Unternehmen haben oft nicht ausreichend finanzielle Mittel um sich zu schützen. Was können diese tun, um trotzdem nicht Opfer von Angriffen zu werden?
Kleine und mittlere Unternehmen sollten gezielt einige wichtige Sicherheitsmaßnahmen ergreifen. Besonders effektiv ist es, Angriffe über das Internet mit einem virtuellen Browser zu stoppen. Denn 70 Prozent aller Angriffe erfolgen heute über einen Browser bzw. die besuchte Webseite. Den „Browser in the Box“ bietet Rohde & Schwarz Cybersecurity auch als Software-Only-Lösung mit integrierter Managementoberfläche an. Unsere Distributoren haben auf diese Weise die Möglichkeit, auch kleineren Unternehmen das Produkt anzubieten. Wichtig ist zudem eine auf die Größe des Unternehmens zugeschnittene Firewall.
Helko Kögel ist Director Consulting von Rohde & Schwarz Cybersecurity.
Weitere Artikel der ZfK-IT-Sicherheitsserie:
