Sicherheitsrisiken vermeiden in Zeiten der Digitalisierung

Die Seuche greift um sich

Gut gerüstet für die digitale Transformation?

Konzerne, Mittelständler, Freelancer, Industriebetriebe, Dienstleister und Händler: Sie alle müssen sich digital transformieren oder sind schon mittendrin, um im Wettbewerb weiter bestehen zu können. Einst abgekapselte Systeme und Anlagen werden vernetzt und öffnen sich nach außen. Damit werden plötzlich Anlagen und Maschinen zugänglich, die zwar Produktionen über Jahrzehnte hin sicher steuerten, aus Sicht der IT-Sicherheit aber veraltet sind.

Mit der zunehmenden Vernetzung der Maschinen und Entwicklung künstlicher Intelligenz kommen aber auch neue Cyberrisiken auf Unternehmen zu: IT-Ausfälle, Spionage, Datenmissbrauch. Immer öfter attackieren Kriminelle die neuen Netze, verseuchen sie mit Viren, manipulieren Computerprogramme, stehlen Daten oder erpressen Geld. Der Gewinn aus Erpressung und Wirtschaftsspionage ist dabei gewaltig. Diesen Sicherheitsrisiken können IT-Verantwortliche nur mit umfassenden Sicherheitslösungen und einer durchdachten Strategie entgegentreten.

So einfach dringen Hacker in die IT-Systeme ein

Sicherheitsrisiken vermeiden Aus Sicht von Hackern und Kriminellen ist es häufig erstaunlich einfach, in die Netzwerke einzudringen. Denn – für uns IT-ler mit Sicherheitsschwerpunkt schwer vorstellbar – viele große Industrieanlagen laufen auf dem Betriebssystem Windows XP. Dies hat sich als gut und unproblematisch erwiesen, solange keine Verbindung nach außen bestand. Wird eine solche Anlage an das Internet angeschlossen, ist sie völlig ungeschützt. Denn bekanntermaßen wird Windows XP jedoch nicht mehr aktualisiert, wodurch Sicherheitslücken nicht mehr geschlossen werden.

Nun könnte die Lösung auf einem Wechsel des Betriebssystems liegen. Könnte. Denn so einfach ist es nicht: Industrieanlagen bestehen aus verschiedensten Soft- und Hardwarekomponenten unterschiedlicher Hersteller. Nicht immer weiß man genau, welches Teil eigentlich mit welchem „spricht“. Häufig sind getrennte Systeme miteinander verbunden, die eigentlich getrennt bleiben müssten. Das ist ein Angriffspunkt für unerwünschte Besucher.

Hinzu kommt: Auch die Administrative ist hoch vernetzt und Arbeitsbereiche sind digital miteinander verbunden. Die Abwicklung von Auftragsannahme, Bestellvorgang, Lagerverwaltung, Auslieferungen, Rechnungsstellung soll ja effizient von der Hand gehen. Ist z.B. ein Office-Programm mit der Produktionssoftware verbunden, sei es auch nur, weil ein WLAN-Netz unternehmensweit ausgerollt und eine einzige Maschine darauf Zugriff hat, ist die Schutzmauer gebrochen.

Hintertüren – Neuralgische Angriffspunkte

Die (Fern-)Wartung

Maschinen werden heutzutage gemietet oder geleast. Die Verantwortung für diese Maschinen liegt damit beim Hersteller und da dessen Techniker nicht überall sein können, warten sie die Maschinen häufig aus der Ferne. Der dafür benötigte Zugang kann geknackt werden.

Der eigene Mitarbeiter

Es muss nicht immer gleich Social Engineering sein – ein geschicktes Vorgehen von Cyberangreifern um durch eine geschickte „Charmeoffensive“ einzelnen Mitarbeitern Passwörter oder andere Zugangsdaten zu entlocken. Beispielsweise bauen sich Programmierer während der Entwicklungsphase gern und häufig Hintertüren in die Systeme, um im Notfall leichter zugreifen zu können. Diese Hintertüren sind auch potenzielle Angriffspunkte für Hacker.

Veränderte Arbeits- und Kommunikationsprozesse

Mitarbeiter sind heutzutage viel häufiger unterwegs als früher oder arbeiten von zu Hause aus. Ob so oder so: Sie müssen nicht nur stets erreichbar sein, sondern auch Zugriff auf wichtige, zentral gelagerte Daten haben. Allzu häufig werden jedoch privaten Geräte für berufliche Aufgaben verwendet. Die Nutzung privater Geräte zu Arbeitszwecken setzt Unternehmen jedoch großen Sicherheitsrisiken aus. Fehlende oder zu seltene Sicherheitsupdates machen die Geräte anfällig für Bedrohungen. Eine robuste Endpoint-Security, wie sie auf vom Arbeitgeber bereitgestellten Geräten zu finden ist, ist im privaten Bereich eher selten. Und nicht zu vergessen: Mobilgeräte können verloren gehen – und damit auch gleichzeitig die auf ihnen gespeicherten Daten. Sind die nicht ausreichend gesichert, erhalten Unbefugte Zugriff auf Datenbestände im Unternehmen.

Geschäftspartner und Kunden

Im Rahmen digitaler Geschäftsprozesse werden verstärkt auch Kunden und Geschäftspartner zum Risikofaktor. Denn sind deren Endgeräte infiziert, gehen sie verloren oder geraten sensible Kundeninformationen durch unachtsames Verhalten des Kunden in falsche Hände, kann im eigenen Unternehmen beträchtlicher Schaden entstehen. Ähnliches gilt für Zulieferer und Händler: Die steigende digitale Kooperation über Unternehmensgrenzen hinweg vergrößert die Angriffsfläche für Cybercrime weiter.

Angst vor Cyberattacken verlangsamt Digitalisierung

Sicherheitsrisiken vermeiden Digitalisierung erhöht die Angriffsfläche für Angreifer dramatisch. Laut einer Studie „IT-Sicherheit im Rahmen der Digitalisierung“ der Bundesdruckerei verlangsamen IT-Sicherheitsbedenken die digitale Transformation bei jedem zweiten Unternehmen in Deutschland. Jedes fünfte Unternehmen (21 Prozent) befürchtet Umsatzverluste, da es die Digitalisierung aus Angst vor IT-Sicherheitsvorfällen nicht schnell genug vorantreibt.

Zwei Drittel aller befragten Unternehmen rechnen mit steigenden IT-Sicherheitsrisiken durch die Digitalisierung. Laut dieser Umfrage fühlt sich nur fast jedes dritte Unternehmen (29 Prozent) gut gerüstet für die digitale Transformation.

Sicherheitsrisiken vermeiden

Dass diese Ängste nicht von ungefähr kommen, belegt ein Studienbericht des Branchenverbandes Bitkom: Bereits 2016 war gut die Hälfte aller Unternehmen in Deutschland schon einmal von Datendiebstahl, Sabotage oder Spionage betroffen. Weitere 28 Prozent der befragten Unternehmen äußerten den Verdacht, dass es bei ihnen bereits zu einem solchen Vorfall gekommen sei. Der Schaden für die deutsche Wirtschaft ist dabei immens: Schätzungen zufolge beläuft er sich auf 51 Milliarden Euro pro Jahr.

Cyberangreifer sind Spezialisten ihres Fachs

Sicherheitsrisiken vermeiden Je stärker sich das Geschäft in das Internet verlagert, je vernetzter die Wertschöpfung und je mobiler die Belegschaft werden, desto größer werden die zu schließenden Sicherheitslücken und umso höher fallen die Schäden aus. Doch nicht nur die Angriffsfelder weiten sich aus, auch werden die Angreifer immer professioneller. Waren anfangs Einzelkämpfer oder abgeschottete kriminelle Organisationen die Übeltäter, kann man heute von einer gut organisierten Industrie und hochprofessionellen Spezialisten sprechen. Damit gestaltet sich aber auch die Abwehr von Attacken schwieriger.

Ständig neue Bedrohungen

Cyberkriminelle agieren schnell und sind erfinderisch. Ständig suchen sie nach neuen  Möglichkeiten, um Unternehmen anzugreifen und an Firmen- bzw. Kundendaten oder Geld zu kommen. Zwei Phänomene der letzten Jahre sind beispielsweise der digitale Enkeltrick sowie die Erfindung von Verschlüsselungstrojanern.

CEO Fraud

Sicherheitsrisiken vermeiden Das Phänomen des Enkeltricks ist zurück – jetzt aber digital: Betrüger versenden geschäftliche E-Mails an Mitarbeiter, um sie dazu zu bewegen, ganz bewusst sensible Daten oder Geld zu versenden. Dabei geben sich die Kriminellen als Chef oder Mitglied der höheren Managementebene aus und fordern Mitarbeiter mit fingierten E-Mails auf, Geld oder Daten zu transferieren. Das Besondere an dieser Art der Cyberkriminalität: In Zeiten, in denen wir es gewohnt sind, Arbeitsanweisungen per E-Mail zu erhalten, wird mit sehr gut gefälschten Mails an die Loyalität von qualifizierten und vertrauenswürdigen Mitarbeitern appelliert.

Ransomware

Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder gänzlich verhindern und für die Freigabe ein Lösegeld erpressen, sind seit 2015 auf dem Vormarsch. Locky und TeslaCrypt haben es in diesem Zusammenhang zu unrühmlicher Bekanntheit gebracht. Derartige Ransomware-Varianten verschlüsseln Daten mithilfe sicher anzusehender Algorithmen, so dass eine Entschlüsselung kaum bis gar nicht möglich ist. Weil der Leidensdruck für die Betroffenen so hoch ist, zahlen Opfer in vielen Fällen das geforderte Lösegeld. Im Unterschied zu klassischer Schadsoftware tritt der Schaden unmittelbar ein und hat direkte Konsequenzen für die Betroffenen: Auf Unternehmensdaten kann nicht mehr zugegriffen oder kritische Dienstleistungen nicht mehr erbracht werden.

Von der umfassenden Sicherheitsstrategie…

Unternehmen sind mehr denn je darauf angewiesen, sich auf allen Ebenen gegen Cyberattacken aller Art, Ausspionieren und die unbefugte Nutzung, den Diebstahl, die Manipulation oder auch den ungewollten Verlust ihrer Daten zu schützen, wenn sie überleben wollen.

Allerdings reichen dazu heute die bisherigen Strategien, die sich auf die Sicherung der Grenzen des eigenen Netzwerks und der Endpunkte fokussierten, nicht mehr aus. Eine umfassende Strategie mit einem Bündel von Initiativen ist erforderlich. Dazu gehören genauso Lösungen für die Verbesserung von Bandbreite und internem Zugriff, wie für die Sicherung und Wiederherstellung von Daten und Systemen, sowie Maßnahmen zur Vorbeugung gegen Datenverluste (Data Loss Prevention) und für den Schutz mobiler Geräte.

Virenschutz, Firewalls und externe Speicherlösungen können nur die Basis bilden. Darauf aufbauen müssen Lösungen zur Verschlüsselung, Replikation und Archivierung, um den Schutz, die Ausfallsicherheit und Wiederherstellung von Daten und Infrastruktur zu verbessern. Das allein reicht jedoch unserer Ansicht nach nicht aus. Es muss ein kompletter Kulturwandel stattfinden!

… zum kompletten Kulturwandel

Sicherheitsrisiken vermeiden Und der fängt an bei all den Programmierern, Systemadministratoren und IT-Fachleuten. Sie müssen verstehen, dass Produktionssicherheit genauso wichtig ist wie Datensicherheit. Dazu sollten Fragen nach der kontinuierlichen Verbesserung von Systemen und der scharfen Trennung von Abteilungen wie Forschung und Produktion und Fertigung und Verwaltung beantwortet werden. Müssen eventuell sogar Anlagen vom Netzwerk abgekapselt werden, weil Sicherheitsupdates die Produktion beeinträchtigen könnten? Denn auch in einer 4.0-Industrie muss nicht jeder Sensor mit der ganzen Welt kommunizieren können.

Abschottung allerdings ist fehl am Platz: Wer die Bedrohungslage genau kennt, weiß wie er die wichtigen Dinge am besten schützen kann. Dazu gehört es auch, Angriffe bis zu einem bestimmten Level zuzulassen und genau zu beobachten, was die Angreifer suchen und wie sie „ticken“.

Bleibt die Schwachstelle Mensch. Aber auch sie kann man bis zu einem gewissen Grad kontrollieren: Können Mitarbeiter nur auf die Teile eines Netzwerks zugreifen, die sie für ihre Arbeit brauchen, wird möglicher Schaden deutlich minimiert.

Fazit

Auch das ausgefeilteste Sicherheitskonzept wird ein Restrisiko niemals komplett ausschließen. Es kann es jedoch auf ein Minimum reduzieren. Strategisch erstellte Sicherheitskonzepte können dabei helfen, Risiken zu erkennen, zu bewerten und mögliche Schäden vom Unternehmen abzuwenden. Ihr Erfolg beruht aber letztlich darauf, dass ihre Erstellung und Umsetzung in den richtigen Händen liegt: Unternehmen müssen eine Balance finden zwischen der totalen Abschottung sensibler Daten, der Nutzerfreundlichkeit sowie der Wirtschaftlichkeit von IT-Systemen.

Effiziente Sicherheitskonzepte reduzieren IT-Ausfälle, Spionage und Datenmissbrauch. Welche Vorkehrungen haben Sie bereits getroffen? Ich freue mich über Ihre Kommentare und weitere Anregungen.

geschrieben von: Robert Becker

Robert Becker

Robert Becker ist bei GBS als Product Manager Security & Collaboration tätig. Hier verantwortet er die Verbindung der Produktwelten und ist gleichzeitig Schnittstelle zwischen Produktmanagement, Sales und Marketing.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!

Posted in:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.