Seit bereits vielen Jahren ist ein weltweiter Cyberwar zu beobachten. Der Ansicht einiger nach handelt es sich hierbei lediglich um eine Fortsetzung des bestehenden „stillen Cyberwars“: jüngste geopolitische Instabilitäten, Malware und Kampagnen zum Diebstahl geistigen Eigentums, die von Russland, China, Iran und Nordkorea ausgehen und sich gegen viele westliche und NATO-Staaten richten (und umgekehrt).
Mit anderen Worten: Es habe sich nicht viel geändert und Organisationen hätten wenig zu befürchten, solange sie nicht zu eng mit den Zielstaaten zusammenarbeiten, auf die die Angriffe abzielen.
Vertreter dieser Ansicht unterliegen damit jedoch einem Irrglauben – denn es hat sich viel verändert. Der Cyberwar zielt weit über staatliche Einrichtungen hinaus und betrifft mittlerweile alle Arten von Organisationen auf der ganzen Welt. Tatsächlich haben sich kriminelle Akteure, die es auf Staaten abgesehen haben, und solche, die auf finanziellen Profit aus sind, zusammengeschlossen. Sie tauschen untereinander das Wissen über Angriffstechniken aus und nutzen Bedrohungsvektoren gegen jede Art von Ziel. Alle Organisationen sind nun potenzielle Ziele, wobei kritische Infrastrukturen, hochwertige Betriebstechnologie in der Fertigung und Ziele aus dem Technikbereich ganz oben auf der Liste stehen.
Cyberangriffe auf kritische Infrastrukturen (KRITIS), Hersteller und Technologieunternehmen sind so häufig geworden, dass die CISA die „Shields Up“-Initiative eingeführt hat, die aktuelle Informationen darüber liefert, wie sich Russlands laufende Aktionen auf Organisationen jenseits des unmittelbaren Kriegsgebiets auswirken, sowie Hinweise zur Verhinderung von Cyberangriffen. Wenn Unternehmen der CISA Cyber-Vorfälle schnell melden, kann die CISA diese Informationen zur Hilfeleistung nutzen. Außerdem kann sie rechtzeitig Warnungen aussprechen, um andere Organisationen und Einrichtungen davor zu bewahren, Opfer eines ähnlichen Angriffs zu werden.
Industrie und Fertigung sind nicht mehr sicher
In jüngster Zeit nehmen Cyberangriffe immer mehr die Betriebstechnik (OT) und die industriellen Kontrollsysteme (ICS) in Produktionsbetrieben aller Branchen ins Visier.
Zwei bemerkenswerte Beispiele aus jüngster Zeit sind die Ransomware-Attacke auf den japanischen Reifenhersteller und ein mutmaßlicher Cyberangriff auf japanische Toyota-Werke. Letzterer Angriff war womöglich politisch orientiert, denn er ereignete sich am selben Tag, an dem Japan sich dem Westen anschloss und Transaktionen mit der Zentralbank der Russischen Föderation einschränkte. Die meisten kriminellen Hacker wollen sich jedoch finanziell bereichern und werden nicht nur von geopolitischen Erwägungen geleitet.
Gartner postulierte im Juni, dass Bedrohungsakteure bis 2025 in der Lage sein werden, operative Technologieumgebungen erfolgreich als Waffe einzusetzen, um menschliche Verluste zu verursachen. Das bedeutet, dass sich die Situation für Unternehmen, die sich nicht angemessen geschützt haben, noch verschärfen wird. Angriffe auf kritische Infrastrukturen haben von 2013 bis 2020 um 3.900 % zugenommen (Gartner), und 55 % der OT-Sicherheitsexperten stufen Ransomware als Bedrohung Nr. 1 für OT-Systeme ein (SANS) – noch im Jahr 2019 war dieser Prozentsatz nur halb so hoch. Doch was ist der Grund für diesen Anstieg?
Ein Grund ist das Aufkommen von Ransomware-Banden wie Conti, die im Jahr 2021 mindestens 180 Millionen Dollar von ihren Opfern erpresst haben. Das ist etwa doppelt so viel wie die Erpressung durch DarkSide/BlackMatter, die für den bekannten Angriff auf Colonial Pipeline verantwortlich waren. Ransomware erweist sich also als sehr profitabel für kriminelle Akteure.
Während Angreifer im Cyberraum früher oft den Anschein machten, derartige Angriffe auf die Öffentlichkeit zu vermeiden, scheinen heute viele einen Cyberwar ohne Rücksicht auf Verluste zu führen – und zwar auch gegen Verbraucherdienste, kritische Infrastrukturen, Krankenhäuser und dergleichen. Sie konzentrieren sich nicht mehr nur auf staatliche Einrichtungen.
Im Cyberwar kommt es auf Cyber-Resilienz an – aktuell mehr denn je
Unternehmen sind auf eine funktionierende IT-Infrastruktur angewiesen, um ihre Geschäftsaktivitäten voranzutreiben. In den letzten Jahren hat sich jedoch ein grundlegender Wandel vollzogen. Die fortschreitende Migration in die Cloud, die Umstellung auf mobile Geräte und BYOD (Bring Your Own Device), die Konvergenz von IT/OT/IoT und die starke Zunahme der Fernarbeit haben unsere Herangehensweise an die Cybersicherheit verändert. Da die Zahl der vernetzten Geräte am Arbeitsplatz und in den Produktionsstätten zunimmt, werden die IT/OT- und Sicherheitstools, auf die sich Organisationen bisher verlassen haben, zu großen Teilen unwirksam.
Unternehmen im Bereich Kritischer Infrastrukturen und OT-Organisationen stellen sich zwei grundlegende Fragen: „Wie hoch ist das Sicherheitsrisiko, dem unsere Organisation ausgesetzt ist?“ und „Wie sicher sind unsere Infrastruktur und Geräte?“. Angesichts der aktuellen geopolitischen Lage sollte jede Organisation zumindest in der Lage sein, diese konkreten Fragen zu beantworten:
- Welche Geräte sind an mein Netzwerk angeschlossen?
- Was machen diese Geräte, während sie verbunden sind?
- Gibt es aktive Angriffe auf mein Unternehmen?
- Wie ist die Risikolage unserer Geräte und unserer Organisation?
Welche Assets habe ich im Netzwerk und wie werden diese genutzt?
Aufgrund der sprunghaften Zunahme von Endgeräten haben viele Unternehmen eine „Sichtbarkeitslücke“, was bedeutet, dass IT- und Sicherheitsverantwortliche nicht alle gefährdeten Ressourcen in ihren Umgebungen sehen können. Viele Unternehmen haben weder den erforderlichen Einblick in ihre Infrastruktur noch sind ihre Systeme im Einklang mit den notwendigen Richtlinien und Prozessen, um effektiv auf einen Angriff zu reagieren. Wenn hier keine ausreichende Sichtbarkeit gewährleistet werden kann, dann ist es wahrscheinlicher, Ziel eines schweren Angriffs zu werden.
Im Idealfall sollten über ein Mapping alle im Unternehmen ablaufenden Prozesse bekannt sein. Dazu gehören alle angeschlossenen IT- und OT-Assets – verwaltete und nicht verwaltete – in und um das Unternehmen herum, aber auch Netzwerk-Assets und zugehörige Assets, die mit dem Netzwerk verbunden sind. Sobald das Mapping abgeschlossen ist, kann die Erkennung von Bedrohungen durch Verhaltensmuster Anomalien in Echtzeit aufdecken und ein schnelles Handeln ermöglichen.
Viele Anbieter bieten auch eine Erweiterung für das Schwachstellenmanagement an. Der Schlüssel dazu ist, sicherzustellen, dass die Lösung eine Single Source of Truth, also eine einzige, maßgebliche Wahrheit über die Unternehmensressourcen nutzt – denn eine einzige übersehene Ressource im Unternehmen kann ausreichen, um von einem Cyberangriff betroffen zu sein. Wenn Organisationen dagegen ein umfassenden Überblick über alle Assets haben, können sie viel schneller und effektiver reagieren. Jedes Mal, wenn eine neue schwerwiegende Sicherheitslücke/CVE veröffentlicht wird, können die Schwachstellenanalysten das Gesamtrisiko für das Unternehmen auf der Grundlage aller betroffenen Assets schnell ermitteln. Auf der Grundlage der Risikostufen für das Unternehmen kann dann festgelegt werden, welche Assets zuerst abgesichert, unter Quarantäne gestellt oder vielleicht sogar offline genommen werden sollen.
Die Erfassung aller Prozesse und Assets ist auch der Schlüssel zur Wiederherstellung im Falle eines Cyberangriffs. Nach einem Angriff kann der Betrieb in Organisationen manchmal für ein oder zwei Tage ausfallen, in besonderen Fällen kann es Monate dauern, bis die Arbeit wieder aufgenommen wird. Unternehmen sollten sich zudem von unabhängigen Prüfern versichern lassen, dass ihre Infrastruktur nach einem Cyberangriff schnell wiederhergestellt werden kann.
Es ist unabdingbar, dass Unternehmen für ihre künftige Sicherheit und zum Schutz ihrer Rentabilität besonderes Augenmerk auf die Sichtbarkeit ihrer Assets legen.