Phishing- und Ransomware-Attacken sind aktuellen Cyber-Threat-Berichten zufolge weiterhin die größten Gefahren. Durch den Krieg gegen die Ukraine ist die »gefühlte Unsicherheit« bei Beschäftigten größer geworden – während die Chefetagen sich weiterhin in Sicherheit wiegen. Weitgehend unbeachtet sorgen neue Vorgaben für höhere IT-Security-Anforderungen in Firmen.
Der Stand der IT-Sicherheit in Deutschland ist ernüchternd. Zu diesem Ergebnis die im September vorgelegte Studie »Cybersicherheit in Zahlen« von G Data Cyberdefense und Statista. Die Corona-Pandemie und der Ukraine-Krieg beeinflussen die Stimmung, die größten Problemfelder der Digitalisierung in Deutschland sind den 5.000 befragten Arbeitnehmern zufolge Fachkräftemangel, Angst vor Cyberattacken und fehlendes Wissen, was im IT-Notfall zu tun ist.
Der »G DATA Index Cybersicherheit« drückt die Entwicklung in Zahlen aus. Er liegt 2022 zwei Prozent niedriger als im Vergleich. Das heißt den Autoren der Studie zufolge: »Die gefühlte IT-Sicherheit in Deutschland hat abgenommen.« Im beruflichen Umfeld schätzt 2022 ein Drittel der Befragten das Risiko, Cyberkriminalität zum Opfer zu fallen als »hoch« oder »sehr hoch«. Im privaten Umfeld liegt der Anteil sogar bei 38 Prozent.
»Über viele Jahre war Cybersicherheit vor allem ein Thema für die IT-Abteilung, mit dem das Management sich höchstens punktuell beschäftigen wollte«, sagt Andreas Lüning, Mitgründer und Vorstand von G Data Cyberdefense. »Das war und ist eine Fehleinschätzung. IT-Sicherheit mag mit der Technik beginnen. Aber dort ist lange noch nicht Schluss. Gerade Führungskräfte müssen eine gute Fehlerkultur vorleben und Mitarbeitende ermutigen auch Fehler, welche die Sicherheit gefährden können, zu melden.«
Verantwortung für IT-Sicherheit – in Theorie und Praxis
IT-Sicherheit sollte also Chefsache werden, fordert Lüning. Einer Umfrage von Sophos zufolge ist sie das jedoch noch lange nicht. In der Praxis ist in den Firmen die IT in der Pflicht. Rund 81 Prozent der Befragten gaben an ein »hohes« bis »sehr hohes« Bewusstsein für IT-Sicherheit zu haben. Zudem sei in 60 Prozent der Firmen die Verantwortung für die IT-Sicherheit innerhalb der vergangenen drei Jahre auf eine höhere oder die höchste Hierarchieebene verlagert worden.
Bei der Frage nach der tatsächlichen Verantwortung für die IT-Sicherheit zeigt sich dann doch ein anderes Bild: Je größer die Unternehmen sind, desto weniger steht die Führungsebene in der Verantwortung. Dies gilt vor allem für Unternehmen mit mehr als 200 Beschäftigten. Hier geben nur 1,9 Prozent der Befragten an, dass die IT-Sicherheit auf Geschäftsführungs- beziehungsweise Vorstandsebene angesiedelt ist.
Bei kleineren Unternehmen mit bis zu 199 Mitarbeitenden sowie im Handel liegt dieser Wert deutlich höher. Da ist der Chef zu rund 22 Prozent persönlich eingebunden. In größeren Unternehmen trägt zu 49,1 Prozent die eigene IT-Abteilung die Hauptverantwortung für Cybersicherheit. Bei kleineren Unternehmen ist das bei 36,5 Prozent der Fall. Jeweils gut ein Drittel (35,8 respektive 33,1 Prozent) der Unternehmen übertragen zudem die Verantwortung für ihre IT-Sicherheit an externe Dienstleister.
Dabei gäbe es Sophos zufolge zahlreiche gute Gründe, die Sicherheit der Daten in Unternehmen und Organisationen strategisch zur Chefsache zu erklären: »Angefangen bei einer fortschreitenden Komplexität der Unternehmens-IT, Datenschutzregularien, Home-Office, mobilem Arbeiten und Einbindung von IoT (Internet of Things) über prominente Cyberattacken auf Großunternehmen oder Einflussnahmen von Hackergruppen auf politische Entwicklungen bis hin zu spezialisierten Cyberangriffen auf kritische Infrastrukturen oder vulnerable Branchen wie das Gesundheitswesen.«
»Die Ergebnisse in der DACH-Region sind zwar enttäuschend, entsprechen aber dem, was wir in Nordamerika, ASEAN und anderen Regionen beobachten«, ordnet Chester Wisniewski, Principal Research Scientist bei Sophos, die Ergebnisse ein. »Leider wird die Sicherheit, wenn sie als Bestandteil der IT verwaltet wird, in der Regel auf den Status einer Aufgabe zurückgestuft, anstatt eine Priorität zu sein. Die Rolle des Sicherheitsteams besteht darin, Risiken zu identifizieren und dem Vorstand dabei zu helfen, diese Risiken nach Prioritäten zu ordnen, wohingegen die IT-Abteilung die Aufgabe hat, die erforderlichen Änderungen zu implementieren, je nachdem, wie diese Risiken angegangen werden sollen.«
Deutsche Unternehmen als möglicher »Beifang«
Die Threat Analysis Group von Google wies bereits im März darauf hin, das russischen und weißrussischen Gruppen zugeordnete Phishing-Angriffe sich auch gegen Nichtregierungsorganisationen und Think-Tanks in den USA, das Militär eines Balkanlandes und einen ukrainischen Rüstungskonzern richteten. Es ist nicht auszuschließen, dass diese Angreifer im weiteren Verlauf auch die zweite, dritte oder vierte Stufe angreifen – sich also gegen Unternehmen aus Deutschland richten, von denen bekannt ist, dass sie »primären Zielen« zusammenarbeiten oder diese beliefern.
Der E-Mail-Security-Anbieter hat Proofpoint zum Beispiel schon beobachtet, dass EU-Beamte, die an der Unterstützung von Flüchtlingen arbeiten, Ziel von Phishing-Kampagnen waren. Dazu wurde eine zuvor vermutlich vom russischen Geheimdienst kompromittiertes E-Mail-Konto eines Angehörigen der ukrainischen Streitkräfte verwendet.
Cisco Talos, das Sicherheitsteam von Cisco Systems, hat als Urheber einer neuen Malware-Kampagne gegen Behörden und Organisationen in der Ukraine die pro-russische Hackergruppe »Gamaredon« ermittelt. »Die Kampagne ist seit August 2022 aktiv und fokussiert sich auf Datendiebstahl und Spionage« erklärt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. »Um einen langfristigen Zugang zu Opfer-Systemen zu erhalten, nutzen die Bedrohungsakteure präparierte Phishing-Dokumente. Diese geben vor, Informationen zu enthalten, die sich auf die russische Invasion in der Ukraine beziehen. Tatsächlich verbergen sie allerdings Remote-Vorlagen mit bösartigen Makros. Deren Aufgabe ist es, Malware auf den Computern der Opfer zu platzieren, um dann gezielt Informationen zu exfiltrieren.«
Dazu nutzten die Angreifer einen speziell angefertigten »Information Stealer« – eine Malware mit doppeltem Anwendungsbereich. Zum einen könne die Malware für den Angreifer besonders interessanten Dateitypen stehlen, zum anderen ließen sich über sie gezielt zusätzliche Nutzlasten auf infizierten Rechnern platzieren.
Neue Gefahren: Gamaredon und Industroyer2
»Gamaredon« ist laut Unterbrink mindestens seit 2013 aktiv ist und wurde immer wieder mit pro-russischen Aktivitäten in Verbindung gebracht. Die Gruppe sei äußerst aggressiv, vermeide jedoch normalerweise öffentlichkeitswirksame Kampagnen. »Unserer Einschätzung nach ist die Gruppe jedoch mit einigen der produktivsten Crimeware-Banden gleichzusetzen.« Sie nutze gängige Taktiken, agiere oft recht unauffällig und beherrsche nicht die ausgefeilten Techniken anderer, staatlich unterstützter Akteure. Dafür verfüge sie über eine extrem breite Infrastruktur.
Möglicherweise agiere sie als Dienstleister im Auftrag anderer APT-Akteure (Advanced Persistent Threats). Im Gegensatz zu diesen visiere Gamaredon keine spezifische Opfergruppe an, sondern ziele stattdessen auf Nutzer in der ganzen Welt ab. »Diese Gruppe hat es auf jeden abgesehen, von Banken in Afrika bis hin zu Bildungseinrichtungen in den USA. Und spätestens hier sollten auch Unternehmen und Institutionen in Deutschland auf der Hut sein«, mahnt Unterbrink.
Dass dies keine an den Haaren herbeigezogenen Szenarien sind, zeigte sich im Frühjahr. Der eigentlich gegen die Satellitenkommunikationsmodems des US-Unternehmens Viasat in Mittel- und Osteuropa gerichtete Angriff, der die russische Invasion unterstützen sollte, störte als Nebeneffekt auch den Betrieb von mehr als 5.800 Windkraftanlagen der Firma Enercon, Deutschlands größtem Hersteller von Windkraftanlagen, in denen sie ebenfalls verbaut waren. Die Windräder konnten dadurch nicht mehr aus der Ferne überwacht und gewartet werden
Das BSI warnte in den vergangenen Monaten mehrfach vor einer erhöhten Bedrohungslage für Deutschland im Kontext des Krieges in der Ukraine – nicht nur für Kritische Infrastrukturen. Das BSI ruft auch Unternehmen, Organisationen und Behörden dazu auf, »ihre IT-Sicherheitsmaßnahmen zu überprüfen und der gegebenen Bedrohungslage anzupassen.« Denn trotz bisher weniger konkreter Vorfälle könne sich die Situation jederzeit ändern.
Man möchte sich zum Beispiel nicht vorstellen, was passiert, wenn hierzulande eine Malware wie Industroyer2 erfolgreich wäre. Sie wurde bei einer Attacke auf einen ukrainischen Energieversorger entdeckt und von Spezialisten des Security-Anbieters Eset und dem ukrainischen CERT analysiert. Die Malware war eine Kombination aus herkömmlichen Wipern, die auf Windows, Linux und Solaris abzielten, und ICS-spezifischer Malware, die auf die Betriebstechnologie (OT) abzielte, die zur Steuerung und Überwachung des Stromnetzes verwendet wird.
Strengere gesetzliche Vorgaben kommen
Eine weitere Auswirkung des Ukraine-Krieges und der damit einhergehenden, diffusen höheren Cyber-Bedrohungen ist die höhere Bedeutung, die die Politik dem Thema Cybersecurity zubilligt. Die Folge sind schärfere Auflagen für Sicherheit und Compliance. Ein Beispiel ist § 8a Absatz 1a BSIG im KRITIS-Bereich. »Dieser verpflichtet die betroffenen Organisationen, adäquate Systeme zur Angriffserkennung bis spätestens Mai 2023 umzusetzen«, erklärt Bernhard Kretschmer, Vice President Services und Cybersecurity beim Dienstleister NTT.
Außerdem weit Kretschmer aus NIS-2, eine weitere Richtlinie, die für viele Unternehmen Konsequenzen haben wird, derer sie sich vermutlich nicht einmal annähernd bewusst seien. »Fakt ist, viele Firmen setzen nur symbolische Maßnahmen im Bereich der Cybersicherheit um und nur wenige überprüfen regelmäßig die Wirksamkeit dieser Lösungen. Angesichts der zunehmenden Abhängigkeit von funktionierenden IT-Umgebungen und der Tatsache, dass die Kriminellen immer raffinierter vorgehen, ist ein geringes Schutzniveau jedoch geradezu fahrlässig.«
NIS-Richtlinie bringt Standards für Cybersecurity
Die NIS-Richtlinie soll EU-weite Standards für Cybersecurity definieren, die dann auch die Industrie verpflichtend umsetzen muss – also nicht mehr nur bestimmte Bereiche, etwa KRITIS. Ziel ist es die gesamte Infrastruktur resilienter zu machen.
»Die Vorgaben schließen künftig etwa Anbieter öffentlicher elektronischer Kommunikationsdienste und digitaler Dienste, die Abwasser- und Abfallwirtschaft, Hersteller kritischer Produkte, Post- und Kurierdienste und die öffentliche Verwaltung sowohl auf zentraler als auch regionaler Ebene ein, wobei die Kommission zwischen Marktteilnehmern mit einer entscheidenden und mit einer essenziellen Bedeutung für Wirtschaft und Gesellschaft unterscheidet«, erklärt Kretschmer.
Möglich ist zudem, dass die Vorgaben für entsprechende Stellen auf kommunaler Ebene verpflichtend werden. Außerdem werden auch Betriebe mit über 250 Mitarbeitern und über zehn Millionen Jahresumsatz als schützenswert eingestuft. Sie müssten daher künftig ebenfalls Audits durchführen, Risikoabschätzungen vornehmen, das zeitnahe Einspielen von Sicherheits-Updates sicherstellen und Zertifizierungen beachten.
Wenn etwas passiert, ist zudem der geforderte Dokumentationsaufwand hoch. Knappe Melde- und Berichtsfristen sind ohne umfassendes Security-Know-how fast nicht zu bewältigen. Zum Beispiel muss spätestens einen Monat nach einem Vorfall bereits ein Abschlussbericht vorgelegt werden, der eine ausführliche Beschreibung des Sicherheitsvorfalls, seines Schweregrads und seiner Auswirkungen sowie Angaben zur Art der Bedrohung und den getroffenen Abhilfemaßnahmen beinhalten muss.
»Wer schon einmal ein Unternehmen direkt nach einer Hackerattacke erlebt hat, weiß, wie groß einerseits das Chaos ist und wie knapp andererseits Ressourcen und Zeit sind. Vor allem im Mittelstand ist davon auszugehen, dass die Expertise für die Umsetzung der Richtlinie im Haus nicht vorhanden ist«, gibt Kretschmer zu bedenken. Höchste Zeit also, das Thema IT-Sicherheit doch zur Chefsache zu machen.
Weiterführende Links