Warum steht die IT-Security 2022 vor neuen Herausforderungen?
Durch die politischen Entwicklungen in der Ukraine entsteht auch für deutsche Unternehmen eine neue Bedrohungslage. Hiesige Firmen und Betreiber kritischer Infrastrukturen sollten deshalb ihre IT-Sicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen. Worauf es dabei zu achten gilt, lesen Sie in diesem Blogbeitrag.
Das Jahr 2022 werden die meisten IT-Sicherheitsexperten noch lange in Erinnerung behalten: Der Russland-Ukraine-Konflikt hat die Situation aus Cybersecurity-Sicht innerhalb kurzer Zeit noch einmal verschärft. So stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Update vom 12. Mai 2022“ eine „erhöhte Bedrohungslage für Deutschland“ fest. Dieser Befund gelte grundsätzlich auch für kritische Infrastrukturen, die sogenannten KRITIS.
Das BSI ruft deshalb Unternehmen, Behörden und andere Organisationen auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und an die aktuelle Bedrohungslage anzupassen. Seit Beginn des Ukraine-Konflikts sei es in Deutschland bereits zu zusätzlichen IT-Sicherheitsvorfällen gekommen, die jedoch nur vereinzelt Auswirkungen gehabt hätten. Auch neue DDoS-Angriffe (Distributed Denial of Service) seien in den meisten Fällen abgewehrt worden oder hätten nur geringfügige Auswirkungen gehabt. Dennoch empfiehlt das BSI, dass Firmen und andere Organisationen ein besonderes Augenmerk auf den Schutz gegen diese Art von Angriffen legen sollten.
Weshalb sich bei Sicherheitsexperten Unbehagen breitmacht
Laut einer Ende März 2022 von Cisco Systems veröffentlichten Studie glaubt in Deutschland nur knapp jeder fünfte Experte für Sicherheit und Datenschutz, die wichtigsten Sicherheitsrisiken für sein Unternehmen bewältigen zu können. Eine ähnliche Zahl von Befragten sieht sich zumindest noch in der Lage, größere Vorfälle zu vermeiden. Der Rest? Fehlanzeige.
„Die wachsende Bedrohungslage ist nur eine Seite der Medaille“, kommentiert Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland. Die andere Seite seien die steigenden Compliance-Anforderungen, der grassierende Fachkräftemangel und eine zunehmend hybrid aufgebaute Belegschaft. Diese Entwicklungen werden die IT-Sicherheit noch komplexer machen, ist von der Horst überzeugt. Erschwerend kommt hinzu, dass sich viele Sicherheitslösungen in Deutschland nicht mehr auf dem aktuellen Stand befinden.
Weltweit sind 39 Prozent der von Unternehmen eingesetzten Sicherheitstechnologien veraltet. In Deutschland berichteten sogar 48 Prozent der Befragten von einer in die Jahre gekommenen IT-Infrastruktur. Immerhin haben bereits 44 Prozent der hierzulande Befragten eine aktive Update-Strategie entwickelt, um doch noch auf den neuesten Stand zu kommen. Rund zwei Drittel wollen vor allem ihre cloudbasierte Security-Technologie ausbauen.
Weltweit sind 39 Prozent der von Unternehmen eingesetzten Sicherheitstechnologien veraltet. In Deutschland berichteten sogar 48 Prozent der Befragten von einer in die Jahre gekommenen IT-Infrastruktur. Immerhin haben bereits 44 Prozent der hierzulande Befragten eine aktive Update-Strategie entwickelt, um doch noch auf den neuesten Stand zu kommen. Rund zwei Drittel wollen vor allem ihre cloudbasierte Security-Technologie ausbauen. Letzteres hat nach Ansicht von Sicherheitsexperten einige Vorteile: So würden Unternehmen mit ausgereiften Zero-Trust- oder SASE-Architekturen (Secure Access Service Edge) Angriffe doppelt so schnell bemerken wie Firmen ohne diese Techniken. Dadurch können sie schneller geeignete Gegenmaßnahmen ergreifen und Schäden sowie Kosten vermeiden.
Wieso Betreiber kritischer Infrastrukturen im Fokus stehen
Die Situation in der Ukraine hat noch ein weiteres Sicherheitsproblem offengelegt: Die Empfehlung des BSI, keine Software des russischen Sicherheitsanbieters Kaspersky mehr zu nutzen, hat weitreichende Auswirkungen auf die gesamte Security-Branche. Viele Kunden stellen sich nun die Frage, inwieweit sie noch Software von Herstellern aus anderen Ländern trauen können. Gelten die vom BSI genannten Gefahren wie die Nutzung einer „dauerhaften, verschlüsselten und nicht prüfbaren Verbindung zu Servern des Herstellers“ zur Durchführung von Aktualisierungen nicht auch für andere Produkte?
Das BSI geht in seiner Empfehlung zu Kaspersky davon aus, dass vor allem „Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet“ sind. Das ist nicht gänzlich neu, in den vergangenen Jahren gab es bereits einige Cyberattacken auf kritische Infrastrukturen in Europa und weiteren Ländern. Man denke nur an den Angriff auf Colonial Pipeline, der zu einem zeitweisen Ausfall der Spritversorgung in Teilen der USA führte, an die Attacke auf die irische Gesundheitsbehörde, die das Gesundheitssystem durch sehr begrenzten Zugang zu Diagnostik, Labordiensten und Patientendaten aus der Vergangenheit mitten in der Pandemie empfindlich traf, oder an den Vorfall in einem kroatischen Umspannwerk, der Europa nah an den Rand eines Blackouts führte.
Vor diesem Hintergrund müssen sich die Betreiber kritischer Infrastrukturen nicht nur mit mehr oder weniger plumpen Erpressungsversuchen, sondern angesichts der aktuellen Lage sogar mit einem politisch motivierten Cyberwar auseinandersetzen. Ein staatlicher Gegner hat aber weit mehr Möglichkeiten als – vereinfacht gesagt – eine Handvoll Skript-Kiddies.
Wo weitere Hackerangriffe auf kritische Infrastrukturen erfolgten
Im Frühling und Sommer 2022 stieg die Zahl der erfolgten Hackerangriffe bereits. Bislang gebe es zwar noch keine erkennbare, zentral gesteuerte Kampagne gegen Deutschland, sagte BSI-Präsident Arne Schönbohm dem Spiegel. Trotzdem habe sich die Lage weiter verschlechtert. So führte etwa eine Attacke auf die deutsche Tochtergesellschaft des russischen Ölkonzerns Rosneft beinahe zu einer massiven Störung der Mineralöldistribution in Brandenburg und Berlin.
Interessanterweise griffen die Hacker hier vermeintlich russische Strukturen an. Microsoft berichtet dagegen von Cyberangriffen auf mindestens 128 Organisationen in 42 Ländern, die von Russland ausgegangen sein sollen. Im Visier standen dabei vor allem Firmen aus den USA und Polen. Laut Microsoft befinden sich aber auch Denkfabriken, humanitäre Organisationen, IT-Unternehmen sowie Energie- und weitere kritische Infrastrukturlieferanten in anderen Ländern auf der Liste der angegriffenen Ziele.
Fazit
Wir leben wieder in einer Zeit, in der nicht nur wirtschaftlich motivierte Cyberattacken drohen. Auch politische Bedrohungen sind durch die jüngsten Entwicklungen wieder denkbar geworden. Das hat gerade auch für KRITIS entscheidende Auswirkungen. Deshalb wundert es nicht, dass deutsche Behörden bereits dazu aufgerufen haben, sich umfassend auf mögliche Cyberattacken vorzubereiten. Auch das IT-Sicherheitsgesetz 2.0, das im Jahr 2021 in Kraft trat, spielt in diesem Zusammenhang eine Rolle. Viele der dort genannten Aufgaben können Unternehmen und Betreiber kritischer Infrastrukturen aber nicht allein leisten. Sie sollten sich daher mit geeigneten Partnern zusammentun, die dann in ihrem Auftrag die Vorgaben des BSI sowie der ISO-27xxx-Standards erfüllen und in die Praxis umsetzen.