IT-Sicherheit: Organisierte Kriminalität macht mobil

206 Milliarden Euro Schaden entstehen der deutschen Wirtschaft jährlich durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage. Damit liegt der Schaden zum dritten Mal in Folge über der 200-Milliarden-Euro-Marke (2022: 203 Milliarden Euro, 2021: 223 Milliarden Euro) und pendelt sich auf sehr hohem Niveau ein.

Das sind Ergebnisse einer Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.002 Unternehmen quer durch alle Branchen repräsentativ befragt wurden. Rund drei Viertel (72 Prozent) aller Unternehmen waren in den vergangenen zwölf Monaten von analogen und digitalen Angriffen betroffen, weitere acht Prozent vermuten dies, ohne entsprechende Angriffe zweifelsfrei nachweisen zu können.

Leichter Rückgang zum Vorjahr

  • Gegenüber dem Vorjahr mit 84 bzw. neun Prozent ging die Zahl der Angriffe damit leicht zurück.
  • Deutlich zugenommen haben allerdings jene Angriffe, die der organisierten Kriminalität zuzurechnen sind. 61 Prozent der betroffenen Unternehmen sehen die Täter in diesem Bereich. Vor einem Jahr lag der Anteil noch bei 51 Prozent, vor zwei Jahren sogar nur bei 29 Prozent.
  • Zugleich entwickeln sich seit Beginn des russischen Angriffskrieges auf die Ukraine Russland und China immer mehr zur Basis für Attacken auf die deutsche Wirtschaft. 46 Prozent der betroffenen Unternehmen konnten Angriffe nach Russland zurückverfolgen (2021: 23 Prozent), 42 Prozent wurden aus China angegriffen (2021: 30 Prozent). Damit steht Russland erstmals an der Spitze der Länder, von denen Angriffe auf die deutsche Wirtschaft gefahren werden. Gleichzeitig sind drei Viertel aller Unternehmen (75 Prozent) der Meinung, dass die Gefahr unterschätzt wird, die von China für die Cybersicherheit ausgeht.
  • Und 61 Prozent halten die Sicherheitsbehörden derzeit für machtlos gegenüber Cyberattacken aus dem Ausland.
PK-Wirtschaftsschutz-5-Russland-und-China-Web
Grafik: Bitkom

„Die deutsche Wirtschaft ist ein attraktives Angriffsziel für Kriminelle“

„Die deutsche Wirtschaft ist ein hoch attraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten. Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren sind dabei fließend. Der leichte Rückgang der betroffenen Unternehmen ist ein positives Zeichen und deutet darauf hin, dass die Schutzmaßnahmen Wirkung entfalten“, sagt Bitkom-Präsident Dr. Ralf Wintergerst.

Erstmals fühlt sich eine Mehrheit von 52 Prozent der Unternehmen durch Cyberattacken in ihrer Existenz bedroht. Vor einem Jahr waren es 45 Prozent, vor zwei Jahren sogar nur neun Prozent. „Die Bedrohungslage bleibt hoch, daher müssen alle Unternehmen ihre IT-Sicherheit steigern. Zugleich müssen wir die Kooperation zwischen Wirtschaft und Sicherheitsbehörden weiter ausbauen, um Angriffe zu verhindern und Täter zu ermitteln.“

Bedrohung durch staatliche und nicht-staatliche Cyberakteure

Verfassungsschutz-Vizepräsident Sinan Selen sagte bei der Vorstellung der Studie: „Die Ergebnisse der aktuellen Bitkom-Studie fügen sich nahtlos in unsere Lageeinschätzung ein. Wir sind mit einer verstetigten hohen Bedrohung durch staatliche und nicht-staatliche Cyberakteure konfrontiert. Regionale Schwerpunkte sind deutlich erkennbar. Wir sehen, dass staatliche Akteure sich auch Cyberakteuren bedienen und eine hohe Bandbreite von Zielen angreifen. Diese reichen von Angriffen auf politische Institutionen über die Wirtschaft – von spezialisierten kleinen Tech-Unternehmen bis hin zu Großkonzernen – und betrifft ebenso Forschungseinrichtungen. Die Gegner haben einen langen Atem und gehen immer aggressiver, professioneller und agiler vor. Unsere Antwort auf diese verstetigte Bedrohung ist eine deutliche Stärkung der Kooperation mit unseren Partnern, die schnelle Detektion und Reaktion auf erkannte Angriffe und fortlaufende Anpassung unserer Abwehrmechanismen. Bitkom leistet mit dieser Studie einen wertvollen Beitrag im Rahmen dieser Abwehr- und Härtungsstrategie.“

IT-Sicherheit: Angriffe zunehmend digital

Die Angriffe auf Unternehmen haben sich in den vergangenen zwölf Monaten weiter in den digitalen Bereich verlagert.

  • So waren 70 Prozent der Unternehmen von Diebstahl sensibler Daten betroffen oder vermutlich betroffen, ein Anstieg um sieben Prozentpunkte im Vergleich zum Vorjahr.
  • 61 Prozent beklagen das Ausspähen digitaler Kommunikation (plus 4 Prozentpunkte) sowie die digitale Sabotage von Systemen oder Betriebsabläufen (plus 8 Prozentpunkte).
  • Tendenziell rückgängig sind dagegen analoge Angriffe wie der Diebstahl von IT- oder Telekommunikationsgeräten (67 Prozent, minus 2 Prozentpunkte) sowie von sensiblen physischen Dokumenten oder Mustern (35 Prozent, minus 7 Prozentpunkte), das Abhören von Besprechungen oder Telefonaten vor Ort, etwa mit Wanzen (17 Prozent, minus 11 Prozentpunkte) sowie die physische Sabotage (17 Prozent, minus 5 Prozentpunkte).
  • Bei den Cyberattacken steht Phishing mit 31 Prozent (2022: 25 Prozent) an der Spitze, dahinter folgen Angriffe auf Passwörter (29 Prozent, 2022: 25 Prozent) sowie die Infizierung mit Schadsoftware (28 Prozent, 2022: 25 Prozent).
  • Deutlich angestiegen sind Schäden durch Ransomware, von denen rund ein Viertel (23 Prozent) der Unternehmen berichten. Vor einem Jahr waren es nur 12 Prozent. Rückläufig sind dagegen Schäden durch Distributed Denial of Service (DDoS) Attacken, die nur noch in 12 Prozent der Unternehmen Schäden verursacht haben, vor einem Jahr waren es mit 21 Prozent noch fast doppelt so viele.
PK-Wirtschaftsschutz-7-Organisierte-Kriminalitaet-Web
Grafik: Bitkom

Cyberattacken machen Großteil des Schadens aus

Inzwischen sind Cyberattacken für fast drei Viertel (72 Prozent) des gesamten Schadens verantwortlich, der der deutschen Wirtschaft durch Datendiebstahl, Sabotage und Industriespionage entsteht – das entspricht rund 148 Milliarden Euro und ist ein deutlicher Anstieg zum Vorjahr, als nur 63 Prozent und damit rund 128 Milliarden Euro Cyberangriffen zugerechnet werden konnten. „Digitale Angriffe lassen sich von jedem Ort der Welt ausführen. Und die Gefahr, von Polizei oder anderen Strafverfolgungsbehörden behelligt zu werden, ist in vielen Ländern gering oder nicht vorhanden“, so Wintergerst. „Der Trend zu Angriffen im digitalen Raum wird sich fortsetzen. Die deutschen Unternehmen müssen ihre IT-Sicherheit mindestens auf jenes Niveau bringen, das für die physische Sicherheit vor Ort längst Standard ist.“

Datendiebstahl: Persönliche Daten rücken in den Fokus

Einen eindeutigen Trend gibt es auch beim Daten-Diebstahl. So berichtet eine Mehrheit der betroffenen Unternehmen (56 Prozent), dass Daten von Kunden betroffen waren. 2022 lag der Anteil erst bei 45 Prozent, 2021 bei 31 Prozent. Ebenfalls deutlich gestiegen ist der Diebstahl von Daten der Mitarbeiterinnen und Mitarbeiter mit aktuell 33 Prozent nach 25 Prozent im Jahr 2022 und 17 Prozent im Jahr 2021. „Wenn persönliche Daten Dritter entwendet werden, geht die Schadwirkung oft weit über das angegriffene Unternehmen hinaus und es kann zu erheblichen Folgeschäden bei den betroffenen Personen kommen. Und auch für die Unternehmen ist ein solcher Angriff meist besonders gravierend: Oft erwarten sie Bußgelder und zum Reputationsverlust kommt ein massiver Vertrauensverlust bei Mitarbeitenden, Kunden oder Partnern“, so Wintergerst. Am häufigsten werden weiterhin Kommunikationsdaten wie E-Mails gestohlen (62 Prozent, 2022: 68 Prozent). Einem Viertel der von Datendiebstahl betroffenen Unternehmen (23 Prozent) wurden Zugangsdaten oder Passwörter entwendet, 20 Prozent Finanzdaten und 17 Prozent Daten rund um geistiges Eigentum wie etwa Patente oder Informationen aus Forschung und Entwicklung.

IT-Sicherheit: 8 von 10 Unternehmen erwarten mehr Cyberangriffe

In den kommenden zwölf Monaten erwartet die große Mehrheit der Unternehmen (82 Prozent) eine Zunahme von Cyberangriffen auf das eigene Unternehmen.

  • Dabei rechnen 54 Prozent sogar damit, dass die Attacken stark zunehmen, 28 Prozent glauben, dass sie eher zunehmen werden.
  • 15 Prozent gehen von einer unveränderten Situation aus – kein einziges der mehr als 1.000 befragten Unternehmen rechnet mit einem Rückgang der Angriff.
  • Die große Mehrheit der Unternehmen (97 Prozent) wünscht sich daher, dass die Sicherheitsbehörden besser über die Cybersicherheitslage informieren, zum Beispiel auch über bekannte Schwachstellen.
  • 84 Prozent sind der Meinung, die Meldung von Cyberangriffen sollte für Unternehmen, aber auch für Behörden und öffentliche Einrichtungen verpflichtend sein.
  • Zugleich beklagen aber 80 Prozent, dass derzeit der bürokratische Aufwand bei der Meldung von Cyberangriffen zu hoch ist.

Unternehmen stellen größeren Anteil ihres IT-Budgets für Cybersicherheit bereit

Angesichts dieser Bedrohungslage haben die Unternehmen Ihre Investitionen in die IT-Sicherheit hochgefahren. Im Durchschnitt gehen derzeit 14 Prozent des IT-Budgets eines Unternehmens in die IT-Sicherheit, nach neun Prozent im Vorjahr. Rund ein Drittel der Unternehmen (30 Prozent) kommt auf einen Anteil von 20 Prozent oder mehr am IT-Budget und erfüllt damit die Empfehlung des Bitkom und des Bundesamts für Sicherheit in der Informationstechnologie (BSI). 42 Prozent wenden 10 bis unter 20 Prozent auf, 16 Prozent 5 bis unter 10 Prozent und jedes 20. Unternehmen sogar weniger als 5 Prozent. Wintergerst: „Im Management der Unternehmen setzt sich zunehmend die Erkenntnis durch, dass nachhaltige Digitalisierung nur mit einem professionellen Sicherheitsmanagement gelingt. Digitale Transformation und IT-Sicherheit müssen Hand in Hand gehen.

 UKB baut Cybersecurity aus: Das KI.NRW Leuchtturmprojekt “Innovative Secure Medical Campus UKB“ (ISMC) hat die Ziellinie erreicht. Gemeinsam ist dabei ein gesamtheitliches und sicheres Ökosystem entstanden, das Wege für die Zukunft der digitalen Medizin am Beispiel einer extrem vielseitigen Uniklinik aufzeigt. Finaler Meilenstein: In den kommenden drei Jahren helfen die wachsamen Augen und die sensible Sensorik der Deutsche Telekom Security, die digitale Angriffsfläche des Universitätsklinikums Bonn (UKB) abzusichern. Das Unternehmen hat ein Cyber-Sicherheit-Paket auf die Bedürfnisse der insgesamt 38 Kliniken und 31 Institute hin zusammengestellt, die zum UKB gehören.

Cybersicherheit als wichtiger Baustein

„Als Digitalisierungs-Pionier hat das UKB immer auch der Cybersicherheit größte Aufmerksamkeit gewidmet und sie thematisiert. Zuletzt beim gemeinsamen Symposium – Mit Sicherheit vernetzt – mit dem Bundesamt für Sicherheit in der Informationstechnologie, dem Bundesinstitut für Arzneimittel und Medizinprodukte und dem Bundesgesundheitsminister“, erklärt Prof. Wolfgang Holzgreve, Vorstandsvorsitzender und Ärztlicher Direktor des UKB.

Cyber-Sicherheits-Lage ist äußerst komplex

Dieter Padberg, IT-Direktor des UKB, ist froh über die Unterstützung: „Digitalisierung in der Medizin wird immer wichtiger. Andererseits ist die Cyber-Sicherheits-Lage mittlerweile äußerst komplex geworden. Deswegen freuen wir uns, mit der Telekom einen so kompetenten Partner auf den Gebieten Datenschutz und Cyber-Sicherheit, gewonnen zu haben.“

Das UKB ist der erste Kunde in diesem Bereich des Gesundheitssektors in Deutschland, den die Telekom vorstellt. Weitere werden im Verlauf des Jahres folgen. In den vergangenen 24 Monaten haben die Auswirkungen von leider erfolgreichen Ransomware-Angriffen auch Krankenhäuser in die Medien gebracht. Nun zeigen vorbildliche Digitalisierungs-Projekte wie dieses ein anderes Bild.

Flexibles Paket wächst mit den Herausforderungen mit

Das Cyber-Sicherheit-Paket bietet Kliniken Abwehrmaßnahmen, die bislang von Großkonzernen bekannt sind. Es ist modular, daher anpassungsfähig und zu den Bausteinen zählt unter anderem das Magenta Security Shield. Dieser Dienst schützt Nutzer, Daten sowie die IT und sichert die bei Hackern beliebtesten Einfallstore ab. Dazu gehören Endpunkte, wie Server und Arbeitsplätze, E-Mail, Netzwerke und die Zugänge zum Internet. Doch über den Daumen gepeilt zehnmal größer ist in Kliniken die Betriebstechnik (Operational Technology, OT) – vom Computertomograph bis zum smarten Bett. Also werden auch medizinische Geräte und deren Kommunikation untereinander geschützt.

Die Sicherheits-Systeme werden zukünftig an 365 Tagen im Jahr, 24 Stunden lang von einigen hundert Cyber-Sicherheit-Spezialisten der Telekom in mehreren Arbeits-Schichten überwacht. Sie erkennen frühzeitig verdächtiges Verhalten und leiten Gegenmaßnahmen ein. Dabei kommt auch künstliche Intelligenz zum Einsatz, die Anomalien vorab prüft, mit bereits bekannten Mustern abgleicht und klassifizieren kann.

Vorsprung aus langjähriger Erfahrung

Die Teams der Telekom Security kennen sämtliche Aspekte aktueller Bedrohungen aus nächster Nähe. Sei es aus der Abwehr-Perspektive heraus, um etwa Überlastungs-Angriffe auf die IT-Systeme erst gar nicht zum Tragen kommen zu lassen. Oder sei es aus der Perspektive der Ersthelfer des Incident Response Teams heraus, die täglich Opfern von Cyberangriffen helfen. Jedes Mal gewinnen sie dabei auch branchen- oder systemspezifische Erkenntnisse, welche die Abwehrstrategien verbessern. Auch aktive Forschung der Cyber Threat Intelligence zu Akteuren und ihrem Vorgehen trägt dazu bei.

Diese 360-Grad-Sicht schafft insgesamt einen Vorsprung im Sinne der Kunden, die am Markt nicht selbstverständlich ist. „Gerade das weite Feld der OT Security kommt im Zuge der Vernetzung stärker in den Fokus von Tätergruppen. Die wissen, dass die Vordertür immer besser bewacht wird, und probieren es an anderer Stelle. Im Klinik-Umfeld treffen sie dabei auf eine heterogene Landschaft unterschiedlichster Systeme. IT und OT gleichermaßen im Blick zu behalten ist da der Schlüssel zu mehr Sicherheit“, sagt Thomas Tschersich, CEO der Deutsche Telekom Security GmbH.

Teil des Innovative Secure Medical Campus (ISMC) Projekts

Der Baustein Cyber-Sicherheit macht das Konzept des Innovative Secure Medical Campus komplett. Dies in Deutschland einzigartige Leuchtturm-Projekt hat das UKB unter der Leitung von Prof. Ulrike Attenberger, Direktorin der Klinik für diagnostische und interventionelle Radiologie, und Dieter Padberg gemeinsam mit Partnern entwickelt und vorangetrieben. Dazu gehören der Cyber Security Cluster Bonn e.V. und Töchter der Deutschen Telekom AG. „Mit dem ersten 5G-Campus-Netz für eine Uniklinik, der KI-Strategie und nun dem integrierten Sicherheitskonzept steckt jede Menge Pionierleistung für den Gesundheitssektor in Deutschland in diesem Vorzeige-Projekt. Das wird als Blaupause für die Entwicklung weiterer Unikliniken sehr wertvoll sein“, lobt Gottfried Ludewig, Health-Chef T-Systems. Dieses Konzept ist dem Land NRW Fördergelder in Höhe von 17,5 Millionen Euro vom Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie wert.

Zum Universitätsklinikum Bonn: Im UKB werden pro Jahr etwa 500.000 Patienten betreut. Es sind dort etwa 9.000 Mitarbeitende beschäftigt und die Bilanzsumme beträgt 1,6 Milliarden Euro. Neben den über 3.300 Medizin- und Zahnmedizin-Studierenden kommen jedes Jahr weitere 585 Auszubildende in zahlreichen Gesundheitsberufen zum UKB. Es steht im Wissenschafts-Ranking sowie in der Focus-Klinikliste auf Platz 1 unter den Universitätsklinika (UK) in NRW und weist den dritthöchsten Case Mix Index (Fallschweregrad) in Deutschland auf. Das F.A.Z.-Institut hat das UKB 2022 und 2023 als Deutschland begehrtesten Arbeitgeber und Ausbildungs-Champion unter den öffentlichen Krankenhäusern bundesweit ausgezeichnet.

Vorsicht vor dem Zinseszins bei technischen Schulden.

Software-Entwicklung und Zeitdruck gehen naturgemäß Hand in Hand. Stehen Kunden, die Konkurrenz oder die finanzielle Lage mit der Stoppuhr hinter dem Entwickler-Team, fließen die Investitionen schnell in kurzfristige Lösungen mit einer geringen Time-to-Market, anstatt in den langfristigen Aufbau robuster Applikationen.

Die Folgen sind technische Schulden, ein Zinseszins, die als strategisches Konzept durchaus ihre Berechtigung haben – zum Beispiel um neue Funktionen vor der Konkurrenz auf den Markt zu bringen. Was im ersten Moment als unternehmerisch sinnvoll erscheint, wird jedoch erfahrungsgemäß durch mangelnden Willen oder Unwissenheit bei der Tilgung der aufgehäuften Schulden ad absurdum geführt. Das Problem: Während per Kredit aufgenommene Geldmittel per Zins- und Tilgungszahlungen abgetragen werden, verschließen viele Unternehmen die Augen vor der Tilgung ihrer technischen Schulden. 

Instabile Anwendungen, wochenlange Fehlersuchen, Code-Chaos

Direkte Konsequenzen sind unter anderem eine verlangsamte Entwicklungsgeschwindigkeit, instabile Anwendungen, wochenlange Fehlersuchen oder auch schlichtweg ein unlesbares Code-Chaos. Wer seine Projekte an dieser Stelle einfach weiterlaufen lässt, nach dem Motto „Es ist ja noch immer gut gegangen“, weil es ja eben irgendwie funktioniert, zahlt am Ende des Tages einen hohen Preis. Zum einen stellt diese Praxis ein großes Sicherheitsrisiko dar, wie viele Firmen beim Log4J-Desaster erleben mussten. Unübersichtlicher und kurzfristig zusammengeschusterter Code ist keine gute Grundlage für eine dringende Fehlerbeseitigung und führt schnell zu sehr langen Tagen und Nächten in den IT-Abteilungen. Zum anderen entsteht bei unkontrollierten und nicht getilgten technischen Schulden aber ein noch gravierenderes Problem: Bauen Entwicklerinnen und Entwickler weitere Behelfslösungen um einen unverständlichen Code herum, anstatt bestehende Projekte von Grund auf aufzuräumen, steigt die Komplexität immer weiter an – die technischen Schulden haben jetzt Zinseszinsen. 

Zinseszins. Wie kann diese Spirale beendet werden?

Technische Schulden sind das Ergebnis von Managemententscheidungen, dort zu investieren, wo gerade Bedarf besteht. Ist die Anwendung erst einmal kurzfristig fertiggestellt und auf dem Markt, beginnt aber in den meisten Fällen das große Vergessen – an dieser Stelle benötigen wir dringend ein Umdenken. Entwickler brauchen im Nachgang das Budget und die Zeit, um die Projekte aufzuräumen, lesbar zu machen, Dokumentationen zu pflegen und die Technologie von kurz- auf langfristig zu heben. Je länger diese Schritte hinausgezögert werden, desto umfangreicher und teurer werden sie. Unternehmen brauchen aus diesem Grund das Äquivalent einer Clean Desk Policy für ihre Projekte, anstatt einmal erfolgreich ausgerollten Code stiefmütterlich zu behandeln. In der Praxis heißt das: Investiert Zeit, investiert Geld. Räumt Code auf und baut technische Schulden ab, anstatt sich auf kurzfristige Lösungen zu konzentrieren. Denn genau wie bei einem Bankkredit lösen sich Schulden nicht von selbst in Luft auf, sondern nur ein aktives Tilgen führt zu einer Verbesserung der Lage – und damit zu lesbarem Code, einfach erweiterbaren Anwendungen und mehr Sicherheit.

KMU im Fadenkreuz: Die Ransomware-Gruppe 8base steigert Aktivität

8Base hat sich in diesem Sommer in die Top 5 der aktivsten Ransomware-Gruppierungen gearbeitet und hat dabei besonders einen Sektor auf dem Radar: kleine und mittlere Unternehmen (KMU). Erstmals auf den Plan getreten ist 8base im März 2022 und seit Juni 2023 zeigt sich die Gruppe aktiver als je zuvor. Entsprechend gilt es nun, zu handeln und sich vor einem Einfall der Kriminellen zu schützen.

Eine brisante Mischung

Im Allgemeinen haben KMU eher mit niedrigen Sicherheitsbudgets und Cybersecurity-Mängeln zu kämpfen. Dies ist ein gefährlicher Cocktail, wenn eine Ransomware-Gruppe wie 8base auf sie zukommt. Vor allem kleine und mittelständische Unternehmen müssen sich daher mit der Bedrohung durch 8base vertraut machen und, was noch wichtiger ist, ihre Sicherheitsvorkehrungen zum Schutz vor 8base verstärken, denn diese hat KMU im Fadenkreuz. Den Angreifer zu verstehen ist dabei der Schlüssel zur Entwicklung besserer Verteidigungsstrategien.

Logpoints Forschung hat die 8base-Infektionskette durch Malware-Analyse aufgedeckt. 8base verwendet mehrere Malware-Familien, um ihre Ziele zu erreichen, darunter SmokeLoader und SystemBC, zusätzlich zur Phobos Ransomware-Nutzlast. Die Ransomware-Gruppe verschafft sich in erster Linie über Phishing-E-Mails Zugang und nutzt die Windows Command Shell und Power Shell, um die Nutzlast auszuführen. Die Angreifer verwenden mehrere Techniken, um sich im System zu halten, die Abwehr zu umgehen und ihre Ziele zu erreichen.

KMU im Fadenkreuz: Notwendige Prävention

Es ist essentiell, dass Sicherheitsteams dazu in der Lage sind, 8base-Aktivitäten im eigenen System rechtzeitig zu erkennen. Das schließt auch verdächtige untergeordnete Prozesse ein, die von Microsoft Office-Produkten gestartet werden. Das kann beispielsweise  die Ausführung von Dateien mit WScript oder CScript oder die Erstellung von geplanten Aufgaben sein. Das Wissen um die relevanten Indikatoren für eine Kompromittierung (IoC) und die Taktiken, Techniken und Verfahren (TTPs) der Angreifer hilft KMU, verdächtige Aktivitäten im Zusammenhang mit 8base proaktiv zu erkennen und zu vereiteln oder wenigstens abzuschwächen.

Die wichtigsten Hilfsmittel für eine robuste Cybersicherheitsstrategie sind in diesem Fall ordnungsgemäße Protokollierung, die Sichtbarkeit von Ressourcen und strenge Überwachung. Diese Komponenten unterstützen dabei, den Überblick über das Netzwerk zu behalten. Außerdem helfen sie, Anomalien wie das Ablegen von Dateien in öffentlich beschreibbaren Ordnern, die Änderung von Registrierungswerten und verdächtige geplante Aufgaben zu erkennen, die auf eine Sicherheitsbedrohung wie 8base hindeuten können. Wer es allerdings versäumt, die notwendigen Sicherheitsbausteine proaktiv vorzubereiten, der läuft Gefahr, ein weiteres Opfer in der immer länger werdenden Liste der Ransomware-Vorfälle zu werden.

Check Point Research (CPR) hat eine neue Gefahr entdeckt und reden diesmal über den Missbrauch von AWS für Phishing-Kampagnen. Das Programm wird zum Versenden von Phishing-E-Mails genutzt, um diesen einen täuschend echten Anstrich zu geben.

Ein Beispiel: Es fängt an mit einer echt wirkenden E-Mail, die nach der Zurücksetzung eines Passwortes fragt. Einige Benutzer werden hier schon stutzen und abbrechen. Einige Sicherheitsprogramme könnten die Nachricht zudem abfangen, weil die Absender-Adresse vielleicht unbekannt ist. Jedoch weist der Link auf einen echten AWS-S3-Bucket, was die Betrügerei wiederum verschleiert. Klingt der Nutzer darauf, wird er zu einer Seite weitergeleitet.

Dort fällt auf, dass die Domäne tatsächlich ein echter AWS-S3-Bucket ist, da jeder eine statische oder dynamische Seite bei AWS aufsetzen kann. In diesem Fall wurde eine Microsoft-Anmeldeseite gefälscht und die E-Mail-Adresse des Nutzers wurde bereits eingetragen, sodass dieser nur noch sein Passwort eingeben muss. Außerdem ist die E-Mail-Adresse des Nutzers ein Teil der URL, damit es so aussieht, als wäre er schon angemeldet gewesen. Das zeigt sich eine neue Gefahr.

Neue Gefahr Phishing über Amazon Web Services: Angriff verlangt höherwertige Programmierfähigkeiten

Zwar verlangt dieser Angriff höherwertige Programmierfähigkeiten und technisches Verständnis. Durchschnittliche Hacker sind dazu jedoch in der Lage. Zwar ist der Angriff nicht so überzeugend, wie die zuvor vorgestellten, aber immer noch gefährlich genug, um viele Leute zu täuschen, da wiederum ein legitimes Tool, AWS, missbraucht wird, um den Angriff zu verschleiern. Hier hilft der Blick auf die Absender-Adresse und die URL am meisten, um den Betrug zu enttarnen.

Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern größte Vorsicht walten zu lassen. Außerdem empfehlen Sie, KI-gestützte IT-Sicherheitslösungen zu implementieren, die nach verschiedenen Indikatoren Ausschau halten können, eine E-Mail-Sicherheitslösung einzuführen, die Dokumente und Dateien prüft, sowie eine URL-Sicherheitslösung, die Websites prüft und emuliert.

Erpressungsangriffe sind häufige auftretende Formen von E-Mail-Betrug. Hierbei drohen Cyberkriminelle mit der Veröffentlichung von kompromittierenden Informationen, etwa einem peinlichen Foto, und fordern eine Zahlung in Kryptowährung. Oft kaufen Angreifer die Anmeldedaten der Opfer oder erlangen sie durch Datenlecks, um zu „beweisen“, dass ihre Drohung legitim ist.  Das hilft bei Mail-Erpressung: Taktiken und Schutz-Methoden.

Um ein besseres Verständnis der finanziellen Infrastruktur zu erhalten, die Angreifer in Erpressungs-E-Mails verwenden, hat IT-Sicherheitsanbieter Barracuda gemeinsam mit Forschern der Universität Columbia über 300.000 E-Mails analysiert, die von den KI-basierten Detektoren von Barracuda Networks über einen Zeitraum von einem Jahr als Erpressungsangriffe erkannt wurden.

Im Folgenden werden die bei diesen Angriffen verwendeten Währungen, die Art, wie die Angreifer Bitcoin-Adressen verwenden, das Volumen der versendeten E-Mails und die geforderten Geldbeträge näher beleuchtet.

In untersuchten Datensatz ist Bitcoin die einzige Kryptowährung, die von Angreifern verwendet wurde. Es gibt mehrere Gründe, weshalb Bitcoin von Kriminellen als favorisierte Zahlungsmethode für das Lösegeld verwendet wird. Bitcoin ist weitgehend anonym, Transaktionen werden über Wallet-Adressen abgewickelt, und jeder kann so viele Wallet-Adressen generieren, wie er möchte.

Darüber hinaus ist die Infrastruktur rund um Bitcoin gut entwickelt, was es den Opfern leicht macht, Bitcoin zu kaufen, und den Angreifern ermöglicht, ihre Aktionen mithilfe von sogenannten „Mixern“ noch weiter zu anonymisieren. Dabei handelt es sich um Dienste, die die Transaktionshistorie verschleiern sollen, indem sie Bitcoin aus zahlreichen Wallets nach dem Zufallsprinzip kombinieren und aufteilen. Darüber hinaus können die Erpresser aufgrund des öffentlich zugänglichen Charakters der Blockchain leicht nachprüfen, ob ein Opfer gezahlt hat oder nicht, wodurch einige der Probleme, die bei herkömmlichen Transaktionen auftreten, beseitigt werden.

Analyse von Bitcoin-Adressen

Obwohl Bitcoin anonym ist, erhält man dennoch einige sehr interessante Informationen über die Angreifer und ihr Verhalten, indem man die Bitcoin-Adressen in ihren Erpressungs-E-Mails analysiert. Wenn zum Beispiel dieselbe Bitcoin-Adresse in mehreren von Benutzern erhaltenen E-Mails verwendet wird, zeigt dies, dass sie zum selben Angreifer oder derselben Angreifergruppe gehört.

Bei der Analyse des untersuchten Datensatzes stellten die Forscher fest, dass sich die Angriffe auf eine kleine Anzahl von Bitcoin-Adressen konzentrieren. Insgesamt gab es etwa 3.000 eindeutige Bitcoin-Adressen, von denen die Top-10 in etwa 30 Prozent der E-Mails und die Top-100 in etwa 80 Prozent der E-Mails auftauchten. Dies lässt darauf schließen, dass eine kleine Zahl von Angreifern für die große Mehrheit der Erpressungs-E-Mails verantwortlich ist. Wenn es also gelingt, diese Angreifer zu stoppen oder ihre Methoden wirksam zu blockieren, kann ein großer Teil dieser E-Mail-Bedrohung neutralisiert werden.

 

Eine weitere wichtige Information, um E-Mails bestimmten Angreifern zuzuordnen, sind die E-Mail-Felder. So kann etwa das Feld „Absender“ jeder E-Mail als Stellvertreter für den Angreifer gesehen werden. Stammen mehrere E-Mails vom selben Absender, gehören sie zum selben Angreifer. In der Untersuchung wurden die E-Mails nach dem Feld „Absender” gruppiert und die Anzahl der E-Mails gezählt, die jeder Absender versendet hat, sowie die Anzahl der eindeutigen Bitcoin-Adressen, die jeder Absender verwendet hat.

Dies zeigte, dass die überwiegende Mehrheit aller Absender bei ihren Angriffen dieselbe Bitcoin-Adresse nutzte. Dies gilt sowohl für Angreifer, die eine große Anzahl von E-Mails versendeten, als auch für Erpresser, die nur mit kleinen Mengen arbeiteten. Von den 120.000 eindeutigen Absendern im gesamten Datensatz haben zudem weniger als 3.000 Absender mehr als zehn E-Mails verschickt. Nur acht Absender versendeten mehr als 500 E-Mails.

Dies zeigt, dass die Angreifer bei der Verschleierung ihrer Identität etwas nachlässig sind und in der überwiegenden Mehrheit der Fälle dieselbe Bitcoin-Adresse für ihre Betrügereien verwenden. Dadurch besteht die Möglichkeit, dass diese kleine Anzahl von Bitcoin-Adressen (und Angreifer) von Strafverfolgungsbehörden aufgespürt werden können.

Wie viel Geld verlangen die Erpresser?

Um das Verhalten der Angreifer besser zu verstehen, untersuchten die Forscher zudem, wie viel Geld die Angreifer forderten und wie einheitlich der Betrag im untersuchten Datensatz ist. Von den 200.000 E-Mails, aus denen Bitcoin-Adressen extrahiert werden konnten, verlangten 97 Prozent US-Dollar, 2,4 Prozent Euro und die restlichen 0,6 Prozent britische Pfund, kanadische Dollars, Bitcoins usw. Für jeden Betrag, der nicht in US-Dollar angegeben war, rechneten die Forscher ihn zum Vergleich in den entsprechenden US-Dollar-Wert des Tages um, an dem die E-Mail gesendet wurde. Die Ergebnisse waren wie folgt:

• Fast alle Angreifer fordern einen Betrag zwischen 400 und 5.000 US-Dollar    

• 25 Prozent der E-Mails fordern einen Betrag von weniger als 1.000 US-Dollar

• Über 90 Prozent der Erpressungs-E-Mails fordern einen Betrag von weniger als 2.000 US-Dollar

• Die Angreifer fordern in der Regel Geldbeträge zwischen 500 und 2.000 US-Dollar

Dies lässt vermuten, dass sich die von den Angreifern geforderten Geldbeträge stärker auf einen „Sweet Spot”-Bereich konzentrieren. Dieser ist hoch genug, um für den Angreifer erheblich zu sein, aber nicht so hoch, dass er das Opfer veranlassen würde, die Zahlung nicht zu tätigen oder nachzuforschen, ob der Angreifer tatsächlich über kompromittierende Informationen verfügt (was in der Regel nicht der Fall ist). Zudem löst der Betrag auch keinen Alarm bei der Bank oder den Steuerbehörden des Opfers aus.

Möglichkeiten zum Schutz vor Erpressungsangriffen

Spüren Strafverfolgungsbehörden auch nur einen kleinen Teil der Angreifer auf, können kriminelle Operationen dadurch stark gestört werden. Da die Erpresser Vorgehensweisen voneinander übernehmen, sollten Anbieter von E-Mail-Sicherheitslösungen zudem in der Lage sein, einen großen Prozentsatz dieser Angriffe mit einfachen Entdeckungstools zu blockieren. Im Folgenden finden sich vier Best Practices, mit denen sich Unternehmen gegen diese Art von Angriffen verteidigen können:

KI-basierter Schutz: Angreifer passen Erpressungsangriffe an, um E-Mail-Gateways und Spam-Filter zu umgehen, daher ist eine gute Spear-Phishing-Lösung, die vor Erpressung schützt, ein Muss.

Schutz vor Kontoübernahmen: Viele Erpressungsangriffe gehen von kompromittierten Konten aus. Deshalb sollte sichergestellt werden, dass Betrüger das Unternehmen nicht als Basislager für diese Angriffe nutzen. Hier helfen Technologien, die mithilfe künstlicher Intelligenz erkennen, wann Konten kompromittiert wurden.

Proaktive Untersuchungen: Angesichts der peinlichen Natur von Erpressungsbetrügereien sind Mitarbeiter möglicherweise weniger bereit als sonst, diese Angriffe zu melden. Deshalb sollten Unternehmen regelmäßige Untersuchungen der zugestellten Nachrichten durchführen, um E-Mails zu erkennen, die sich auf Passwortänderungen, Sicherheitswarnungen und andere Inhalte beziehen.

Schulungen zum Sicherheitsbewusstsein: Unternehmen sollten die Benutzer zudem über Erpressungsangriffe aufklären und das Thema zum Bestandteil ihres Schulungsprogramms zum Sicherheitsbewusstsein machen. Es sollte sichergestellt werden, dass Mitarbeiter diese Angriffe erkennen, ihren betrügerischen Charakter verstehen und sich sicher fühlen, sie zu melden. Die Nutzung von Phishing-Simulationen unterstützt außerdem dabei, die Effektivität der Schulungen zu testen und die Benutzer zu ermitteln, die am anfälligsten für Erpressungsangriffe sind.

Erpressung per E-Mail stellt eine erhebliche Bedrohung dar, da Angreifer jedes Jahr Millionen bösartiger Nachrichten an Opfer verschicken, jedoch zeigt sich, dass sie von einer kleinen Anzahl an Tätern begangen wird und diese Gruppen ähnliche Taktiken nutzen. Dies stimmt optimistisch, was die Bekämpfung dieser speziellen E-Mail-Bedrohung angeht.

Der Hiscox Cyber Readiness Report zeigt: Deutsche Unternehmen geben im internationalen Vergleich am meisten für Cyber-Sicherheit aus und steigern Investitionen um 62 Prozent im Vergleich zum Vorjahr.

Die Ergebnisse des Hiscox Cyber Readiness Reports 2021 zeigen eine zunehmende Sensibilisierung für Cyber-Gefahren: Zwar stieg der Anteil deutscher Unternehmen mit mindestens einer Cyber-Attacke auf 46 Prozent (2020: 41 Prozent), aber auch die Zahl der gut vorbereiteten “Cyber-Experten” erhöhte sich auf 21 Prozent (2020: 17 Prozent). Im internationalen Vergleich investieren die befragten deutschen Unternehmen zudem am meisten in Cyber-Sicherheit – 62 Prozent mehr als im Vorjahr.

Wie wichtig ein umfassendes Sicherheitskonzept ist, machen die hohen Kosten im Schadenfall deutlich: Deutsche Firmen verzeichneten im vergangenen Jahr unter allen acht Ländern die höchsten mittleren Gesamtkosten durch Cyber-Angriffe. Auch die teuerste Einzelattacke mit Kosten von über 4,6 Millionen Euro traf ein Unternehmen in Deutschland. Um sich vor existenzbedrohenden Schadensfällen zu schützen, hat ein Großteil der befragten Firmen die Relevanz der Absicherung durch eine Cyber-Police erkannt, nur noch 15 Prozent gaben an, dass sie an eine solchen Versicherung keinerlei Interesse hätten – im letzten Jahr lag dieser Wert noch um zehn Prozentpunkte höher (2020: 25 Prozent).

Bild: Hiscox/ots

Hiscox Cyber Readiness Report zur Cyber-Sicherheit

Das sind die zentralen Ergebnisse des Hiscox Cyber Readiness Reports 2021. Die Daten basieren auf einer internationalen Umfrage unter 6.042 Unternehmen aus Deutschland, den USA, Großbritannien, Frankreich, Spanien, Irland, Belgien und den Niederlanden. Im Auftrag des Spezialversicherers Hiscox befragte das Marktforschungsinstitut Forrester Consulting bereits zum fünften Mal in Folge Unternehmensvertreter zu ihren Erfahrungen sowie ihrem Umgang mit Cyber-Attacken.

“Das vergangene Pandemiejahr forderte die Cyber-Sicherheit von Unternehmen enorm heraus. Die Verlagerung ins Home Office, teilweise von heute auf morgen, setzte die IT-Verantwortlichen unter nie dagewesenen Handlungsdruck. Vielerorts konnte nicht auf bestehende Sicherheitsstrategien zurückgegriffen werden. Es mussten also in Windeseile Konzepte entwickelt und implementiert werden, um sich vor Hackerangriffen und den oft existenziellen finanziellen Folgen in einer ohnehin wirtschaftlich unsicheren Zeit zu schützen”, so Robert Dietrich, Managing Director von Hiscox Deutschland und CEO von Hiscox Europa.

Wandel der Arbeitswelt birgt zusätzliche Risiken

57 Prozent der befragten deutschen Unternehmen gaben an, derzeit pandemiebedingt im Home Office zu arbeiten, vor der Pandemie war dies bei lediglich 15 Prozent der Fall. Der Umzug zahlreicher Firmen von Büroräumen in die heimischen vier Wände erhöht die Gefahr, durch ungesicherte Einfallstore Opfer eines Cyber-Angriffs zu werden. Dies schlägt sich auch in den prozentualen Angriffszahlen nieder: War die Anzahl der Unternehmen mit mindestens einem erlebten Cyber-Angriff in 2020 erstmals seit der Erhebung des Cyber Readiness Reports zurückgegangen und betrug nur 41 Prozent, stieg sie im aktuellen Report in Deutschland um fünf Prozentpunkte auf 46 Prozent an (International: 43 Prozent).

Gesteigerte Investitionen in Cyber-Sicherheit

Deutschland verzeichnet auch in diesem Jahr international die höchsten mittleren Kosten pro Schadenfall. Im Mittel gaben die befragten Unternehmen in Deutschland an, 21.818 EUR bei einem erfolgreichen Angriff begleichen zu müssen (international: 11.944 EUR). Wohl auch angesichts dieser hohen zu erwartenden Schadenkosten sind die Investitionen in eine Absicherung bei deutschen Unternehmen sehr kräftig um 62 Prozent im Vergleich zum Vorjahr gestiegen.

Investitionen zahlen sich aus: Cyber-Expertise deutscher Unternehmen steigt

Die Investitionen in Cyber-Sicherheit zeigen Wirkung: Gemessen an den Kriterien Strategie, Ressourcen, Technologie und Prozesse zählt nur noch ein gutes Viertel (27 Prozent) der befragten deutschen Unternehmen zu den sogenannten Cyber-Anfängern (2020: 66 Prozent). 53 Prozent werden mittlerweile als Cyber-Fortgeschrittene klassifiziert (2020: 18 Prozent) und auch der Anteil an Cyber-Experten stieg von 17 Prozent im Vorjahr auf nun 21 Prozent an. Sowohl kleine als auch mittlere Unternehmen holen bei der Cyber-Expertise also kräftig auf: 20 Prozent der Betriebe mit bis zu 49 Mitarbeitern zählen laut der aktuellen Erhebung zu den Cyber-Experten. Firmen mit 50 bis 250 Mitarbeitern kommen auf einen Expertenanteil von 18 Prozent, Unternehmen ab einer Größe von 250 Mitarbeitern erreichen in diesem Jahr 23 Prozent.

Damit macht Deutschland im internationalen Vergleich drei Plätze gut und liegt in diesem Jahr auf dem dritten Rang hinter den USA (Cyber-Experten: 25 Prozent) und Großbritannien (23 Prozent). Gleichauf liegt Frankreich (21 Prozent), dahinter folgen Irland (20 Prozent), Belgien und die Niederlande (jeweils 16 Prozent). Schlusslicht ist wie im letzten Jahr Spanien mit einem Cyber-Experten-Anteil von nur neun Prozent.

“Durch die akute Bedrohungslage und sich häufende Berichte über großangelegte Hackerangriffe beobachten wir eine zunehmende Sensibilisierung deutscher Unternehmen für Cyber-Risiken. Der starke Anstieg der Investitionssummen zeigt, dass die Verantwortlichen für Cyber-Sicherheit zunehmend auch Gehör in den Vorstandsetagen finden. Allerdings bleibt der Nachholbedarf zur Etablierung umfassender Sicherheitsmaßnahmen groß. Positiv hervorzuheben ist, dass sich Cyber-Versicherungen immer weiter verbreiten. Cyber-Gefahren erfordern eine ganzheitliche IT-Sicherheitsstrategie mit Unterstützung auf allen Ebenen. Eine Cyber-Versicherung kann hier einen wichtigen Beitrag leisten.”, erläutertOle Sieverding, Underwriting Manager Cyber von Hiscox Deutschland.

Der “Hiscox Cyber Readiness Report 2021” und umfangreiche weitere Informationen zur Studie sind online verfügbar.

European Commission

 

Cybersecurity Scenarios and Digital Twins
Die ECSO-Studie „Cybersecurity Scenarios and Digital Twins“ (Mai 2023) beleuchtet die Rolle von Digital Twins (DT) in der Cybersicherheit und deren wachsende Bedeutung für die Digitalisierung von Industrie, Wirtschaft und Gesellschaft. In der Studie wird untersucht, wie digitale Zwillinge eingesetzt werden können, um Prozesse zu optimieren, Fehler vorherzusagen und anomale Situationen zu erkennen. Diese Fähigkeiten machen DTs zu einer entscheidenden Technologie, um die Resilienz und Sicherheit in verschiedenen Anwendungsbereichen zu verbessern.

Einführung und Definition von Digital Twins

Ein Digital Twin (DT) ist eine virtuelle Repräsentation von realen Objekten oder Prozessen, die kontinuierlich mit Daten aus der physischen Welt synchronisiert wird. Diese Technologie ermöglicht es, physische Vermögenswerte zu simulieren und zu überwachen, was Vorteile in der prädiktiven Wartung, Prozessoptimierung, Sicherheitsmanagement und Risikoanalyse bietet. Digitale Zwillinge kommen zunehmend in verschiedenen Branchen zum Einsatz, darunter die Industrie 4.0, das Gesundheitswesen und kritische Infrastrukturen wie die Energieversorgung.

Laut der Studie werden DTs sowohl offline als auch online eingesetzt, um prädiktive Wartungsprozesse zu unterstützen, Echtzeitüberwachung durchzuführen, Fernsteuerungen zu ermöglichen und komplexe Prozesse zu optimieren. Besonders im Bereich der Cybersicherheit werden DTs genutzt, um Risiken zu erkennen und Bedrohungen abzuwehren.

Herausforderungen der Technologie

Trotz der vielen Vorteile stehen Digital Twins noch vor einigen Herausforderungen. Zu den größten Problemen zählen die technischen Abhängigkeiten sowie die noch fehlende Standardisierung der Technologie. In vielen Fällen gibt es noch keine einheitlichen Architekturen oder klar definierten Standards für den Einsatz von DTs, was die Interoperabilität erschwert. Die mangelnde Standardisierung kann dazu führen, dass Unternehmen Schwierigkeiten haben, DTs effektiv in ihre bestehenden Systeme zu integrieren.

Ein weiteres Problem ist die Angriffsfläche, die durch die Einführung von DTs vergrößert wird. Da DTs eng mit physischen und virtuellen Systemen verbunden sind, entstehen neue Angriffspunkte, die von Cyberkriminellen ausgenutzt werden könnten. Es besteht die Gefahr, dass Schwachstellen in der digitalen Kopie eines Systems auch das reale System gefährden, was die Cybersicherheit der gesamten Infrastruktur gefährden kann.

Anwendungsfälle für Digital Twins

Die Studie beschreibt vier wesentliche Anwendungsfälle, bei denen DTs von großem Nutzen sind:

  1. Business: Digitale Zwillinge helfen Unternehmen, Geschäftsabläufe zu simulieren und Prozesse zu optimieren. Durch die Simulation können potenzielle Probleme frühzeitig erkannt und behoben werden, bevor sie das reale Geschäft beeinträchtigen. Im Energiesektor wird beispielsweise die gesamte elektrische Infrastruktur simuliert, um potenzielle Systemkompromisse zu identifizieren und zu beheben.
  2. Bildung und Ausbildung: DTs spielen eine wichtige Rolle in der Ausbildung und dem Kompetenzaufbau. In simulierten Umgebungen können komplexe Prozesse nachgebildet und praktische Fähigkeiten vermittelt werden. Dies fördert das Verständnis von Systemen und ermöglicht es den Lernenden, realistische Aufgaben in einer sicheren Umgebung zu üben.
  3. Industrie 4.0/5.0: DTs tragen zur Automatisierung und Optimierung von Produktionsprozessen bei. In der Industrie 5.0 geht es um die Mensch-Maschine-Interaktion, bei der Menschen und Roboter auf dem Shopfloor zusammenarbeiten. DTs ermöglichen es, die menschlichen Verhaltensmuster zu modellieren und die Produktivität und Sicherheit der Produktion zu verbessern.
  4. Industrielle Cybersicherheit: Im Bereich der Cybersicherheit werden DTs eingesetzt, um Bedrohungen frühzeitig zu erkennen und Abwehrmaßnahmen zu testen. Ein Beispiel ist das Airbus CyberFactory#1-Projekt, bei dem ein DT für die Produktionsprozesse eingesetzt wird, um Sicherheitslücken zu identifizieren und Sicherheitsmaßnahmen zu entwickeln.

Cybersicherheit und Digital Twins

DTs bieten enorme Vorteile im Bereich der Cybersicherheit. Durch die Simulation von Angriffsszenarien und Sicherheitslücken können Unternehmen potenzielle Bedrohungen frühzeitig erkennen und präventive Maßnahmen ergreifen. Digitale Zwillinge ermöglichen es, Anomalien im Netzwerkverhalten zu erkennen und potenzielle Schwachstellen in der Infrastruktur zu identifizieren. Zudem können sie als Trainingsplattform für Cybersicherheitsexperten dienen, um verschiedene Bedrohungsszenarien in einer sicheren Umgebung zu testen.

Die Studie hebt hervor, dass DTs in der Lage sind, Sicherheitsvorfälle zu simulieren, potenzielle Angriffe zu modellieren und Schwachstellen zu testen. Dies führt zu einer besseren Situationsbewusstsein und ermöglicht es Unternehmen, Bedrohungen proaktiv zu begegnen.

Empfehlungen und Best Practices

Um die Cybersicherheit von DTs zu gewährleisten, gibt die ECSO-Studie eine Reihe von Empfehlungen. Dazu gehört die Integration von Cybersicherheitsanforderungen in die DT-Architekturen und die Implementierung von Schutzmaßnahmen auf allen Ebenen – von der physischen bis zur virtuellen Schicht. Zudem sollten Unternehmen standardisierte Risikobewertungs- und Governance-Methoden anwenden, um sicherzustellen, dass die Sicherheitsanforderungen in ihren DT-Systemen erfüllt werden.

Die Studie empfiehlt auch, Schulungen und Weiterbildungsmaßnahmen im Umgang mit DTs durchzuführen, um das Personal auf die potenziellen Risiken und die Sicherheitsanforderungen vorzubereiten.

Fazit

Die ECSO-Studie „Cybersecurity Scenarios and Digital Twins“ zeigt, dass digitale Zwillinge eine entscheidende Rolle in der Cybersicherheit spielen. Sie ermöglichen es Unternehmen, Bedrohungen frühzeitig zu erkennen, Schwachstellen zu testen und präventive Maßnahmen zu ergreifen. Trotz der bestehenden Herausforderungen, insbesondere der fehlenden Standardisierung und der erweiterten Angriffsflächen, bieten DTs enorme Potenziale für die Optimierung und Sicherung von Prozessen in verschiedenen Branchen.

 



TeleTrusT

 

Zusammenfassung des Berichts: “TeleTrusT-Leitfaden: Cloud Security” (Mai 2023)

Einleitung

Der „TeleTrusT-Leitfaden zur Cloud-Sicherheit“ aus dem Jahr 2023 bietet einen umfassenden Überblick über die aktuellen Herausforderungen und Best Practices im Bereich der Cloud-Security. Angesichts der zunehmenden Verbreitung von Cloud-Diensten in Unternehmen und Organisationen steht der Schutz dieser Infrastrukturen im Fokus. Der Bericht richtet sich sowohl an IT-Sicherheitsverantwortliche als auch an Entscheidungsträger, die für die Integration und Verwaltung von Cloud-Diensten zuständig sind.

Risiken und Herausforderungen in der Cloud-Sicherheit

Der Leitfaden beginnt mit einer Analyse der aktuellen Bedrohungslage, insbesondere im Kontext von Supply-Chain-Angriffen. Diese Art von Angriffen hat in den letzten Jahren erheblich zugenommen, wobei prominente Vorfälle wie der Angriff auf SolarWinds und die Log4J-Schwachstelle als Beispiele angeführt werden. Cloud-Dienste sind besonders anfällig, da sie auf komplexen Lieferketten basieren, die aus zahlreichen Komponenten und Diensten bestehen, die von verschiedenen Anbietern bereitgestellt werden.

Ein zentrales Problem in der Cloud-Sicherheit ist die mangelnde Transparenz innerhalb der Lieferkette. Unternehmen, die Cloud-Dienste nutzen, haben oft keinen direkten Einfluss auf die Sicherheitsmaßnahmen, die auf den verschiedenen Ebenen der Lieferkette implementiert sind. Dies macht es schwierig, Risiken zu bewerten und geeignete Gegenmaßnahmen zu ergreifen.

Technische Maßnahmen zur Verbesserung der Cloud-Sicherheit

Der Leitfaden empfiehlt verschiedene technische Maßnahmen, um die Sicherheit von Cloud-Diensten zu verbessern:

  1. Software Bill of Materials (SBOM): Eine SBOM bietet eine detaillierte Aufstellung aller Softwarekomponenten, die in einer Anwendung oder einem Dienst verwendet werden. Dies schafft Transparenz über die eingesetzten Softwarebestandteile und ermöglicht es Unternehmen, schnell auf neue Schwachstellen zu reagieren, die in diesen Komponenten entdeckt werden.
  2. Verschlüsselung: Der Einsatz von Verschlüsselungstechnologien, sowohl bei der Datenübertragung (Encryption in Transit) als auch bei der Speicherung (Encryption at Rest), wird als essenziell betrachtet. Es wird empfohlen, eigene Zertifikate zu verwenden, um die Daten auch vor den Cloud-Anbietern selbst zu schützen.
  3. Monitoring und Anomalie-Erkennung: Die Implementierung von Monitoring-Systemen, die Anomalien in der IT-Infrastruktur erkennen können, ist eine weitere wichtige Maßnahme. Diese Systeme helfen, ungewöhnliche Aktivitäten frühzeitig zu identifizieren und so potenzielle Angriffe abzuwehren.
  4. Multi-Faktor-Authentifizierung (MFA): Der Einsatz von MFA erhöht die Sicherheit von Benutzerkonten und schützt vor unbefugtem Zugriff.

Organisatorische Maßnahmen und rechtliche Rahmenbedingungen

Neben den technischen Maßnahmen betont der Leitfaden auch die Bedeutung organisatorischer Maßnahmen und rechtlicher Rahmenbedingungen. Dazu gehören:

  • Provider Assessment: Eine gründliche Überprüfung von Cloud-Anbietern ist unerlässlich, um sicherzustellen, dass diese die erforderlichen Sicherheitsstandards einhalten. Dies umfasst die Analyse von Zertifikaten, Testaten und gegebenenfalls auch Vor-Ort-Prüfungen.
  • Vertragliche Absicherungen: Der Leitfaden empfiehlt, klare vertragliche Regelungen bezüglich der Verantwortlichkeiten zwischen Cloud-Kunden und -Anbietern zu treffen. Dies beinhaltet auch die Festlegung von Haftungsfragen und Audit-Rechten, um sicherzustellen, dass der Cloud-Anbieter seinen Verpflichtungen nachkommt.
  • Notfallplanung: Unternehmen sollten Notfallpläne entwickeln, die spezifische Szenarien für den Ausfall oder die Kompromittierung von Cloud-Diensten abdecken. Diese Pläne sollten regelmäßig überprüft und angepasst werden, um die Geschäftskontinuität sicherzustellen.

Fazit

Der „TeleTrusT-Leitfaden zur Cloud-Sicherheit“ bietet einen fundierten Überblick über die notwendigen Maßnahmen, die Unternehmen ergreifen sollten, um ihre Cloud-Dienste sicher zu gestalten. Die Kombination aus technischen, organisatorischen und rechtlichen Maßnahmen ermöglicht es, die Risiken in der Cloud-Supply-Chain zu minimieren und die IT-Sicherheit insgesamt zu stärken. Unternehmen, die Cloud-Dienste nutzen, sind angehalten, ihre Sicherheitsstrategien regelmäßig zu überprüfen und an die sich ändernden Bedrohungslagen anzupassen.

 



European Commission

 

Technical Paper on Internet of Things (IoT)
Die ECSO-Studie „Technical Paper on Internet of Things (IoT)“ von Juli 2022 analysiert die Cybersicherheitsanforderungen und technischen Herausforderungen, die mit der zunehmenden Verbreitung von IoT-Geräten in verschiedenen Branchen verbunden sind. Die Studie beleuchtet, wie IoT-Technologie die Effizienz, Sicherheit und Flexibilität verbessert, dabei aber gleichzeitig neue Sicherheitsrisiken und Datenschutzprobleme mit sich bringt. Die Integration von IoT in kritische Infrastrukturen, Industrieprozesse und den Konsumentenmarkt erfordert eine enge Zusammenarbeit zwischen Herstellern, Regulierungsbehörden und Cybersicherheitsexperten, um vertrauenswürdige und sichere Lösungen zu schaffen.

IoT-Ökosystem und Relevanz

Das IoT-Ökosystem wächst rapide, und bis 2025 werden weltweit 74 Milliarden vernetzte Geräte erwartet. Diese Geräte finden Anwendung in Bereichen wie Smart Cities, Smart Farming, autonomem Fahren, industriellen Prozessen und häuslichen Anwendungen. Trotz des enormen Potenzials, das IoT für Effizienzsteigerungen und Innovation bietet, stellen Sicherheits- und Datenschutzbedenken eine große Herausforderung dar. Viele Geräte fehlen grundlegende Sicherheits- und Datenschutzfunktionen, was zu einem Vertrauensverlust bei den Nutzern führen kann. Besonders die Verwundbarkeit von IoT-Geräten gegenüber Cyberangriffen ist ein entscheidender Faktor, der das Vertrauen in vernetzte Lösungen beeinträchtigt.

Technologische Herausforderungen

Die Implementierung von IoT in großem Maßstab ist komplex und erfordert sichere, vertrauenswürdige Lösungen auf verschiedenen Ebenen. Die Studie benennt vier wesentliche technische Herausforderungen:

  1. Sichere und vertrauenswürdige physische Geräte: IoT-Geräte zeichnen sich oft durch geringe Kosten, begrenzte Rechenleistung und lange Lebenszyklen aus. Dies führt dazu, dass viele Geräte nicht mit ausreichenden Sicherheitsfunktionen ausgestattet sind. Zudem sind sie durch physische Manipulationen gefährdet, was zu Datenverlust oder einer Kompromittierung des geistigen Eigentums führen kann.
  2. Sichere und vertrauenswürdige Konnektivität und Netzwerke: Da IoT-Geräte über verschiedene drahtlose Technologien miteinander verbunden sind, entstehen Herausforderungen bei der Sicherung der Kommunikationskanäle. Besonders problematisch sind die Unterschiede in Bandbreite und Energieverbrauch, die verhindern können, dass Sicherheitsupdates effektiv über das Netz verteilt werden. Eine zuverlässige Ende-zu-Ende-Verschlüsselung und Authentifizierung sind entscheidend, um Angriffe zu verhindern.
  3. Sichere und vertrauenswürdige IoT-Plattformen und -Dienste: Interoperabilität zwischen Geräten, Protokollen und Datenmodellen ist entscheidend, um IoT-Plattformen sicher und effizient zu betreiben. Unterschiedliche Implementierungen und Protokolle können Sicherheitslücken schaffen, die von Angreifern ausgenutzt werden könnten. Es bedarf standardisierter Protokolle und regelmäßiger Sicherheitsupdates, um die Kommunikation zwischen den Geräten sicherzustellen.
  4. Sichere und vertrauenswürdige IoT-Anwendungen: IoT-Anwendungen bieten durch die Erfassung und Analyse großer Datenmengen enorme Vorteile. Doch die Kontrolle über diese Daten, insbesondere in sensiblen Bereichen wie dem Gesundheitswesen, muss gewährleistet sein. Datenschutz durch Technikgestaltung (Privacy by Design) ist hier ein zentrales Element, um das Vertrauen der Nutzer zu gewinnen.

Cybersicherheitsherausforderungen

Die Cybersicherheit von IoT-Geräten ist eine der größten Hürden für die breite Einführung dieser Technologie. Zu den wesentlichen Herausforderungen gehören:

  • Sicherheit auf Geräteeebene: Geringe Rechenleistung und niedrige Kosten erschweren es, umfassende Sicherheitsfunktionen in IoT-Geräte zu integrieren.
  • Konnektivitätsrisiken: Unsichere Kommunikationsprotokolle und -kanäle können zu unbefugtem Zugriff und Manipulationen führen.
  • Plattform- und Dienstsicherheit: Die Plattformen, auf denen IoT-Geräte betrieben werden, müssen gegen Bedrohungen geschützt und regelmäßig aktualisiert werden.
  • Benutzersicherheit und Datenschutz: Datenschutzprobleme und die mögliche Überwachung von Nutzerdaten durch IoT-Geräte stellen ebenfalls eine erhebliche Herausforderung dar.

Empfehlungen und Ausblick

Die ECSO-Studie empfiehlt, dass die Cybersicherheit von IoT-Geräten von Anfang an in den Entwicklungsprozess integriert wird. Hersteller sollten eingebettete Sicherheitsfunktionen standardmäßig implementieren und Sicherheitsstandards einhalten. Die Zusammenarbeit zwischen Regulierungsbehörden und der Industrie ist entscheidend, um einheitliche Sicherheitsanforderungen und Zertifizierungsverfahren zu entwickeln, die den wachsenden Anforderungen der IoT-Technologie gerecht werden.

Zusätzlich müssen neue Technologien wie Edge-Computing und verschlüsselte Kommunikation genutzt werden, um Daten sicher zu verarbeiten und gleichzeitig die Abhängigkeit von zentralen Cloud-Lösungen zu verringern. Der Einsatz von Technologien wie RISC-V (offene Hardwarearchitekturen) wird ebenfalls als zukunftsweisend erachtet, um die europäische Souveränität im IoT-Bereich zu stärken.

Fazit

Die ECSO-Studie zum Internet der Dinge (IoT) hebt die dringende Notwendigkeit hervor, die Cybersicherheitsanforderungen für IoT-Geräte und -Plattformen zu verbessern. Die Herausforderungen reichen von der Sicherung physischer Geräte bis hin zur Gewährleistung des Datenschutzes in IoT-Anwendungen. Mit klaren Richtlinien, standardisierten Protokollen und einem proaktiven Sicherheitsansatz kann Europa eine führende Rolle bei der Entwicklung sicherer IoT-Lösungen übernehmen.