Betreiber kritischer Infrastrukturen fühlen sich gut auf Cyberangriffe vorbereitet  

Illustration: Absmeier, Marketing-Ass

Die Sicherheitslage in Unternehmen ist angespannt. Cyberkriminelle nutzen modernste Technologien sowie die Möglichkeiten der Vernetzung, um IT-Infrastrukturen mit großer krimineller Energie anzugreifen.

Corona-Krise: KRITIS im Fadenkreuz von Hackern
Diese Lage wird durch die Corona-Krise verschärft, weil die Pandemie auch neue Angriffsmöglichkeiten schafft. Kriminelle nutzen die Verunsicherung der Menschen für Phishing-Attacken, um Zugang zu IT-Infrastrukturen zu bekommen oder Betrugsversuche rund um öffentliche Förder- und Hilfsprogramme zu starten.

Im Fadenkreuz stehen auch die sogenannten kritischen Infrastrukturen (KRITIS) in Deutschland, zeigt der Lagebericht zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Zu KRITIS gehören beispielsweise die Energie- und Wasserversorgung, das Gesundheitswesen oder die öffentliche Verwaltung. In diesen Bereichen ist der Schutz von IT-Infrastrukturen besonders wichtig, damit die Einwohner geschützt sind.

Cyberabsicherung wird als gut empfunden
Eine neue Techconsult-Umfrage im Auftrag von Microsoft Deutschland zeigt, dass die Betreiber kritischer Infrastrukturen sich mit großer Mehrheit als »gut« (57 Prozent) oder »sehr gut« (31 Prozent) gegen moderne Cyberattacken abgesichert empfinden. Für die Untersuchung hat Techconsult insgesamt 200 Business-, IT- und Security-Entscheider von KRITIS-Unternehmen aus Deutschland im November 2020 befragt. Nur zwölf Prozent bewerten ihren Schutz gegen Cyberattacken als »weniger gut« oder »nicht gut«. Und je größer die Unternehmen sind, desto besser bewerten sie auch ihre Sicherheit. Bei Unternehmen mit 10 bis 49 Mitarbeiter geben sich 78,5 Prozent die Noten »gut« und »sehr gut«, doch bei Firmen ab 1.000 Mitarbeitern sind es sogar 86,1 Prozent.

Mehr Sicherheit durch Cloud-Lösungen
Wenn man die KRITIS-Entscheider fragt, welche Strategien und Maßnahmen sie bereits für Cyber-Security setzen, nennen die meisten: das Cloud-basierte Identitäts- und Zugriffsmanagement inklusive Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiter (66,5 Prozent). Mehrfachnennungen waren möglich. Dieses Ergebnis zeigt das Vertrauen in das hohe Sicherheitsniveau der Cloud. Auf den weiteren Rängen folgen die Awareness-Schulungen für Mitarbeiter (47,7 Prozent) sowie der Einsatz von KI- und Automatisierungstechnologien (38,6 Prozent).

Zero Trust: Da geht noch was!
Ausbaufähig ist dagegen die Nutzung der modernen Zero-Trust-Strategien, die mit 31,5 Prozent nur den vierten Platz bei den Abwehrmaßnahmen belegen. Dabei sind sie besonders sicher, denn sie funktionieren nach dem Prinzip »Vertrauen ist gut, Kontrolle ist besser«. Zero Trust geht davon aus, dass nichts sicher ist und man niemals nur einem Parameter (zum Beispiel nur Benutzername und Passwort) vertrauen darf. Deshalb prüft das Modell jedes Datenpaket auf mehreren Ebenen und geht gleichzeitig davon aus, dass alle Zugriffe aus dem freien Internet kommen. Vor allem beim Arbeiten mit Homeoffice und Fernzugriff ist dieser Ansatz sehr sinnvoll. Bevor der Zugriff gewährt wird, muss eine Anforderung vollständig authentifiziert und autorisiert werden. Mikrosegmentierung und Zugriff mit geringsten Rechten gehören zu den Grundfunktionen und verhindern die Ausbreitung von Angreifern im System. Hinzu kommen umfassende Intelligence und Analysen, um Anomalien in Echtzeit zu erkennen und abzuwehren. Mehr Informationen zum Zero-Trust-Ansatz von Microsoft lesen Sie hier [1].

Fehlverhalten von Mitarbeitern bleibt Einfallstor für Angriffe
Doch was sehen die KRITIS-Entscheider in der Techconsult-Umfrage als größte Sicherheitsrisiken an? Auf Platz eins kommen die externen Cyberangriffe (60,5 Prozent, Mehrfachnennungen möglich), denen das Fehlverhalten von Mitarbeitern mit knappen Abstand folgt (57,5 Prozent). Auch der interne Datendiebstahl wird mit 39,5 Prozent als relativ große Gefährdung betrachtet. Erfreulich ist in der aktuellen Home-Office-Zeit das offenbar niedrige Risiko durch Remote Work (23,5 Prozent), das mit der starken Nutzung von Cloud-Sicherheitstechnologien korrespondiert.

Lebenslanges Lernen: Für Cybersicherheit die richtige Wahl
Der Stellenwert von Awareness-Schulungen zeigt sich auch bei der Frage, wie Unternehmensverantwortliche ihre Mitarbeiter für Sicherheit und Datenschutz sensibilisieren: Regelmäßige Schulungen und Workshops werden mit 60,8 Prozent am häufigsten genannt, gefolgt von Trainingsprogrammen mit Zertifizierungen (50,3 Prozent), fest etablierten Notfallplänen (37,2 Prozent) und ausschließlich anlassbezogenen Schulungen (31,7 Prozent). Mehrfachnennungen waren möglich.

Allerdings gibt es in diesem Bereich ein deutliches Gefälle zwischen kleinen und großen Unternehmen. Während nur 14,3 Prozent der Firmen mit 10 bis 49 Mitarbeitern regelmäßige Schulungen anbieten, setzen die anderen Unternehmensgrößen zu ungefähr zwei Dritteln auf dieses Instrument. Den Spitzenwert liefern Firmen mit 250 bis 999 Mitarbeiter*innen (70,2 Prozent) und bei Unternehmen ab 1.000 Mitarbeitern sind es 61,1 Prozent.

[1] https://www.microsoft.com/de-de/security/business/zero-trust

 

2976 Artikel zu „KRITIS“

Digitale Infrastruktur wird zur kritischen Infrastruktur

Empfehlungen für den Neustart nach der Corona-Krise mit mehr digitaler Resilienz und Innovation. Die Digital Leader Community, ein Netzwerk aus IT-& Digitalentscheidern, zusammengebracht von Cloudflight, hat kürzlich das Diskussionspapier »Digitale Infrastruktur wird zur kritischen Infrastruktur« veröffentlicht. Im Fokus steht die Relevanz solcher Infrastrukturen für die Gesellschaft sowie konkrete Handlungsempfehlungen für Unternehmen und Behörden. Digitale Infrastrukturen…

Whitepaper: Drei kritische Organisationsveränderungen, um die Covid-19-Herausforderungen zu meistern

CGI hat das Whitepaper »Charting the path forward with resilience and adaptability« veröffentlicht. Darin zeigt der End-to-End-IT-Servicedienstleister, wie Führungskräfte des öffentlichen und privaten Sektors Covid-19-Auswirkungen mit organisatorischen Veränderungen bewältigen können. Nach wie vor ist die Pandemie Ursache für erhebliche Beeinträchtigungen in Wirtschaft, Markt und Unternehmen. Das Whitepaper wurde von CGI President & CEO George D.…

Kritische Kommunikation: Fünf Sicherheitsfallen, die Unternehmen vermeiden sollten

Smartphone und Tablet bieten zahlreiche Einfallstore für Cyberkriminelle. Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation vor den unterschiedlichsten Sicherheitsrisiken schützen, warnt Virtual Solution. Fallen Strom-, Wasser- oder Gesundheitsversorgung durch Hackerangriffe aus, drohen schlimme Konsequenzen für Bürger und Unternehmen. Die Herausforderungen in puncto IT-Sicherheit nehmen für Energieversorger, Krankenhäuser oder Transportunternehmen kontinuierlich zu, denn die Angriffsflächen…

KRITIS: Wo die Politik versagt, ist Eigeninitiative gefragt

Wieder hat es ein Unternehmen der kritischen Infrastrukturen (KRITIS) erwischt, wie der SWR kürzlich berichtete: Hacker ergaunerten sich beim Angriff auf einen Ludwigshafener Energieversorger 500 GB Kundendaten und erpressten damit das Unternehmen. Als dieses kein Lösegeld zahlte, stellten die Angreifer die Daten, inklusive Kontoverbindungen, von zirka 150.000 Kunden ins Darknet – frei verfügbar für Cyberverbrecher…

Schutz kritischer Infrastruktur erfordert menschliche und künstliche Intelligenz

»Insight the Mind of a Hacker 2020« bietet einen Überblick über den Status Quo der internationalen ethischen Hacker-Gemeinschaft. Bugcrowd stellte die Ergebnisse der Studie »Inside the Mind of a Hacker 2020« vor [1]. Demnach spielen Kreativität und Einfallsreichtum eine wichtige Rolle, um kriminell motivierten Hackern den entscheidenden Schritt voraus zu sein. So reicht für 78…

Softwareinvestitionen kritisch für das Überleben des Mittelstands nach der Coronakrise

Die Digitalisierung in Deutschland kam bisher eher schleppend voran. Ausgerechnet eine weltweite Pandemie ist jetzt der Anlass um in Sachen digitale Transformation Vollgas zu gegeben. Softwareinvestitionen wurden erhöht und für das Überleben von Unternehmen notwendige Software gekauft. So geben laut der aktuellen Capterra-Studie ein Drittel der befragten Unternehmen an, dass die angeschaffte Software kritisch für…

Deutsche Führungskräfte treffen geschäftskritische Entscheidungen am schnellsten

Das Bauchgefühl ist nach wie vor Entscheidungshelfer Nummer eins. 91 % glauben, dass mehr Daten die Arbeit optimieren würden, diese sind aber nicht schnell genug verfügbar. Splunk hat eine unabhängige Studie durch Censuswide in Auftrag gegeben. Ziel war es herauszufinden, wie es um die Entscheidungsfindung von europäischen Führungskräften steht. Dazu wurden im Zeitraum vom 29.08.…

5 Faktoren, die das Cyberrisiko Kritischer Infrastrukturen erhöhen

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind,…

Mythos künstliche Intelligenz – eine kritische Betrachtung des Hypes

Übernehmen die Maschinen? Es herrscht große Unsicherheit darüber, wie der Einsatz künstlicher Intelligenz, maschinellen Lernens und Automatisierung unseren Arbeitsalltag beeinflussen wird. Lernexperte Skillsoft sprach mit Datenwissenschaftlern und entmystifiziert den KI-Hype. Was verstehen Experten unter den Begrifflichkeiten, welche Entwicklungen haben den großen Aufschwung rund um den Einsatz von KI und Co bewirkt und warum bleiben gut…

Einführung von Stream Processing und KI im Unternehmen – Engpässe und erfolgskritische Zusammenhänge

Aktuell wird viel darüber diskutiert, wie künstliche Intelligenz (KI) eingesetzt werden kann, insbesondere im Hinblick auf Stream Processing und Datenströme zwischen Systemen, Endgeräten und Echtzeitanwendungen. Da die Einführung von KI im Unternehmen einen entscheidenden Punkt erreicht hat, wird deutlich, dass Stream Processing und KI oft zusammenhängen und ähnliche Herausforderungen auftreten.   KI und Echtzeitdaten sind…

Mehrheit der Unternehmen schützt geschäftskritische Applikationen unzureichend

Gemäß einer neuen Untersuchung räumen 80 Prozent der Unternehmen in Deutschland dem Schutz von kritischen Applikationen wie ERP- und CRM-Systemen keine besondere Priorität ein. Sie werden in dem gleichen Maße gesichert wie auch weniger wichtige Daten, Applikationen oder Services. An der neuen CyberArk-Umfrage beteiligten sich 1.450 Business- und IT-Entscheider hauptsächlich aus westeuropäischen Ländern [1]. Die…

Enge Integration mit geschäftskritischen Anwendungen: Veeam erhält Backup-Zertifizierung für SAP HANA

Neue Veeam Availability Suite 9.5 Update 4 bietet zertifiziertes Plug-In für SAP HANA. Integration mit SAP HANA verbessert Backup und Disaster Recovery. Vollständige Backup-Kontrolle für SAP-Administratoren.   Veeam Software, Anbieter von Backup-Lösungen für intelligentes Datenmanagement, hat jetzt für das neue Veeam Plug-In für SAP HANA die offizielle Zertifizierung »SAP Certified Integration for SAP HANA« erhalten.…

Mehr Aufmerksamkeit für den Endpunktschutz bei kritischen Infrastrukturen

Da Cyberangriffe auf ICS- und SCADA-Systeme immer häufiger gemeldet werden, steigt der Bedarf an robustem Endpunktschutz. Das rasante Wachstum des Internets mit seiner zunehmenden Datenflut sorgt dafür, dass permanent Informationen und Daten ausgetauscht werden, in denen auch Malware versteckt werden kann. Diese »Datenvöllerei« führt dazu, dass Unternehmen Verbindungen zu Geräten in ihren Prozesskontrollnetzwerken bereitstellen müssen,…

Digitale Transformation: Die Netzwerksicherheit ist geschäftskritisch

So bedienen Unternehmen die Anforderungen an Konnektivität und Datensicherheit. Die digitale Transformation führt zu einem rasanten Wachstum an Netzwerkendpunkten, die es zu versorgen und zu managen gilt. Gleichzeitig steigt die Gefahr durch Cyberangriffe. Gemischte Netzwerkarchitekturen aus On-Premises- und Cloud-Lösungen sind das Mittel der Wahl.   Sicherheitsexperten gehen davon aus, dass mehrere hundert Millionen Malware-Proben im…

Geschäftskritische Downtime durch moderne Backups minimieren – Schnell zurück zum Tagesgeschäft

Unternehmen generieren mehr Daten als je zuvor: Laut IDC soll bis zum Jahr 2020 eine Datenmenge von 40 Zettabytes entstehen. Neben dem Volumen nimmt auch die Bedeutung der Daten zu. Die intelligente Nutzung von Daten hat sich als unerlässlich für die Wettbewerbsfähigkeit, den Umsatz und das Tagesgeschäft von Unternehmen auf der ganzen Welt erwiesen.  …

»Co-creation for Success«: Unternehmen sehen Balance der Interessen von Mitarbeitern, Kunden und Bürgern kritisch

Studie untersucht die Beziehung von Unternehmen zu ihren Stakeholder-Gruppen Mitarbeiter, Kunden und Bürger, wie wichtig jede Gruppe für den Erfolg ist und welche Rolle Kultur, Kreativität und digitale Technologie im Gesamtbild spielen. Unternehmen fühlen sich vor allem ihren Mitarbeitern verpflichtet (60 Prozent), gefolgt von Kunden (55 Prozent) und dem gesellschaftlichen Umfeld (37 Prozent). In Anbetracht…

Agil in der Praxis – Skalierung mit verteilten Teams für kritische Systeme

Agile Entwicklung bringt Effizienz und Flexibilität. Ein neues Kompendium stellt beste Industriepraxis zum Thema »Agil in der Praxis« vor. Neben agilen Projekten von Vector reichern Unternehmen wie ABB, Bosch, Essence, Ford, ZF mit eigener Erfahrungen an. Im White Paper geht es um agile Skalierung, agile Hardware- und Systementwicklung, Agile für Safety, verteilte Teams sowie passende…