BSI warnt: Bedrohung durch Cyberangriffe steigt weiter

Illustration: Absmeier

Die Sicherheitsbehörden sehen aktuell zwar keine akute Gefährdung der Informationssicherheit in Deutschland im Zusammenhang mit der Situation in der Ukraine. Doch die Bedrohungslage verschärft sich – und das nicht nur abstrakt.

»Die Bedrohung durch Cyberangriffe in Deutschland hat sich nach dem Angriff Russlands auf die Ukraine weiter verschärft. Bereits im vergangenen Herbst habe man in Teilen eine »Alarmstufe Rot« ausrufen müssen, sagte der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, am Donnerstag auf der »Potsdamer Konferenz für Nationale Cybersicherheit«.

Dabei verweist der BSI-Chef sowohl auf eine erhöhte abstrakte Gefährdung als auch auf konkrete Angriffe. Laut Angaben des Bundeskriminalamtes (BKA) steigt auch die Zahl der im Cyberraum verübten Straftaten weiter an.

 

 

Dazu ein Kommentar von Etay Maor, Senior Director Security Strategy bei Cato Networks:

»Der BSI-Präsident warnte erst kürzlich vor einer steigenden Zahl auch schwerwiegender Cyberangriffe aufgrund des Konflikts zwischen Russland und der Ukraine. Er verwies dabei insbesondere auf den Angriff gegen die deutsche Tochtergesellschaft von Rosneft und die Kollateralschäden in Zusammenhang mit dem russischen Angriff auf KA-SAT, der deutsche Windkraftanlagen beeinträchtigte.

Leider sind solche Angriffe und die mit ihnen verbundenen Auswirkungen durchaus vorhersehbar. Gleichzeitig sind sie auf Basis der aktuellen Cybersicherheitsarchitektur und Verfahren nur schwer zu verhindern, abzumildern oder gar aufzudecken. Angriffe auf kritische Infrastrukturen sind nichts Neues, vom Angriff auf das ukrainische Stromnetz bis hin zu Colonial Pipeline. Erst im letzten Jahr sollte gar die Wasserversorgung einer Kleinstadt durch einen Cyberangriff vergiftet werden (glücklicherweise waren die Verantwortlichen in der Lage, die Bedrohung zu entschärfen, bevor Menschen zu Schaden gekommen sind). Der Angriff hat aber einmal mehr gezeigt, wie leicht es ist, kritische Systeme zu attackieren und wie unsicher sie sind.

Kollateralschäden sind ebenfalls ein zentrales Thema, das Unternehmen bei ihrer Risikobewertung berücksichtigen sollten. Maersk wurde Opfer der zerstörerischen Malware NotPetya, Stuxnet traf auch den deutschen Hersteller Siemens. Wenn wir das Konzept des Kollateralschadens ausweiten, wird die Bedrohungslandschaft gerade für kleine und mittlere Unternehmen zum Albtraum. Kollateralschaden meint dann nicht nur die Schäden, die eine Waffe über das eigentliche Ziel hinaus verursacht. Hier sprechen wir auch von Hacktivisten-Gruppen, die in Konfliktzeiten ihre Angriffe verstärken  – sei es aus einer ideologischen oder patriotischen Motivation heraus oder/und weil sie im Auftrag einer Regierung agieren.

Das Problem für Unternehmen ist, dass es hier nicht aufhört. Die Kriminalität im Cyberraum steigt auch generell. Laut BKA-Präsident Holger Münch hat sich die Zahl der Verstöße seit 2015 mehr als verdoppelt. Der Krieg in der Ukraine hat nicht nur zu einem Anstieg bei der Cyberkriminalität geführt, sondern es haben sich auch neue Gruppierungen und Ransomware-Banden zusammengefunden.

Was all diese Probleme gemeinsam haben? Praktisch jedes betroffene Unternehmen betrachtet das Cybersicherheitsrisiko als eine Reihe von einzelnen Problemen, die mit Einzellösungen adressiert werden. Phishing? Dafür setzen wir ein System ein. Schwachstellen? Wir haben ein Patch-Management-Team. Verdächtige Ereignisse? Protokollieren wir! Dazu kommen Firewalls, Anti-Virus und DLP, SIEM, EDR und VPNs und und und… Nur: eine Sicherheitsverletzung ist NIE Folge eines einzelnen Fehlers. In so gut wie allen Fällen resultiert eine erfolgreiche Datenschutzverletzung aus dem kompletten Versagen sämtlicher Sicherheitsprodukte und -prozesse. Jeder Angreifer muss viele verschiedene Aufgaben erfolgreich bewältigen, um ans Ziel zu gelangen. Cyberangriffe durchlaufen immer mehrere Phasen. Wenn wir diese nicht ganzheitlich betrachten und angehen, gibt es kaum einen Grund, warum sich etwas ändern sollte. Unternehmen setzen durchschnittlich 30 bis 40 verschiedene Sicherheitsprodukte ein. Die zwingen Sicherheitsingenieure, Analysten und sogar Manager, ständig neue Integrationsprojekte in Betracht zu ziehen und umzusetzen, verschiedenste Geräte zu verwalten, zu patchen, diverse Richtlinien zu aktualisieren und so weiter. Ein Ansatz, den wir dringend überdenken sollten.

All das gilt vor allem für kleine und mittlere Unternehmen. Sie verfügen so gut wie nie über das nötige Budget, das entsprechende Personal und die Zeit, um ein Sicherheitsteam zusammenzustellen, zu pflegen und auszubauen, das dem einer Großbank oder staatlichen Einrichtung entspricht.

Wenn solche Firmen Opfer eines Cyberangriffs werden, kann das bis zur Geschäftsaufgabe führen. Nur, weil ein Unternehmen klein ist, heißt das noch lange nicht, dass es nicht Ziel eines Angriffs wird. Das Gegenteil ist der Fall. Kleine und mittlere Unternehmen sind also angehalten, eine Verteidigung auf die Beine zu stellen, die der eines Großunternehmens entspricht, und die gleichzeitig die aktuellen Mitarbeiteranforderungen von Remote Working und Cloud-Anwendungen erfüllt.

Das BSI erinnert Unternehmen und Organisationen in Deutschland sehr deutlich daran, dass Konflikte zu Kriminalität und Kollateralschäden führen. In der digitalen Welt sind Unternehmen und Einzelne betroffen, und zwar auch dann, wenn sie vom eigentlichen Schlachtfeld weit entfernt zu sein scheinen. Und das in wachsendem Tempo. Unternehmen sollten ihre Herangehensweise an das Thema Cybersicherheit nicht nur angesichts dieser neuen Bedrohungen überdenken. Sie müssen zwingend die Anforderungen der digitalen Transformation und von Remote-Working-Modellen in ihre Überlegungen einbeziehen.

Wer seine Systeme wirklich schützen will, kommt nicht umhin, Sicherheit als ganzheitliches Problem zu betrachten, das eine ganzheitliche Lösung erfordert. Gleichzeitig sollte man sich die Perspektive Cyberkrimineller zu eigen machen, wenn es darum geht, Schwachstellen im Netzwerk zu erkennen und zu bewerten.«