Neues Jahr – neues Bewusstsein für mehr Datensicherheit?

1. Sicherheitsrisiken durch IT/OT-Konvergenz und vermehrte Cloud-Nutzung ganzheitlich begreifen und gestalten.

Operational Technology (OT), also Software und Hardware zur Überwachung und Steuerung industrieller Anlagen & Prozesse, waren früher abgeschottete Lösungen, getrennt von den IT-Systemen im Unternehmen. Heute sind es mit dem Internet der Dinge (IoT) zunehmend vernetzte elektronischen Lösungen, die mit der klassischen Informationstechnologie (IT) verschmelzen: die sogenannte OT/IT-Konvergenz. Während die IT alle Systeme und Prozesse zur Datenverarbeitung managt, übernimmt die OT dies für Maschinen und Anlagen. Verkürzt gesagt übernimmt die IT die produktiven und die OT die operativen Steuerungsprozesse – vernetzt, ineinandergreifend. Viele Vorteile wie Remote Work, KI, Big Data, Machine Learning etc. sind so möglich.

Und zugleich sind durch die wachsende OT-Cloud-Migration viele Angriffsflächen gegeben, denn oftmals werden veraltete Industrieprotokolle angewendet, Zugänge nicht ausreichend gesichert und vor allem Schwachstellen nicht gepatcht. Der letzte ICS Risk & Vulnerability Report von Claroty bietet viel Wissen zu Sicherheitslücken bei industriellen Kontrollsystemen (ICS). Und erschreckende Zahlen: 71 % aller Schwachstellen werden als hoch oder kritisch eingestuft. 90% verfügen über eine geringe Angriffskomplexität und bieten Wiederholungstätern leichtes Spiel.

Die erste Handlungsmaxime für 2022 lautet dementsprechend:  
Wir müssen der Bedrohungslage Rechnung tragen, indem wir die Datensicherheit in der Cloud zur Top-Prio ernennen. Dafür müssen OT/IT-Risikobereiche wie Fehlkonfigurationen, Schwachstellen sowie Identitäts- und Zugriffsmanagement nicht separat betrachtet werden, sondern als zusammengehöriges Ganzes für eine abgesicherte Geschäftskontinuität. Verschlüsselung kann Tools daran hindern Einblick in Netzwerkressourcen zu erhalten. Authentifizierung durch ein ausgeklügeltes Berechtigungskonzept Identitätsmissbrauch verhindern.
 

2. Cybercrime-as-a-Service (CaaS) als neue Realität verstehen und bestmöglich abwehren.

Manche Berichte über erfolgreiche Hacker-Angriffe aus dem letzten Jahr lesen sich wie Skripte zu Science-Fiction-Filmen. Leider sind sie es nicht. Insbesondere Ransomware-Gruppen professionalisieren sich im Darknet immer weiter und schalten bereits offen Anzeigen, um Experten* für die Zerstörung von Backup-Technologien zu finden, um noch mehr Druckmittel gegen Unternehmen in der Hand zu haben. Und die erpressten Unternehmen zahlen zuverlässig, um wieder Herr ihrer Daten zu werden – lt. diverser Umfragen im Web kommen über 80% aller Ransomware-Opfer den Lösegeldforderungen nach. Meist in Bitcoin, da so keine Zahlungswege nachverfolgt werden können. Es handelt sich also um einen lukrativen Markt mit klassischen Geschäftsmodellen. Gegen Lizenzgebühren kann man Malware kaufen, sogar mit technischem Support. Längst sind das keine vereinzelte Nerds mehr, sondern gut organisierte Cybercrime-Gruppierungen mit Namen wie Lockbit, Avaddon, SunCrypt oder Hello Kitty.  

Veränderte Ransomware-Taktiken, die Daten verschlüsseln, DDoS-Attacken, die Netzwerke lahmlegen oder zunehmende Active Directory-Angriffe direkt auf die Benutzerberechtigungen – die Vielzahl potentieller Gefahrenquellen für die digitale Infrastruktur erfordert von den Verantwortlichen* für die Informationssicherheit im Unternehmen viel Wissen, um Cyberrisiken identifizieren und managen zu können. Und ein interdisziplinäres Team aus unterschiedlichen IT-Spezialisten*, Stakeholdern* und der Geschäftsführung. Denn niemand kann alle Risiken kennen, diese in ihrer Bedeutung für das eigene Unternehmen richtig einschätzen, ebenso wenig die Eintrittswahrscheinlichkeit oder die möglichen Konsequenzen. Dies sind gemeinsam zu treffende Ermessensentscheidungen. Allerdings gibt es inzwischen bewährte Techniken mit qualitativen und/oder numerischen Werten. Meistens werden die Risiken in einer Matrix abgebildet, um Wahrscheinlichkeit und Auswirkungen darzustellen und eine Bezifferung des möglichen Schadens abzuschätzen. Nur so kann auch geprüft werden, ob die Kosten für Gegenmaßnahmen angemessen sind. Dass dies nie ein abgeschlossener Prozess sein wird, sondern regelmäßig geprüft und neue Gegenmaßnahmen getroffen werden müssen, ist bei der hochagilen Cybercrime-Szene eine Selbstverständlichkeit. Ziel muss sein resilienter gegenüber Angreifern* zu werden, denn die Angriffe verhindern ist nahezu unmöglich – die Methoden sind den bisherigen Maßnahmen deutlich voraus.

Um zumindest einen Hoffnungsschimmer aufzuzeigen: Ein wachsendes Bewusstsein für Cybersicherheit, immer mehr Bestrebungen für einheitliche Software-Sicherheitsstandards und das Entstehen einer globalen Cybersicherheitsallianz sind die richtigen Wege, um das Sicherheitsniveau insgesamt zu stärken.
 

3. Die Rolle jedes einzelnen Mitarbeiters* im Unternehmen erkennen und deren Eigenverantwortung stärken

In allen Umfragen im Web zum Thema Cybersecurity gilt die Nachlässigkeit von Mitarbeitern als größte Sicherheitsbedrohung für Unternehmen. Zusammen mit dem Trend zum ortsunabhängigen Arbeiten.

In den letzten 2 Jahren ist die Anzahl an Homeoffice-Arbeitsplätzen exponentiell gestiegen. Ebenso explosionsartig war die Zunahme an Zugangsdaten für SaaS- & Cloud-Plattformen. Nicht im gleichen Maße sind Schnittstellen und Netzwerkressourcen geschützt worden. Mit der Folge, dass zunehmend Ransomware-Angriffe und Datendiebstahl über Fernzugriffsverbindungen erfolgten. Oftmals mittels Identitätsmissbrauch von Mitarbeiterdaten, die über deren private Internetverbindungen erbeutet wurden. Eine Zero-Trust- oder passwortlose Authentifizierung sollte in jedem Unternehmen, das Remote Work ermöglicht, Standard sein. Ist es aber nicht. Nur ein Beispiel. Und auch für den Umgang mit unternehmenseigenen oder privaten Geräten, die zur Arbeit genutzt werden, sollte es klare Regeln geben. Aber auch diese fehlen in vielen Unternehmen bis heute noch. Eine Checkliste zum sicheren Homeoffice finden Sie übrigens bei Interesse hier.

Ist also tatsächlich die Nachlässigkeit von Mitarbeitern die größte Sicherheitsbedrohung? Oder ist es nicht vielmehr das fehlende Bewusstsein auf Führungsebenen, das Eigenverantwortung nur dann entstehen kann, wenn man seine eigene Rolle innerhalb des großen Ganzen versteht? Also alle im Unternehmen viel besser eingebunden werden müssen?

Essenziell ist es, Mitarbeiter in ihren täglichen Arbeitswelten abzuholen - mit einfacher, verständlicher Sprache und leicht nachvollziehbaren Beispielen. Die ganze IT-Sprache ist aber durchsetzt von Abkürzungen und hochkomplizierten Aneinanderreihungen technischer Methoden. So schürt man Angst davor und Ablehnung, aber man holt nicht ab und schafft keine Basis für Eigenverantwortung. Cyber Risks kommen von Menschen und Cyber Security ist für Menschen - das fehlt zu oft als gedankliche Grundlage beim Vermitteln der zunehmenden Bedrohungslage. Eine Schulung reicht nicht. Eine Prozessanweisung reicht nicht. Regelmäßige Wiederholungen reichen nicht, wenn die Vielzahl an Risiken nicht mit Praxis-Beispielen aus der eigenen täglichen Arbeit anschaubar aufbereitet wird. Grundlagen & Begrifflichkeiten kann man über interaktive Quiz-Formate vermitteln. Das Durchspielen konkreter Szenarien hilft das Verständnis für die ganzen vernetzen Strukturen aufzuzeigen. Nur so lassen sich alle Mitarbeiter im Unternehmen nachhaltig sensibilisieren. Und nur so werden IT-Vorgaben auch beachtet und nicht z. B. nach eigenem Ermessen neue, nicht geschützte Anwendungen und Dienste installiert, die vielleicht das eigene Arbeiten im Homeoffice erleichtern und die ganz sicher das eigene Unternehmen massiv gefährden.