Professor Norbert Pohlmann vom Institut für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen über eine sich ständig verschlechternde IT-Sicherheitslange und was das für Unternehmen bedeutet.
m&w: Einer Umfrage des Bitkom-Verbands zufolge, liegt der deutschlandweite Schaden durch Cyberkriminalität im Jahr 2022 bei nahezu 203 Milliarden Euro. Insbesondere kleine und mittelständische Unternehmen stehen im Fokus. Gehen die Angreifer dabei gezielt vor oder eher nach dem Zufallsprinzip?
Norbert Pohlmann: Die Angreifer sind größtenteils in kriminellen Ökosystemen organisiert. Diese Ökosysteme werden ausgesprochen professionell betrieben und sind extrem erfolgreich, das bedeutet, sie erwirtschaften zurzeit sehr hohe Gewinne zum Beispiel mit Ransomware-Angriffen. Die daraus generierten Gewinne investieren die kriminellen Ökosysteme in zunehmend ausgefeilte und hochautomatisierte Angriffstools. Damit steigt die Erfolgswahrscheinlichkeit der Angriffe. Zudem werden in Zukunft mit den automatisierten Tools kleinere Unternehmen zunehmend effektiver und somit höchst gewinnbringend angegriffen. Da es für die Angreifer im Internet sehr einfach möglich ist, zu analysieren, wie viel Umsatz und Gewinn ein Unternehmen macht, können sie darauf basierend sehr gut Prioritäten setzen und Reihenfolgen gemäß dem zu erwartenden Gewinn definieren. Ein weiteres Kriterium für die Priorität eines Angriffes ist der Level an IT-Sicherheit, den die Unternehmen umgesetzt haben. Diejenigen, die hier weniger aktiv waren, werden bevorzugt angegriffen.
m&w: Welche Motive haben die Angreifer?
Norbert Pohlmann: Kriminelle Ökosysteme haben die gleichen Gewinnerzielungsabsichten wie jedes Ökosystem auch. Da sie sich jedoch an keinerlei Konventionen halten müssen, können sie ihr Ziel sehr viel einfacher und schneller realisieren. Themen wie Betriebsrat, Diversität oder an Gesetze halten, stehen nicht auf der Agenda, sondern einzig die Motivation, sehr viel Geld zu verdienen. Doch viele Angriffe sind auch politisch motiviert. Mit Angriffen auf kritische Infrastrukturen einer Gesellschaft durch andere Staaten oder Terroristen lassen sich politisch motivierte Ziele effizient und wirkungsvoll umsetzen. Die Energieversorgung geht prinzipiell mit einer potenziell hohen Verwundbarkeit der Gesellschaft einher, von daher stellen Angriffe auf diese eine neue Dimension der existenziellen Bedrohung dar. Ein bekanntes Beispiel für Cyberware ist die Schadsoftware Stuxnet. Durch Stuxnet wurde dokumentiert, dass es mit einem Kostenaufwand von rund neun Millionen US-Dollar für eine intelligente Malware sehr einfach war, ein politisches Ziel erfolgreich zu realisieren: Mittels Stuxnet haben die Amerikaner und Israelis zusammen die Uran-Aufbereitung im Iran um zwei Jahre verzögern können. Die schreckliche Alternative wäre gewesen, dass mehrere hunderttausend Soldaten in den Iran hätten einmarschieren müssen, wodurch nicht nur Menschenleben aufs Spiel gesetzt, sondern auch Kosten von mehreren Milliarden US Dollar verursacht worden wären. Diese neue Realität macht es einerseits erforderlich – unabhängig von der jeweiligen Bewertung – richtig damit umzugehen als auch andererseits professionell darauf reagieren beziehungsweise dagegen agieren zu können.
m&w: Was wird unter Cyberangriffen verstanden?
Norbert Pohlmann: Ein Cyberangriff bezeichnet sowohl einen Angriffsweg als auch eine Angriffstechnik, mittels derer ein Angreifer einen erfolgreichen Angriff auf ein IT-System oder -Dienst über das Internet durchführt. Um das Ziel zu erreichen, ist dieser Angriffsweg in der Regel verteilt oder mehrstufig. Oftmals nutzt ein Angreifer dafür Sicherheitslücken in den IT-Systemen, Social Engineering bei den Nutzern, Hacking-Technologien für die Installation von Malware und weitere Angriffstechniken.
Je mehr potenzielle Angriffsmöglichkeiten für einen Cyberangriff vorhanden sind, desto höher ist die Wahrscheinlichkeit eines erfolgreichen Angriffes auf ein IT-System oder eine IT-Infrastruktur.
m&w: Datenklau und Erpressungen sind sozusagen an der Tagesordnung. Deshalb sollte die Wirtschaft nicht nur gewarnt, sondern auch gewappnet sein. Aus Ihrer Sicht: Schützen sich Unternehmen in technischer Hinsicht angemessen vor Cyberangriffen?
Norbert Pohlmann: Nein, sonst wären die Angreifer nicht so erfolgreich und die Schäden geringer. Viele der heute verwendeten IT-Sicherheitsmaßnahmen erfüllen nicht den Stand der Technik, d.h. stellen nicht die am Markt verfügbare Bestleistung dar und sind daher nicht wirkungsvoll genug gegen intelligente Angriffe. Sieben Prozent des IT-Budgets – dies investieren die Unternehmen in Deutschland momentan im Durchschnitt für die IT-Sicherheit – reichen nicht aus, um ein angemessenes Schutzniveau etablieren zu können.
m&w: Wie können Unternehmen Schwachstellen in ihrer IT-Verteidigung erkennen und ihren IT-Schutz auf ein höheres Level bringen?
Norbert Pohlmann: In erster Linie durch sogenannte Penetrationstest. Um den IT-Schutz auf ein höheres Level zu bringen, ist es für Unternehmen sinnvoll, Penetrationstest durchzuführen oder externe Dienstleister damit zu beauftragen, um ihre vorhandenen Schwachstellen aufzudecken und Empfehlungen daraus zu generieren, welche Gegenmaßnahmen umgesetzt werden können, um diese zu schließen. Als Penetrationstest werden Testszenarien bezeichnet, bei denen IT-Sicherheits-Experten IT-Systeme und IT-Sicherheitsinfrastrukturen auf Schwachstellen untersuchen, indem sie die gleichen Mittel und Methoden verwenden wie ein professioneller Angreifer. Umfang, Ziele und erlaubte Testmethoden werden vorab vertraglich festgelegt und setzen somit den Rahmen sowie die Ausrichtung des Penetrationstests. Untersucht werden zum Beispiel einzelne Programme, Webseiten, IT-Systeme, Dienste oder ganze Netzwerke. Das Resultat ist ein Bericht über die durchgeführten Tests und die dabei gefundenen Schwachstellen. Dies ermöglicht den Unternehmen ihren Level der IT-Sicherheit zu steigern.
m&w: Wie sieht es bei den Mitarbeitern und Mitarbeiterinnen und deren digitaler Kompetenz aus? Wie können Unternehmen hier ihre IT-Sicherheit weiter optimieren?
Norbert Pohlmann: Ein wichtiger Aspekt für die IT-Sicherheit eines Unternehmens ist die Security Awareness. Dies beinhaltet sowohl das Wissen der Mitarbeiter, was sie zum Schutz der IT tun müssen als auch deren Einstellung bezüglich der Umsetzung von IT-Sicherheits-Maßnahmen. Im Einzelnen umfasst dies Wissen über die Werte, die zu schützen sind, die IT-Sicherheitsbedürfnisse, den Schutzbedarf der Werte, Bedrohungen/Gefahren, die auf diese Werte wirken, organisatorische Regelungen, die einzuhalten sind sowie die richtige Nutzung von IT-Sicherheitsmaßnahmen zum Schutz der Werte. Die Einstellung bedeutet, dieses Wissen als Mitarbeitender zu verinnerlichen und zum Schutz der Organisation aktiv umzusetzen. In der Regel beinhaltet Security Awareness verschiedene Schulungsmaßnahmen, um Mitarbeiter einer Organisation für Themen rund um die IT-Sicherheit der IT-Systeme zu sensibilisieren – also auch für die Gefahren von Social Engineering.
m&w: Ein Blick in die Zukunft: Es ist wohl davon auszugehen, dass die Zahl digitaler Angriffe weiter steigen wird. Wo liegen die Gründe?
Norbert Pohlmann: Die IT-Sicherheitslage verschlechtert sich jedes Jahr, dies bedeutet, dass das Risiko eines Schadensfalls für alle Unternehmen kontinuierlich steigt. Doch obwohl bis heute beständig neue IT-Sicherheitstechnologien konzipiert wurden, haben diese keinen wirklichen Einfluss auf diese Entwicklung. Das Ergebnis dieser Beobachtung kann nur sein, dass grundlegend etwas neugestaltet werden muss, sonst wird sich dieser Verlauf nicht ändern. Aktuell lässt sich der Zustand darauf zurückführen, dass Unternehmen noch nicht in ausreichendem Maße in IT-Sicherheit investieren. Dies bedeutet auch, dass der bereits erwähnte Stand der Technik – durch den ein höheres Schutzniveau zu etablieren wäre – noch nicht umfassend eingesetzt wird.
m&w: Für Unternehmen ist es eine große Herausforderung, sich selbst um die Sicherheit ihrer IT-Infrastruktur zu kümmern. Ist es sinnvoll, diese Aufgabe an externe Dienstleister auszulagern? Wo liegen Vor- und Nachteile?
Norbert Pohlmann: Aus Studien wissen wir, dass statistisch jeder tausendste Mitarbeiter im Unternehmen ein IT-Sicherheitsexperte ist. Das bedeutet zum Beispiel, dass die DAX-Unternehmen im Schnitt 131 IT-Sicherheitsexperten haben. Selbst ein Unternehmen mit 100 Mitarbeitern würde theoretisch einen Mitarbeitenden mit einem Ein-Zehntel Know-how bezüglich IT-Sicherheit benötigen. Im Gegensatz zu den Erfordernissen haben wir momentan jedoch die Situation, dass 100.000 IT-Sicherheitsstellen nicht besetzt sind, weil wir zu wenig IT-Sicherheitsexperten haben. Daher macht es für den Mittelstand auf jeden Fall sind, externe Dienstleister einzubinden, die über die notwendigen IT-Sicherheitsexperten verfügen. Da die externen Dienstleister in der Regel sehr viele Kunden betreuen, können diese auch Erfahrungen und Vorkommnisse von anderen Unternehmen nutzen, sodass alle Seiten davon profitieren.
Beitragsbild Urheber: ra2studio-123rf