Cybersecurity: Alles eine Frage der «Einstellung»?

Cyberattacken auf kritische Infrastrukturen nehmen zu. In Deutschland waren es in der zweiten Jahreshälfte 2018 über 157. Allein 19 davon zielten auf das Stromnetz. Aus Sorge vor Imageschäden der Anbieter ist anzunehmen, dass die Dunkelziffer viel höher liegt. Dabei hat sich der Fokus von Spionage auf Sabotage verlagert. Aber nicht nur öffentliche Infrastrukturen können angegriffen werden, auch Smart Homes, Unternehmen, Schiffe, Autos…. Sind Sie bereit, diese neue Herausforderung zu meistern?
 

Interview mit Levente J. Dobszay
Cybersecurity-Specialist von Electrosuisse

 

Industrie 4.0., Automation – alles wird vernetzt. Welche Risiken kommen auf uns zu?

Industrielle Prozess werden schon seit über vier Jahrzehnten durch Informatik-Systeme gesteuert. Nur handelte es sich früher um Insellösungen, die vor allem durch die Sicherung des physischen Zugangs geschützt wurden. Heute werden diese Systeme zunehmend vernetzt. Doch darauf sind alte Systeme gar nicht ausgelegt, weil ein solches Szenario bei ihrer Konzeption nicht berücksichtigt wurde. Eine Nachrüstung mit aktueller Sicherheitstechnologie ist in der Regel nicht möglich. Solche Systeme haben einen Lebenszyklus von bis zu 30 Jahren oder auch länger. Viele von ihnen werden ihr Lebensende erst in 10 Jahren oder noch später erreichen. Erst dann werden sie durch die aktuelle Technologie ersetzt. Doch auch deren Sicherheitstechnologie wird dann schon bald wieder veraltet sein, denn hier treffen zwei Welten mit ganz unterschiedlichen Lebenszyklen, Entwicklungsgeschwindigkeiten und Sicherheitskulturen aufeinander.

Jedes noch so kleine KMU kann Opfer von Cyber-Attaken werden.

Die verstärkte Digitalisierung der Industrie erschliesst die Nutzenpotenziale der modernen Informations- und Kommunikationstechnologie. Der technologische Fortschritt ist nicht aufzuhalten. Doch mit der zunehmenden Vernetzung erschliessen wir uns gleichzeitig auch ein bisher noch nie da gewesenes Gefahrenpotenzial, welches sich ebenfalls rasant weiterentwickelt. Vor allem kritische Infrastrukturen sind nun plötzlich Zielobjekte im globalen Cyberwar. Diese Cyber-Risiken in den Griff zu bekommen, ist eine der grossen Herausforderungen der nächsten Jahrzehnte.
 

Wer ist heute schon betroffen?

Jeder, der irgendwie direkt oder indirekt am Internet hängt, ist den Gefahren der digitalen Welt ausgesetzt. Dabei muss man nicht einmal ein Ziel sein, um Opfer zu werden. Keiner ist zu klein oder zu wenig interessant für Cyber-Attacken. Der Cyberspace ist der «Wilde Westen» des digitalen Zeitalters. Cyberkriminelle suchen mit Rasterfahndungen nach geeigneten Opfern wie Strafermittler nach Straftätern. Wer vom Suchmuster erfasst wird und darin hängen bleibt, wird zum Ziel eines Angriffs und mangels hinreichendem Schutz auch zum Opfer – deshalb kann auch jeder zum Opfer werden.

Es ist keine Frage ob man angegriffen wird, sondern wann und wie gut man darauf vorbereitet ist.
 

Im Roman «Blackout» waren Smart-Meter Ausgangspunkt für Hackerattacken. Gibt es weitere bekannte oder prädestinierte Schlupflöcher, bzw. was ist hier der Stand der Sicherheitsentwicklungen?

Prädestiniert ist jeder, der sich nicht ausreichend zu schützen vermag. Dabei gilt «legal - illegal – scheissegal». Alles, was technisch möglich ist und den Aufwand sowie das Risiko für einen Angreifer rechtfertigt, wird auch gemacht. Dabei stehen kritische Infrastrukturen ganz oben auf der Abschussliste. Die Attacken werden immer intelligenter, häufiger und heftiger. Multifunktionale, modular-arbeitsteilige und selbstlernende Schadsoftware, dateilose Infektionen, Dynamite-Phishing, Schläfer-Malware sowie individualisierte und vollautomatisierte Attacken sind die neue Realität. Cyberkriminalität ist zu einer neuen Industrie geworden. Den einsamen Hacker mit Kapuzenpulli gibt es praktisch nur noch in Hollywood-Filmen. So sehr sich die Sicherheitsindustrie auch bemüht, sie hinkt den Angreifern immer mindestens einen Schritt hinterher. Schwachstellen gibt es viele. Sie alle auszumerzen, ist eine Illusion. Hardware und Software sind viel zu komplex, als dass eine hundertprozentige Sicherheit möglich wäre, zumal sich die Technologie auch noch eine ganze Weile in raschem Tempo weiterentwickeln wird.


Was wollen Hacker mit ihrer Manipulation erreichen?

Cyberkriminalität ist lukrativer und risikoärmer als der Drogen-, Waffen-, Menschenhandel und Prostitution. Cyberkriminelle geben global 10x mehr Geld für Tools und Informationen aus als Unternehmen für ihre Sicherheit. Staatliche Akteure sind dabei noch nicht einmal eingerechnet. Ihnen stehen noch weitaus grössere Budgets zur Verfügung. Die kriminellen Handlungen in der digitalen Welt sind die gleichen, wie in der analogen Welt, nur dass sie zusätzlich mit digitalen Mitteln erfolgen. Doch im Unterschied zur analogen Welt liegen die Hemmschwellen durch die fehlende physische und emotionale Nähe viel tiefer. Das Verhältnis von Ertrag zu Aufwand und Risiko für Angreifer ist attraktiver. Die Motivation der Hacker ist dabei zweitrangig.

Sie hacken Systeme, weil sie es können und dabei einen Nutzen daraus ziehen, und sei es bloss, um sich selber und der Welt zu beweisen, dass sie es können.


Warum wird das Thema immer noch unterschätzt?

Cybersicherheit ist nicht nur die Aufgabe der IT-Abteilung. Sie geht jeden etwas an, der digitale Hilfsmittel gebraucht, die mit dem Netz verbunden sind. Aber es fehlt meist an der nötigen Fachkompetenz und damit an einer zeitgemässen Sicherheitskultur. Das hat nichts mit dem viel beschworenen Fachkräftemangel zu tun. Naivität, Ignoranz, Gier, Neugier, Spieltrieb, Angst, Hoffnung und menschliche Schwächen täuschen über die Gefahren hinweg.

Die technischen Möglichkeiten und vor allem die ungeheuren Skalierungseffekte werden massiv unterschätzt.

Entsprechend wird das Thema Cybersicherheit leider zu oft viel zu wenig ernst genommen. Die meist zu kleinen Budgets sind nur eine Folge davon. Die Asymmetrie der Kräfteverhältnisse hat massgeblich zur Schieflage im Cyberspace beigetragen. Sicherheitslösungen und –massnahmen sind teuer. Unternehmen, die öffentliche Verwaltung sowie auch Privatpersonen investieren angesichts der Risiken beschämend wenig in ihre Sicherheit. Cyber-Attacken hingegen sind dem gegenüber sehr günstig und skalieren unglaublich gut. Das ist ein sehr einseitiges und unfaires Spiel.

Es wäre hilfreich, unsere Kräfte verstärkt zu bündeln, anstatt dass jeder sein eigenes «Sicherheitssüppchen» kocht.

 

Gibt es gültige Richtlinien oder Standards für die Branche?

Standards gibt es mittlerweile mehr als genug. Dazu gehören zum Beispiel das NIST Cybersecurity-Framework, der BSI IT-Grundschutz und die ISO 270xx-Normenreihe. Zudem gibt es mittlerweile kaum ein Land, das nicht eine eigene Cybersecurity-Strategie hätte, so wie heute jede Schule oder jeder Verein ein eigenes Leitbild hat. Ich habe den Eindruck, dass Standards und solche, die es sein wollen, gerade wie Pilze aus dem Boden schiessen. Dabei stellen sie alle bloss eine spezielle Sicht mit eigenen Akzenten auf die immer gleichen Schlüsselelemente dar. Jeder Urheber formuliert sie als seine eigene Botschaft – einmal mehr und einmal weniger technisch. Ebenso zahlreich sind aktuell die Informationsveranstaltungen mit dem Ausdruck Cybersecurity im Titel, die lediglich Man-Sollte-Botschaften verbreiten und sich oftmals sogar als Kurse bezeichnen. Hingegen fehlt es an einer einfach verständlichen und praktikablen Anleitung, wie vor allem auch kleinere Unternehmen vorgehen sollen, um ihre Cyber-Resilienz sicherzustellen.
 

Wie lange braucht es, um ein relevantes Sicherheitskonzept zu erstellen? Was muss beachtet werden?

Kenne deine Feinde und deine Schwachstellen!

Für Letzteres ist ein vollständiges Inventar die Basis, das sämtliche Hardware, Software und Daten umfasst. Diese werden klassiert und dann risikobewertet. Damit kennt man seine Schutzobjekte und kann geeignete Schutzmassnahmen festlegen. Wie lange dieser Prozess dauert, hängt vom Umfang des Inventars und den betriebsinternen Prozessen und Strukturen ab. Das kann vielleicht eine Woche oder auch mehrere Monate dauern. Allen Sicherheitskonzepten gemeinsam ist aber die Sicherstellung eines Grundschutzes gegen die aktuellen, bekannten Gefahren. Das sind grundlegende Hygienemassnahmen, die jeder beherrschen muss.

Das wichtigste Schutzobjekt aber ist der Mensch. Ihm kommt eine entsprechend wichtige Rolle in einem Sicherheitskonzept zu.


Was können betroffene Unternehmen tun – welche Massnahmen sollten sie treffen?

Die Erfahrung zeigt, dass in ungefähr der Hälfte aller Cybersicherheitsvorfälle ein Insider involviert ist, sei dies wissentlich, willentlich oder gänzlich unbewusst.

Der Mensch ist und bleibt die grösste Schwachstelle.

Neben Investitionen in Software und Infrastruktur sollte daher vermehrt in die Aufklärung und Schulung von Mitarbeitenden investiert werden. Wir brauchen nicht nur technische Lösungen, sondern vor allem auch eine Sicherheitskultur. Jedes Unternehmen sollte davon ausgehen, dass es bereits gehackt wurde. Es sollte daher nicht nur in den Schutz, sondern ebenso in die Notfallvorbereitung investieren. In unserem Tageskurs «Cybersecurity für Betriebsleiter, IT/OT- und Cybersecurity-Verantwortliche» zeigen wir gerne, wie dies zu bewerkstelligen ist.


Welche «Hausaufgaben» müssen alle anderen erledigen?

Dazu möchte ich auf bestehende Angebote im Web verweisen. Das Bundesamt für die wirtschaftliche Landesversorgung (BWL) hat basierend auf dem NIST Cybersecurity-Framework einen IKT-Minimalstandard mit 106 konkreten Handlungsanweisungen definiert und stellt dazu ein Assessment-Tool zur Verfügung. Damit können Unternehmen ihre Cyber-Resilienz bewerten. Für kleinere Unternehmen eignet sich eher der Cybersecurity-Schnelltest für KMU von ICT SWITZERLAND mit Hinweisen für einen Minimalschutz sowie das Merkblatt Informationssicherheit für KMU der Melde- und Analysestelle Informationssicherung MELANI als Basis. Privatpersonen finden einfach verständliche Hilfe beim Privacy-Handbuch oder bei mobilsicher.de. Wer Mühe hat, diese Informationen zu verstehen und zu verwerten, sollte sich nicht scheuen, fachkundige Hilfe in Anspruch zu nehmen.


Wie könnte Cybersecurity die Entwicklung von neuen Technologien und Prozessen beeinflussen?

Cyberkriminelle, d.h. die Angreifer, sind äusserst innovativ. Sie lernen schnell. Sie sind stets auf dem neusten Stand der Technik. Die Verteidiger reagieren lediglich auf deren Angriffe und versuchen, sich nach ihrem besten Wissen zu schützen.

Um künftige Angriffe vorwegzunehmen, müssen wir lernen, wie Hacker zu denken.

Nur dann können wir uns rechtzeitig auf künftige Bedrohungen effektiv vorbereiten. Hacking ist die nicht vorgesehene Verwendung eines Systems zur Lösung eines Problems bis hin zur Zweckentfremdung durch Ausnutzung von Eigenschaften des Systems.
 

Der normale Anwender denkt: Wozu ist eine Technologie gedacht und wie kann ich diese anwenden? Ein Hacker denkt: Welche Möglichkeiten bietet mir eine Technologie und wie kann ich sie für meine Zwecke nutzen beziehungsweise missbrauchen?


Das Internet wurde nie dafür erschaffen, wozu es heute alles verwendet wird. Es ist zu einem riesigen Flickwerk geworden. Russen, Chinesen und auch einige Organisationen und Hochschulen forschen und entwickeln schon seit einer Weile an einem neuen, alternativen Internet. Nur gehen dabei leider die Auffassungen darüber teilweise weit auseinander, was ein sicheres Internet ist. Neben der ganzen technologischen Entwicklung werden wir nicht darum herumkommen, die digitale Welt stärker zu regulieren. Man kann das mit der Entwicklung beim Automobilverkehr vergleichen. Am Anfang konnte jeder irgendein Gefährt bauen und damit über die Strassen fahren, wie es ihm beliebte. Heute gibt es klare Vorschriften für die Hersteller, jeder muss sich an Verkehrsregeln halten und mit einer Fahrprüfung seine Tauglichkeit unter Beweis stellen. Vergleichbares ist auch für die digitale Welt unumgänglich. Neue Technologien werden sich an diesen Vorgaben orientieren müssen und werden an diesen gemessen.


Welchen Beitrag kann Blockchain dabei leisten?

Wahrscheinlich keinen. Dazu möchte ich nur auf das Interview mit dem Sicherheitsexperten Bruce Schneier in der Netzwoche verweisen.


Was bietet Electrosuisse an, um ihre Mitglieder sicher in digitale Zukunft zu begleiten?»

Als Fachverband engagieren wir uns bereits seit 130 Jahren für die elektrische Sicherheit und erweitern dieses Engagement nun ebenso auf die digitale Sicherheit. Mit Schulungen, Prüfungen und Beratungen unterstützen wir insbesondere KMU mit starkem Industriebezug, ihre Infrastrukturen, Prozesse und Mitarbeiter fit und sicher für die digitale Zukunft zu machen. Dazu arbeiten wir auch mit anderen Fachverbänden und Organisationen zusammen, um unser Fachwissen und unsere Ressourcen zu bündeln. Davon können alle Branchenmitglieder profitieren. Unsere Mitglieder halten wir mit Informationen auf dem Laufenden. Sie profitieren auch von Vergünstigungen unseres Verbands zu diesem Thema.

 

Cybersecurity, Electrosuisse-Studie (Web)

Cyber-Resilienz (bulletin.ch)

Cyberangriffe auf Energieversorger (bulletin.ch)

«Ein Cyber-Angriff verursacht Vertrauensverlust» (bulletin.ch)

Mit Cybersecurity sicher in die digitale Zukunft (Web)

 

Veranstaltungshinweise

 

Foto: Picabay

 

Kommentare zum Beitrag

Noch keine Kommentare zu diesem Beitrag vorhanden.

Einen Kommentar schreiben


Weitere Beiträge