LOGISTIK express 3/2022 | S78 IT & SECURITY Sechs Fehlannahmen zur Cybersecurity im Unternehmen Sich mit Cybersecurity zu beschäftigen, ist in manchen Unternehmen eine eher ungeliebte Aufgabe. Dabei haben IT-Administratoren und -Administratorinnen in vielen Fällen schon eine recht gute Vorstellung davon, woran es in ihrem Unternehmen hapert und wie die eigene IT prinzipiell auf den Prüfstand zu stellen wäre, damit Sicherheitslücken identifiziert und abgemildert oder gar ausgemerzt werden können. Dies heißt aber noch nicht, dass das Administrationsteam beim Management mit seinen Vorschlägen auch durchdringt. REDAKTION: Daniel Querzola / Michael Niewöhner Cybersecurity kostet Geld. Solange die IT-Systeme und die Infrastruktur funktionieren, fällt es oft schwer, die Mittel zu investieren, die nötig wären, um Risiken zu reduzieren und den reibungslosen Betrieb auch in Zukunft zu gewährleisten, das heißt: Cyberresilienz herzustellen. Wenn Unternehmen ihr Cyberrisiko systematisch unterschätzen, hat dies mit verschiedenen Fehlannahmen zu tun. Im Folgenden geht es um sechs der häufigsten Irrtümer. Annahme 1: Es trifft sowieso nur die anderen. „Unser Unternehmen ist für eine Cyberattacke doch gar nicht interessant genug.“ Diese Einschätzung ist alles andere als selten. Die Realität sieht leider vollkommen anders aus. Statistiken sprechen davon, dass sogar 99 Prozent aller Cyberschadensfälle auf Angriffe zurückgehen, die überhaupt nicht zielgerichtet waren. Anders gesagt: Die allermeisten Angriffe laufen nach dem Motto Spray-and-Pray ab. Im Gießkannenprinzip lancieren Cyberkriminelle einen allgemeinen Angriffsversuch ohne konkretes Ziel. Dann warten sie einfach ab, bei welchen Unternehmen oder Organisationen beispielsweise die Mail mit dem Phishing-Link zum Erfolg führt. Leider ist bei vielen Unternehmen die Hürde für eine initiale Kompromittierung ihrer IT nicht hoch genug, um diesen Angriffen auf Dauer standzuhalten. Den Angreifern spielt dies in die Karten. Zumal dann, wenn sie vor allem finanzielle Interessen haben und das Unternehmen beispielsweise durch eine Verschlüsselung per Krypto-Trojaner bzw. Ransomware erpressen wollen. Hier ist der Spray-and-Pray-Ansatz für Cyberkriminelle in der Regel am rentabelsten. Dies wiederum bedeutet: Jedes Unternehmen ist ein potenzielles Opfer. Politisch motivierte Angriffe grenzen sich davon deutlich ab: Hier ist der Erfolg letztlich nur eine Frage der verfügbaren Arbeitskraft, denn bei einer ideologisch begründeten Attacke spielen monetäre Kosten-Nutzen-Abwägungen eine völlig nachrangige Rolle. In solchen Fällen kommen häufiger auch Zero-Day- Angriffe zum Einsatz, die noch nicht öffentlich bekannte Sicherheitslücken in einer Software ausnutzen. Mit einem Zero-Day-Exploit spielt der Angreifer gleichsam einen Joker aus. Denn wenn die neue Angriffsmethode durch ihren Einsatz publik wird, ist dieser Angriffsvektor letztlich verbrannt, weil Softwarehersteller dann entsprechende Sicherheitsupdates ausrollen. Annahme 2: Angriffe aus der Supply-Chain spielen keine große Rolle. Tatsächlich nimmt die Zahl von Supply-Chain-Angriffen zu. Bei dieser Klasse von Cyberangriffen fungieren Softwarelösungen, Geräte oder Maschinen, die einem Unter-
nehmen zugeliefert werden und die es für seine Geschäftstätigkeit einsetzt, als die Angriffsvektoren. So handelte es sich bei der Log4j-Sicherheitslücke, die im Dezember 2021 bekannt wurde, um eine Zero-Day-Schwachstelle in einer Java-Protokollierungsbibliothek. Log4j dient dazu, Protokollierungsinformationen aus Software, Anwendungen und Hardware-Appliances zu erstellen und zu speichern. Weil Log4j aber mitunter in vielen unterschiedlichen Lösungen sehr tief verankert ist, in tausenden Instanzen, reicht ein simpler Schwachstellenscan kaum aus, um hier alle angreifbaren Instanzen zu identifizieren. Generell ist auch Open-Source-Software nicht vor Sicherheitslücken gefeit. So gelang es beispielsweise einem Professor der University of Minnesota im Kontext einer Studie, Schwachstellen in den Linux Kernel einzuschleusen. Dazu gaben er und einer seiner Studenten vor, Bug Fixes für die Linux Community bereitzustellen. Ziel der umstrittenen Aktion war es, zu demonstrieren, wie angreifbar auch Open-Source- Projekte sein können. Eine Sicherheitslücke im Linux Kernel ist potenziell so gravierend, weil Linux sehr weit verbreitet ist. Es findet sich heute in Servern und Smartphones und auch in verschiedensten Embedded Devices – von Autos über Smart Homes bis zu Maschinen. Mit der zunehmenden Digitalisierung unserer Wirtschaft und unserer Lebenswelt können heute eben auch vernetzte Geräte zum Einfallstor für Cyberkriminelle werden. So wurde etwa eine Supermarktkette gehackt, indem die Angreifer die intelligenten Kühlregale in den Geschäften als Angriffsvektor wählten. Für vernetzte Geräte im Smart-Home-Bereich besteht dasselbe Risiko. Auch sie stellen potenzielle Angriffspunkte dar – ein gravierendes Reputationsrisiko für den Gerätehersteller oder -vertreiber. Im privaten wie im kommerziellen Raum ist darum ein viel bewussterer Umgang mit installierter Software und angeschafften Geräten erforderlich. Im produzierenden Gewerbe beispielsweise, wo eine Maschine einen Lebenszyklus von mehreren Jahrzehnten haben kann, stehen früher oder später meist nur noch mitigierende Maßnahmen zur Verfügung, um Sicherheitsrisiken zu reduzieren. Denn Hersteller existieren dann nicht mehr, oder sie liefern nach wenigen Jahren keine Sicherheitspatches mehr. So bleibt mitunter als einzige Option noch, die Maschine aufwendig vom restlichen Netzwerk abzuschotten und das Restrisiko zu akzeptieren. Grundsätzlich gilt: Es wäre für ein Unternehmen fahrlässig, wollte es die Verantwortung für seine Cybersicherheit gänzlich auf die Zulieferer abwälzen. Bedrohungen aus der Supply Chain heraus sind real und heute alltäglich. Unternehmen benötigen deshalb nicht nur ein entsprechendes Risikobewusstsein, sondern auch Experten und Expertinnen, die sie dabei unterstützen, eine effektive Cyberresilienz zu etablieren. Annahme 3: Unsere Mitarbeitenden haben schon genügend Sicherheitsbewusstsein. Noch viel zu oft stellt ein unbedachtes Verhalten der Mitarbeiter und Mitarbeiterinnen für Cyberkriminelle ein bequemes Einfallstor ins
