Das Ziel dieses Dokuments ist es, effektive Sicherheitsmaßnahmen bereitzustellen, die die Verwundbarkeit durch kriminelle oder terroristische Handlunge gegen Mitarbeiter, Auftragnehmer und Unternehmenseinrichtungen reduzieren. Die Sicherheitskonzepte sollten konsistent und dem vorhandenen Risikoniveau angemessen sein, wobei zu beachten ist, dass sich das Bedrohungsniveau schnell ändern kann.
Die enthaltenen Informationen entsprechenden internationalen Standards und den Best Practices der Sicherheitsbranche.

Sicherheit ist für jeden different und variabel, aber immer basierend auf derselben Grundlage: Der Aufbau und die Implementation eines Sicherheitskonzepts setzt zwingend einen ganzheitlichen Ansatz voraus.

Warum?

Sicherheit ohne ganzheitlichen Ansatz ist wie ein Schweizer Käse mit vielen Löchern. Die Verpackung des Produkts macht den Unterschied. Je besser verpackt, desto höher der Schutz des Inhalts. Dieses Prinzip hat sich mittlerweile durchgesetzt und wird meistens beachtet, aber schützt diese Vorgehensweise auch?

Eine Umfrage von Bitcom aus dem Jahr 2019 ergibt das Gegenteil.
Durch Sabotage, Datendiebstahl oder Spionage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 102,9 Milliarden Euro – analoge und digitale Angriffe zusammengenommen.

Organisationen tätigen erhebliche Investitionen in die Sicherheitsinfrastruktur, stellen Teams ein und schulen sie und richten Prozesse zum Schutz kritischer Vermögenswerte ein. Unsere Forschung zeigt jedoch, dass diese Organisationen ohne den Nachweis der Sicherheitseffizienz mit Annahmen operieren, die nicht der Realität entsprechen und sie mit erheblichen Risiken belasten.

Der beste Weg für Ihr Unternehmen, dieser Diskrepanz entgegenzuwirken, besteht darin, die Wirksamkeit Ihres Sicherheitsprogramms durch kontinuierliche, automatisierte Bewertung, Optimierung und Rationalisierung zu validieren. Auf diese Weise können Sie das pyhsische Risiko & Cyberrisiko in Ihrer gesamten Organisation minimieren, indem Sie nicht nur kritische Vermögenswerte, sondern auch den Ruf Ihrer Marke und Ihren wirtschaftlichen Wert schützen. (Digitalverband Bitcom)

Der Schaden ist damit fast doppelt so hoch wie noch vor zwei Jahren (2016/2017: 55 Milliarden Euro p.a.). Drei Viertel der Unternehmen (75 Prozent) waren in den vergangen beiden Jahren von Angriffen betroffen, weitere 13 Prozent vermuten dies. In den Jahren 2016/2017 wurde nur jedes zweite Unternehmen (53 Prozent) Opfer.
Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden.

Wie sollten wir uns vor der immer schnelleren Bedrohung durch Cyberkriminalität schützen?

Ransomware ist Schadsoftware, die man zum Beispiel durchs Öffnen schadhafter E-Mail-Anhänge auf seinen Computer oder auch in ein ganzes Firmennetzwerk holen kann. Klassische Ransomware verschlüsselt in so einem Fall die Dateien und Laufwerke. Ihren Opfern bieten die Täter an, ihnen gegen Zahlung eines Lösegelds (»Ransom«) einen Schlüssel zu übermitteln, mit dem sich die Dateien wieder entschlüsseln lassen. Gerade für Firmen ohne externe Back-ups kann eine Ransomware-Attacke so sehr ärgerlich und auch teuer werden.

Es gibt sowohl breit gestreute Attacken, bei denen einzelne Computernutzer oder Firmen eher zufällig mit Ransomware in Kontakt kommen, aber auch gezielte Attacken, bei denen sich die Angreifer ihre Ziele im Vorfeld genau aussuchen.

Ransomware / Darkside blockert Systeme, fordert Lösegeld und verkauft sensible Firmendaten im Darknet, bzw. stellt Informationen zur Erpressung weiterer Firmen gegen Beteiligung an Lösegeldern zu Verfügung (Colonial Pipeline / Polizei Washington / USA)

In den vergangenen Jahren gab es einen Trend dahin, dass Angreifer nicht mehr nur versuchen, Firmen durch die Verschlüsselung ihrer Dateien zu erpressen. Zunehmend wird auch mit einer Veröffentlichung abgeflossener Informationen gedroht, falls kein Lösegeld fließt  – IT-Sicherheitsfirmen sprechen von einer »doppelten Erpressung«.

Solche Maschen funktionieren am ehesten, wenn Unternehmen mit geheimen oder auch sehr vielen persönlichen Daten hantieren, wenn ein Leak also einen nachhaltigen Imageschaden bedeuten würde. Ein Beispiel für eine Firma, die sich einer »doppelten Erpressung« ausgesetzt sah, ist die Kanzlei Grubman Shire Meiselas & Sacks, die Stars der Musik-und Filmbranche betreute, darunter Madonna.

Weltweit gibt es zahlreiche Opfer von Ransomware-Attacken, von Polizeibehörden über Stadtverwaltungen bis hin zu Autobauern. Auch in Deutschland sind solche Angriffe ein weitverbreitetes Problem, vor dem keine Branche sicher ist. Kürzlich beispielsweise hatten mit der Funke Mediengruppe und Madsack zwei große deutsche Medienhäuser Ärger mit Ransomware, der sie bei der Produktion ihrer Zeitungen einschränkte. Und 2020 waren die Technischen Werke Ludwigshafen – ein kommunaler Versorger, der rund 100.000 Haushalte mit Energie und Trinkwasser versorgt – von Hackern erpresst worden. Dabei flossen 500 Gigabyte an Daten ab.

Das Bundeskriminalamt (BKA) schrieb 2020 in seinem Bundeslagebild Cybercrime, Ransomware sei und bleibe »die Bedrohung für Unternehmen und öffentliche Einrichtungen«: Schon 2019 habe es sich bei sieben der zwölf »prägenden Cyberangriffe« in Deutschland um Ransomware-Infektionen gehandelt. Das BKA zählte zu jenen Angriffen unter anderem eine Attacke auf die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes.

Neueste Fälle:

Chemiefirma Brenntag / Toshiba/ Gesundheitsdienst Irland / Energy Hamburg
Nach dem Angriff auf Colonial Pipeline hatte es von Darkside selbst geheißen: »Unser Ziel ist, Geld zu machen und nicht Probleme für die Gesellschaft.«

Klar scheint derweil: Darksides kriminelles Geschäft funktioniert. Der Nachrichtenagentur Bloomberg zufolge hat Colonial Pipeline der Gruppe umgerechnet fünf Millionen Dollar Lösegeld bezahlt, und das angeblich nur Stunden nach der Attacke.
Auch im Fall von Brenntag soll am Dienstag angeblich viel Geld geflossen sein. »BleepingComputer« berichtet auf Basis seines Informanten sowie eines Blicks auf eine Bitcoin-Transaktion, dass ein Lösegeld in Höhe von umgerechnet 4,4 Millionen Dollar gezahlt worden sei.  (Quelle: Spiegel online, 14.5.21)

Die andere perfide Bedrohung ist die Supply Chain Attacke (SolarWinds SUNBURST) bei der die Ransomware per Update geliefert wird und sich dann selbst installiert.

Lieferkettenangriffe (Supply Chain Attacken) sind eine neue Art von Bedrohung, die auf Softwareentwickler und -lieferanten zugreift. Ziel ist es, auf Quellcodes zu zugreifen, Prozesse zu erstellen oder Mechanismen zu aktualisieren, indem legitime Apps infiziert werden, um Schadsoftware zu verteilen.

Angreifer sind auf der Suche nach unsicheren Netzwerkprotokollen, ungeschützten Serverinfrastrukturen und unsicheren Codierungsmethoden. Sie brechen ein, ändern Quellcodes und blenden Schadsoftware in Build-und Updateprozessen aus. Da Software von vertrauenswürdigen Anbietern erstellt und veröffentlicht wird, werden diese Apps und Updates signiert und zertifiziert. Bei Software-Lieferkettenangriffen wissen Anbieter wahrscheinlich nicht, dass ihre Apps oder Updates mit bösartigem Code infiziert sind, wenn sie für die Öffentlichkeit freigegeben werden. Der schädliche Code wird dann mit derselben Vertrauensstellung und Denkberechtigung wie die App ausgeführt.

Was tun?

Die eigentlichen Steuersysteme von Industrieanlagen sind bei besonders wichtiger Infrastruktur üblicherweise vom Rest der IT-Netze getrennt.

Resilienz erhöhen & Redundanz herstellen

Für den Zugang zu jedem System ist für jeden Nutzer und Administrator eine individuelle Benutzerkennung und Passwort notwendig.

Alle informationsverarbeitenden Systeme verfügen über einen Schutz gegen Schadsoftware und einem Schutz gegen unberechtigten Zugriff.

Es wird sichergestellt, dass alle Systeme und sicherheitsrelevante Standard-Software auf aktuellem Stand sind und Sicherheitsupdates automatisch oder zeitnah installiert werden.

Mindestens wöchentliche Datensicherung auf separaten Systemen oder Datensicherungsmedien.

Regelmäßige Prüfung der Datensicherung und Wiederherstellung.

Weitere Maßnahmen:

Sichern Sie wichtige Dateien regelmäßig. Verwenden Sie die 3-2-1-Regel. Bewahren Sie drei Sicherheitskopien Ihrer Daten auf zwei verschiedenen Speichertypen und mindesten seine Sicherheitskopie an einem externen Standort auf. Wenden Sie die neuesten Updates auf Ihre Betriebssysteme und Apps an.

Unterweisen Sie Ihre Mitarbeiter, damit sie Social Engineering-und Spear-Phishing-Angriffe erkennen können.

Überwachter Ordnerzugriff.

Dadurch kann Ransomware davon abhalten werden, Dateien zu verschlüsseln und sie gegen Lösegeld zu halten.

Bereitstellen starker Codeintegritätsrichtlinien, damit nur autorisierte Apps ausgeführt werden können.

Verwenden Sie Endpunkterkennungs-und Reaktionslösungen, mit der verdächtige Aktivitäten automatisch erkannt und behoben werden können.

Wenden Sie sofort Sicherheitspatches für Betriebssystem und Software an.

Implementieren Sie obligatorische Integritätssteuerelemente, um sicherzustellen, dass nur vertrauenswürdige Tools ausgeführt werden.

Fordern Sie eine mehrstufige Authentifizierung für Administratoren an.

Fordern Sie SSL für Updatekanäle an, und implementieren Sie das Anheften von Zertifikaten.

Signieren Sie alles, einschließlich Konfigurationsdateien, Skripts, XML-Dateien und Pakete.

Suchen Sie nach digitalen Signaturen, und lassen Sie nicht zu, dass der Softwareupdater generische Eingaben und Befehle akzeptiert.

Entwickeln sie einen Prozess zur Reaktion auf Vorfälle für Lieferkettenangriffe.

Offenlegen von Lieferkettenvorfällen und Benachrichtigen von Kunden mit genauen und zeitnahen Informationen.

Stand Mai 2021, EST GmbH, Barney Harberink