Heutzutage ist jeder online. Laut Cisco wird es im Jahr 2021 4,6 Milliarden Internetnutzer weltweit geben. Das entspricht 58 Prozent der Weltbevölkerung. "Nicht nur in der Zukunft, sondern bereits heute gibt es kaum noch Geschäftsprozesse, die nicht direkt oder indirekt IT-gestützt sind", erklärt Dr. Rolf Werner, Vorsitzender der Geschäftsführung Deutschland und Head of Central Europe bei Fujitsu, im persönlichen Gespräch.
Für die Zukunft bedeutet das eine immer größer werdende Abhängigkeit von Informationstechnologie in immer mehr Bereichen, in denen man es sich bislang noch nicht einmal vorstellen konnte. So führe laut Dr. Markus Löffler, Chief Technology Officer bei Allianz, die Digitalisierung beispielsweise dazu, dass in Zukunft Bereiche ersetzt werden können, die bislang Spezialisten vorbehalten waren, wie etwa Anwälte, Aktuare oder Underwriter.
"Echtzeit ist ein Qualitätsmerkmal, das Kunden erwarten."
Mit steigender Abhängigkeit von IT wird auch das Thema Verfügbarkeit eine immer wichtigere Rolle spielen, was automatisch die Frage nach der Internetsicherheit mit sich zieht. Einem Unternehmen, welches rund um die Uhr verfügbar sein muss, fügt man den größten Schaden zu, indem man es offline nimmt.
Angreifer verfügen dank Technologien wie künstlicher Intelligenz über immer komplexere und schwieriger zu erkennende Möglichkeiten, ein Unternehmen vom Netz zu nehmen. "Das Angriffsarsenal ist immens und durch die zunehmende Vernetzung steigt auch die Anzahl der Angriffspunkte", weiß Werner. Dabei stellen laut Peter Knapp, Chief Digital Officer beim Stellgerätetechnik-Hersteller Samson AG, vor allem Kernprozesse wie Produktion oder Finanzen besonders kritische Schwachstellen dar. Weiterhin führt er aus: "Auch die nunmehr zunehmend an die Kunden gelieferten, neuen Geschäftsmodelle auf SaaS-Basis zählen dazu. Somit kann ich nicht mehr die 'interne' IT abschirmen und alles ist gut."
Lesetipp: "Hack Back" - Warum Zurückhacken keine gute Idee ist
Outages waren schon immer schädlich für Unternehmen. Jedoch haben sich einige Aspekte grundlegend verändert. "Die Anzahl der IT-gestützten Prozesse ist in den vergangenen Jahren massiv gestiegen", erklärt Werner und führt weiter aus: "Wenn es früher im Dorfladen keinen Strom gab, wurde halt mit Bleistift und Papier die Rechnungssumme addiert und bar bezahlt. Wenn heute der Onlineshop ausfällt, sind sofortige Umsatzausfälle die Konsequenz, da der Kunde eben per Mausklick zum Wettbewerber geht." Hierzu ergänzt Allianz-Manager Löffler: "Echtzeit ist ein Qualitätsmerkmal, das Kunden erwarten. Dabei spielt das subjektive Erleben von Qualität und Kompetenz eine größere Rolle als ökonomisches Rational.
- Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar. - Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar. - Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar. - Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.
" Es ist nicht einmal mehr notwendig, ein Unternehmen gänzlich offline zu nehmen. Es reicht bereits aus, wenn es Cyberkriminellen gelingt, die Funktionsweise einzelner Bereiche zu verlangsamen. "Kunden benötigen bzw. erwarten eine jederzeitige reibungslose Verfügbarkeit der gewohnten Services," sagt Werner. Weiterhin erklärt er: "Man ist als Konsument meist nicht mehr bereit, lange auf etwas zu warten, sondern sucht bei einem Ausfall nach in diesem Moment verfügbaren Alternativen."
Folgen reichen weit über den finanziellen Schaden hinaus
Die Reihe an Szenarien, in denen eine Downtime schwerwiegende Implikationen mit sich bringt ist nahezu endlos: "Von der Nichtverfügbarkeit des Onlineshops mit daraus verbundenen Umsatzausfällen über Ausfälle im Finanzwesen mit daraus möglicherweise resultierenden immensen Regressforderungen bis hin zum Stillstand ganzer Fabriken aufgrund des Ausfalls von IT-Systemen", erläutert Werner. "Besonders betroffen sind sogenannte kritische Infrastrukturen, wo sich eine Downtime auf das öffentliche Leben auswirkt", ergänzt Knapp.
Die Folgen sind dabei schwerwiegend und reichen weit über den finanziellen Schaden hinaus. Knapp führt weiter aus: "Die Konsequenzen liegen meist in Einnahmeausfall, erhöhten Kosten wegen Reparaturmaßnahmen, aber vor allem in Imageschädigung, Vertrauensverlust und somit eventuell sehr hohen Kosten um dieses Vertrauen bei Kunden, Lieferanten und auch Mitarbeitern wieder zu gewinnen." Der Finanzielle Schaden gehe dabei bis zur Gefährdung der Unternehmensexistenz, sind sich alle drei Interviewten einig. Die durchschnittlichen Kosten von Downtimes ausgelöst durch DDoS Attacken belaufen sich laut dem 2016 Cost of Data Center Outages Report des Ponemon Institutes auf 981.000 US-Dollar pro Angriff.
Lesetipp: Wie man digitales Vertrauen erlangt
IT-Schutzmaßnahmen müssen allerhöchste Priorität in Unternehmen haben
Schuldige im Zuge der Cyber-Kriminalität findet man in verschieden Bereichen. Der öffentliche Sektor, welcher falsche Prioritäten setze und zu wenig in Infrastruktur investiere, sei genauso daran beteiligt wie Infrastruktur-Provider, die für mangelnde Stabilität und Resilienz ihrer Netzwerke verantwortlich sind, sagt Löffler. Weiterhin führt er aus, dass neben Unternehmen mit schlecht gemanagter Infrastruktur und inkonsequentem Schutz vor Cyber-Attacken auch Privatleute mit "blindem Vertrauen" und Bequemlichkeit ihren Teil dazu beitragen.
- Crime-as-a-Service (CaaS)
Nachdem das Information Security Forum in diesem Bereich bereits 2017 einen signifikanten Anstieg verzeichnen konnte, rechnen die Experten für 2018 mit einem neuerlichen CaaS-Boom. Das wird vor allem daran liegen, dass man insbesondere in der organisierten Kriminalität die Cybercrime-Vorteile zu schätzen weiß. <br><br /> Im Vergleich zu 2017 rechnet Steve Durbin - Managing Director des ISF - allerdings damit, dass der CaaS-Trend viele neue „Cybercrime-Aspiranten“ ohne tiefgehendes technisches Wissen anziehen wird, die dann mit gekauften Tools Hackerangriffe bewerkstelligen, zu denen sie sonst niemals in der Lage gewesen wären. Gleichzeitig steigt aber auch das Professionalisierungslevel unter fähigen Black-Hat-Hackern – insbesondere beim Thema Social Engineering, wie Durbin sagt: „Die Linie zwischen Enterprise und Privatperson verwischt immer mehr – das Individuum wird immer mehr zur Firma.“ <br><br /> - Internet of Things (IoT)
Das Internet der Dinge bleibt auch 2018 Security-Sorgenkind. Der Grund: Immer mehr Unternehmen setzen IoT-Devices ein – der „Security by Design“-Grundsatz hat sich hingegen immer noch nicht im großen Stil durchgesetzt. Auch die durch die rasant wachsenden IoT-Ökosysteme verwässerte Transparenz wird vom ISF angeprangert. <br><br /> Kommt es zu Datenlecks, ist es sehr wahrscheinlich, dass die betroffenen Unternehmen nicht nur den Zorn der Kunden, sondern auch die harte Hand der Regulatoren zu spüren bekommen. Worst-Case-Szenario: IoT-Devices in industriellen Kontrollsystemen (oder anderen kritischen Infrastrukturen) werden kompromittiert und führen zu Gefahr für Leib und Leben. <br><br /> „Aus Sicht der Hersteller ist es wichtig, Verhaltensmuster und Wünsche der Kunden zu verstehen,“ so Durbin. „Aber das hat dazu geführt, dass mehr Angriffsvektoren als je zuvor vorhanden sind. Die Devices müssen so abgesichert werden, dass sie unter Kontrolle sind – und nicht uns unter Kontrolle haben.“ <br><br /> - Supply Chain
Seit Jahren prangert das ISF die Schwachstellen in der Supply Chain an. Denn hier werden, wie die Experten wissen, oft vertrauliche Daten mit Zulieferern geteilt. Sobald das der Fall ist, verliert das betreffende Unternehmen seine direkte Kontrolle. <br><br /> „Egal, in welcher Branche Sie tätig sind“, macht Durbin klar, „jedes Unternehmen hat eine Lieferkette. Die Herausforderung besteht darin, zu wissen, wo sich die Daten befinden – und zwar zu jedem Zeitpunkt im Lifeycycle. Und natürlich darin, die Integrität der Informationen, die geteilt werden sollen, zu bewahren.“ Unternehmen sollten deshalb nach Meinung der ISF-Experten auf das schwächste Glied in ihrer Lieferkette fokussieren und Risikomanagement-Elemente in bestehende Prozesse einbauen. <br><br /> - Regulierung
Regulationen steigern die Komplexität. Das ist auch im Fall der EU-Datenschutzgrundverordnung (DSGVO/GDPR) nicht anders. <br><br /> „Ich habe in den letzten Monaten kein Gespräch geführt, bei der GDPR nicht Thema war“, meint Durbin. „Dabei geht es nicht nur um Compliance: Sie müssen in der Lage sein, persönliche Daten zu managen und zu schützen und das auch beweisen können – und zwar zu jeder Zeit. Und nicht nur gegenüber den Regulatoren, sondern auch gegenüber den Kunden.“ <br><br /> - Unerfüllte Erwartungen
Diskrepanzen zwischen den Erwartungen des Vorstands und dem, was IT-Sicherheits-Abteilungen tatsächlich leisten können, wird laut den ISF-Experten 2018 eine Bedrohung darstellen. <br><br /> Durbin erklärt, warum: „Der CISO – so die Denke – hat schon alles unter Kontrolle. In vielen Fällen weiß der Vorstand einfach nicht, welche Fragen er dem CISO stellen sollte. Auf der anderen Seite versteht auch so manch ein CISO nicht unbedingt, wie er mit dem Vorstand – oder dem Business – kommunizieren muss.“ <br><br /> Die Folgen eines Sicherheitslecks oder erfolgreichen Angriffs bekommt aber nicht nur das Unternehmen als Ganzes zu spüren – auch die Reputation einzelner Manager – oder des ganzen Vorstands – können darunter leiden. Die Rolle des CISOs muss sich 2018 deshalb verändern, ist Durbin überzeugt: „Die Rolle des CISOs besteht heute vor allem darin, Dinge vorher zu sehen – nicht darin, für die Funktion der Firewall zu sorgen. Ein guter CISO muss Sales-Experte und Berater zugleich sein: Wenn er seine Ideen nicht verkaufen kann, werden Sie beim Vorstand auch keinen Anklang finden.“ <br><br />
Jedoch steht letztendlich vor all diesen Akteuren der Cyber-Kriminelle, welcher die Attacken ausführt. "Leider kann man Dienstleistungen, die eine Downtime herbeiführen können, bei kriminellen Organisationen mieten. Hierbei muss noch nicht einmal ein gewichtiges wirtschaftliches Interesse dahinterstehen. Leider kennen wir auch den Fall, dass das Mögliche einfach nur mal ausgetestet wird", ergänzt Knapp. Daher, erklärt er weiter, sollten IT-Sicherheitsmaßnahmen "allerhöchste Priorität und Visibilität haben. Sicherheit allgemein und insbesondere IT Sicherheit sind strategische Themen, mit denen sich die oberste Leitung beschäftigen muss. Leider ist das bis heute an vielen Stellen nicht der Fall, zumindest so lange bis etwas passiert."
Neben dem Sensibilisieren der Mitarbeiter für Gefahren durch Angriffe ist es unumgänglich, klassische Infrastrukturen abzusichern, weiß auch Werner. "Es gibt eine lange Liste möglicher Maßnahmen, ich will hier nur auf zwei Wege hinweisen: Da kein Unternehmen der Welt Kenntnis über alle Risiken und Maßnahmen haben kann, ist es heutzutage empfehlenswert, auf externe Expertise zurückzugreifen, zum Beispiel im Sinne von Managed Services. Die Nutzung von künstlicher Intelligenz kann ebenfalls helfen, da Einzelpersonen die Komplexität nicht mehr überschauen können", erklärt Knapp. Bei der Samson AG überprüfe man zusätzlich ständig die Sicherheitsstrategie, um immer für den Ernstfall vorbereitet zu sein. "Wir setzen auf Dienstleister, die sich auf die Abwehr dieser Angriffe spezialisiert haben. Wir müssen stets auf der Höhe der Zeit sein, das kann ein Unternehmen alleine nicht leisten", erklärt Knapp.
Nicht warten, bis es zu spät ist
Echtzeit ist eine Grundvoraussetzung, um in der heutigen Zeit zu überleben. Die Konsequenz von Downtimes ist unumstritten: Wer offline ist, verliert das Rennen und riskiert möglicherweise sogar die Firmenexistenz. Heutzutage kann jeder auch ohne jegliche IT-Fachkenntnisse und mit sehr geringem, finanziellen Aufwand eine DDoS-Attacke über das Darknet ausführen und so Unternehmen jeder Art und Branche erpressen beziehungsweise schädigen.
Die Bedrohung ist allgegenwärtig und wird dennoch von vielen IT-Entscheidungsträgern ignoriert - oftmals bis es zu spät ist. Einmal entstandene Schäden sind dabei meist nicht mehr rückgängig zu machen und umfassen neben Umsatzeinbußen und Kosten für IT-Recovery-Maßnahmen vor allem auch Reputationsschäden. Daher sollten sich Unternehmen proaktiv gegen Downtimes schützen und auf Schutzlösungen setzen, die den fluktuierenden Anforderungen der heutigen Zeit gewachsen sind. Die IT-Landschaft hat über die vergangen Jahre einen enormen Zuwachs an Komplexität erfahren. Ein Großteil von IT-Aktivitäten findet in der Cloud statt und Unternehmen setzen zunehmend auf Public-Cloud-Angebote. On-Premise-Lösungen bieten daher schon lange keinen ausreichenden Schutz mehr. Angriffs-Techniken ändern sich von Tag zu Tag und müssen daher in Echtzeit und idealer Weise mit Hilfe von Technologien wie künstlicher Intelligenz und Machine Learning agieren.