Security IT-Sicherheit braucht einen kühlen Kopf

Von Tim Berghoff*

Viele Unternehmen sehen sich seit dem Beginn des Ukraine-Krieges unter akutem Handlungsdruck, ihre Sicherheit zu verbessern. Doch hat sich eigentlich an der Situation der IT-Sicherheit viel geändert?

Anbieter zum Thema

Angriffe auf die Wertschöpfungs- und Lieferketten von Unternehmen sind ein Trend, der sich bereits 2020 abgezeichnet hat.
Angriffe auf die Wertschöpfungs- und Lieferketten von Unternehmen sind ein Trend, der sich bereits 2020 abgezeichnet hat.
(Bild: G Data)

Es ist nun zwei Monate her, dass russische Streitkräfte in der Ukraine einmarschiert sind und mit ihren Eroberungsabsichten für weltweites Entsetzen gesorgt haben. Gerade in den ersten Tagen haben sich die Ereignisse überschlagen und eine Schreckensmeldung jagt noch immer die andere. Glaubt man einigen Medienberichten, ist auch das Internet inzwischen zu einem Kriegsschauplatz geworden und Angriffe gegen kritische Infrastrukturen, Medienhäuser und Fabriken sind an der Tagesordnung. Das macht zurecht Angst. Doch wie viel davon entspricht tatsächlich der Realität? Das reine Adrenalin, das in den ersten Kriegstagen und -wochen das Handeln bestimmt hat, ist langsam gewichen und es ist Zeit für einen nüchternen Blick auf die tatsächliche Situation.

Falscher Aktionismus – entgegen der Empfehlung des BSI

Fakt ist, dass das Thema IT-Sicherheit mit Beginn der Kampfhandlungen und unter dem ständigen Säbelrasseln der russischen Regierung erneut mit Macht in den Fokus gerückt ist. Vielfach sehen sich Unternehmen unter akutem Handlungsdruck, ihre Sicherheit zu verbessern. Doch viele Bemühungen, für die der Ukraine-Krieg der Katalysator war, sind eher das Ergebnis von subjektiven Empfindungen und fehlgeleitetem Aktionismus.

Bildergalerie
Bildergalerie mit 6 Bildern

Nehmen wir einmal die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die sich auf Sicherheitsprodukte aus Russland bezieht. Vielerorts wurde diese Verlautbarung des BSI, welches sich bis dato eher bedeckt gehalten hatte, zum Anlass genommen, mit sofortiger Wirkung die erwähnten Sicherheitslösungen zu deinstallieren und sich auf die Suche nach einem Ersatz zu machen. Das passierte in genau dieser Reihenfolge und entgegen der ausdrücklichen Empfehlung des BSI, die zu „ablösen statt abschalten“ rät.

Welche Auswirkungen solch überstürztes Handeln hatte, ist noch nicht abzusehen. Bei allem, was in der Ukraine an Unaussprechlichem passiert: Der Rest der Welt steht nicht still, und am wenigsten die kriminelle Szene.

Was vor der Krise zutraf, trifft auch noch immer zu.

Seit Jahren gültig: Empfehlungen zur IT-Sicherheit

Doch eigentlich hat sich an der Situation in der IT-Sicherheit zahlreicher Unternehmen nicht viel geändert. Was vor der Krise zutraf, trifft auch noch immer zu. Die Empfehlungen zur Verbesserung der Sicherheit, die seit Jahren gültig sind, gelten noch immer. Es scheint befremdlich, dass gerade jetzt einige Unternehmen sich dazu bewegt sehen, das Thema jetzt „endlich einmal richtig anzugehen“. Was hat diese Firmen bisher davon abgehalten? Antwortversuche sind an dieser Stelle müßig.

Tatsache ist jedoch auch, dass viele Cyberangriffe oder IT-Ausfälle gerade zu Beginn der Invasion implizit oder explizit mit dem Ukraine-Konflikt in Verbindung gebracht werden, auch wenn dafür eine solide Faktenbasis fehlt. Mehr als Kollateralschäden sind bisher jedoch nicht zu beobachten – ohne diese in irgendeiner Weise verharmlosen zu wollen.

Nüchtern betrachtet hat sich an der Ausgangssituation mit den altbekannten gewachsenen Strukturen in der IT, die wenig bis gar nicht dokumentiert sind, nichts geändert. Immer noch sind Netzwerke nicht segmentiert auch das Logging ist mangelhaft. Ein Angriff, der heute stattfindet, hätte jetzt dieselben Folgen wie vor einem, zwei oder fünf Jahren.

In der IT-Welt hat sich effektiv nicht viel geändert.

Konzerne und KMU – dieselben Herausforderungen in der IT-Sicherheit

Viele Dinge – auch außerhalb der Welt der IT – haben durch die Krise in der Ukraine eine Beschleunigung erfahren, was durchaus in einigen Fällen zu begrüßen ist. In der IT-Welt hat sich effektiv nicht viel geändert. Angriffe auf die IT haben gerade im produzierenden Sektor mitunter verheerende Auswirkungen.

Dafür muss man nicht unbedingt ein Unternehmen wie TSMC sein, wo ein Produktionsausfall durch Schadsoftware innerhalb von Tagen Schäden in Höhe von ca. 150 Millionen Euro anrichtet und damit zwei Prozent eines Quartalsumsatzes kostet.

Doch dieses Beispiel zeigt, dass selbst die größten Konzerne vor denselben Herausforderungen stehen wie der kleine Mittelständler. Die Schutzmaßnahmen sind dieselben, nur der Maßstab ist ein anderer. Ein einziger infizierter Rechner in einem Netzwerk kann dazu führen, dass die gesamte Produktion stillsteht.

Doch was kann man dagegen tun?

Da wäre zum einen die Segmentierung von Netzwerkabschnitten zu nennen. In vielen gerade kleineren Betrieben gibt es flache Netzwerkstrukturen. Von einem Rechner in der Buchhaltung ist es einem Angreifer ohne weiteres möglich, bis zu den Kontrollrechnern für Produktionsanlagen „durchzumarschieren“. Schaffen es Angreifer, ein System zu übernehmen, haben sie in den meisten Fällen alle Zeit der Welt, sich in Ruhe im Netzwerk umzuschauen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

VLANs können hier Abhilfe schaffen. Doch allein die Einrichtung von solchen virtuellen LANs ist nicht genug – es sind auch Regeln erforderlich, von welchem Netzwerk aus auf bestimmte Ressourcen zugegriffen werden darf. Genau hier scheitern viele Unternehmen.

Es gibt keinen Grund, warum Verbindungen von Office- und Produktions-IT überhaupt existieren sollten. Produktionsanlagen selbst sind mitunter auch diversen Risiken ausgesetzt. So sind viele Anlagen aus den unterschiedlichsten Gründen mit dem Internet verbunden – sei es für Wartungszwecke oder für eine Verbindung zum Hersteller. Über diese Verbindungen kommen Updates, werden Nutzungs- und Produktionsdaten übertragen und auch Predictive Maintenance ist hier Thema. All das sind Einsatzzwecke, die sich argumentieren lassen. Doch jede aus dem Internet erreichbare Wartungstür ist auch für kriminelle Akteure erreichbar. Ist diese schlecht abgesichert, sind die Folgen unabsehbar.

Alle Vernetzungen sind potenzielle Ansatzpunkte für Angreifer.

Netzwerke als Sprungbrett für Angriffe

Doch kaum ein Unternehmen existiert isoliert auf einer eigenen virtuellen Insel. Sie sind auch mit Kunden, Auftraggebern, Zulieferern, Softwareherstellern und Dienstleistern verbunden. All diese Vernetzungen sind ebenfalls potenzielle Ansatzpunkte für Angreifer. Und dabei hat es ein Akteur – ob nun finanziell oder politisch motiviert – nicht zwingend auf den Betrieb abgesehen, der initial angegriffen wird.

Beispiele dafür, wie ein Firmennetz eines Zulieferbetriebes zum Sprungbrett für einen Angriff auf ein anderes Unternehmen werden kann, gibt es genug – Stichwort „Sunburst“. Hier wurde ein manipuliertes Update zu einem Weg in zahlreiche Netzwerke in aller Welt.

Auch die Sicherheitslücke in Microsoft Exchange, die 2021 unter dem Namen „Hafnium“ Schlagzeilen machte, war vielfach ein solches Sprungbrett. Die Liste möglicher Wege in Netzwerke von Firmen aller Größen lässt sich fortsetzen.

Überhaupt sind Angriffe auf die Wertschöpfungs- und Lieferketten von Unternehmen ein Trend, der sich bereits 2020 abgezeichnet hat – das ist also beileibe kein Phänomen, das erst mit Beginn des Ukraine-Krieges akut wurde.

In der Produktion die Sicherheit mehrschichtig aufstellen

All diese Faktoren treffen in zahlreichen Unternehmen auf eine Konstellation, die hochautomatisiert ist, und wo teilweise Systeme am Internet hängen, die dafür nie gedacht waren. Updates und Patches zu installieren ist im Normalbetrieb oftmals kaum möglich und deren Installation ist an Wartungsfenster mit mehreren Monaten Vorlauf gebunden – wenn sie überhaupt möglich ist. Dass eine Produktionsanlage nur einmal im Jahr für ein paar Tage heruntergefahren werden kann, ist nichts Ungewöhnliches. Vor dem Hintergrund der Geschwindigkeit, mit der neu entdeckte Sicherheitslücken ausgenutzt werden, ist das wenig zufriedenstellend.

Die Trennung von Office- und Produktions-IT kann einer der wesentlichen Stützpfeiler sein.

Daher muss auch und gerade in der Produktion die Sicherheit mehrschichtig aufgestellt sein und sich nicht nur auf eine einzelne Maßnahme verlassen. Die Trennung von Office- und Produktions-IT kann hier einer der wesentlichen Stützpfeiler sein. Eine solche Trennung ist zu beiderseitigem Schutz. So kann eine Malware-Infektion in der Personalabteilung oder der Buchhaltung nicht auf die Produktion durchschlagen, und umgekehrt.

Auch Malware, die gezielt gegen Steueranlagen eingesetzt werden kann, hat so eine wesentlich kleinere Chance, Schaden anzurichten. Auch eine bessere Loggingstrategie für kritische Systeme kann helfen, Zwischenfälle frühzeitig zu erkennen und einzudämmen.

Hauruck-Aktionen sind kein guter Ratgeber

Unter Adrenalineinfluss und Zeitdruck verabschiedet sich sämtliche Feinmotorik. Das kennt jeder, der einmal unter Stress Arbeiten verrichten musste, für die Präzision wichtig ist. Ebenso verhält es sich mit der Sicherheit: Adrenalin, Stress und Verunsicherung sind der natürliche Feind klarer und überlegter Strategien. „Hauruck-Aktionen“ mögen zwar für das eigene Empfinden gut sein, aber ob sie auch wirklichen Erfolg bringen, ist mehr als fraglich. Sicherheit braucht einen kühlen Kopf – heute mehr denn je. (in)

Buchtipp IT-Sicherheit

Die beiden Fachbücher „Industrial IT Security“ und „Cybersicherheit“ führen Sie grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Sicherheit heran. „Industrial IT Security“ legt einen Fokus auf den Schutz vernetzter Steuer- und Sensorsysteme in heutigen Produktionsanlagen entlang der Automatisierungspyramide. „Cybersicherheit“ beleuchtet das Thema stärker aus einer Management-Perspektive und geht dabei insbesondere auf die drei technischen Aktionsfelder IT, IoT und OT sowie auf die Unternehmensorganisation und das Risikomanagement ein.

Mehr erfahren bei Vogel Fachbuch

* Tim Berghoff, Security Evangelist, G Data Cyber Defense AG

(ID:48257269)