Die Schadenssumme von Cyberangriffen ist 2020/21 laut des Branchenverbands der deutschen Informations- und Telekommunikationsbranche (Bitkom) für die deutsche Wirtschaft mit 223 Milliarden Euro mehr als doppelt so hoch wie in den Jahren zuvor. Im Interview erläutert unser IT-Sicherheitsexperte Christian Garske, wo die Schwachstellen in den Unternehmen liegen und wie sie sich vor den Angreifern schützen können.
„Die größten Schwachstellen sind Komplexität und Halbwissen“
Was sind die Haupttreiber des enormen Anstiegs der Cyberangriffe auf Unternehmen?
Christian Garske: Die Zahlen von Bitkom sind nur die Spitze des Eisbergs. In Wahrheit dürfte der Schaden für die Wirtschaft noch deutlich höher sein. Die Gründe dafür sind vielfältig. Zum einen gibt es heute wesentlich mehr Schadsoftware. So werden pro Tag etwa 320.000 neue Varianten in Umlauf gebracht. Insgesamt sind wir mittlerweile bei weit mehr als 1,3 Milliarden verschiedenen Tools, mit denen Schaden angerichtet werden kann. Zum anderen können die Tools jetzt auch mehr. Dass die Angreifer sich professionalisieren, haben wir schon die letzten zwei Jahre gesehen. Der Unterschied: Während wir es früher eher mit Einzeltätern oder kleineren Gruppen zu tun hatten, finden heute die Angriffe organisiert statt, auch im staatlichen Auftrag einzelner Nationen.
Besonders erfolgreich waren die Angriffe mit Emotet. Was hat es mit dieser Schadsoftware auf sich?
Christian Garske: Emotet ist ein Makrovirus, der typischerweise über E-Mails distribuiert wird. Das Perfide an diesem Virus ist, er schneidet Kontakte mit und kann Inhalte interpretieren. Damit wird der Nutzer gezielt und individuell angesprochen. Das heißt, die Nachrichten kommen von den bekannten Kontakten und zitieren sogar E-Mails des Empfängers. Dadurch wird der eigene Alarmmodus erst einmal ausgeschaltet. Das im Zusammenhang mit Emotet etablierte Dynamit-Phishing hat sich als besonders erfolgreich erwiesen. Deshalb gehört es mittlerweile zum Repertoire anderer Krimineller, die mit ähnlicher Malware wie etwa Qakbot angreifen.
Womit das Individuum zu einem der wichtigsten Einfallstore für Angreifer wird. Wo liegen darüber hinaus die größten Schwachstellen in Unternehmen?
Christian Garske: Die größten Schwachstellen sind Komplexität und Halbwissen. Komplexität haben wir nicht nur in der Fachlichkeit, sondern auch in den technischen Strukturen. Die Skills, die man braucht, um mit der Masse an Technologien und Schadsoftware umzugehen, sind oft nicht ausreichend verfügbar. Es fehlt auch häufig an Strukturvorgaben innerhalb des Unternehmens, also an einem Managementsystem für Informationssicherheit, das die Risiken ständig im Blick hat und rechtzeitig gegensteuert.
Auch die Bedrohung durch Daten-Leaks hat eine neue Qualität erreicht, wie der Lagebericht zur IT-Sicherheit in Deutschland 2020 aufzeigt. Wie kann ein Unternehmen seine Kunden, wie können sich Verbraucher:innen schützen?
Christian Garske: Für Unternehmen, die mit personenbezogenen Daten arbeiten, gilt das gleiche wie für alle anderen. Sie müssen sich überlegen, wie eine angemessene Schutzstrategie aussieht und wie hoch die Hürden sein sollten, damit ein angemessenes Schutzlevel erreicht werden kann. Was ich jeder Privatperson rate, ist, sparsam im Umgang mit den eigenen Daten zu sein. Denn überall, wo ich Daten eingebe, können diese potenziell verloren gehen. Wenn es sachliche Gründe dafür gibt, seine Daten preiszugeben, muss ich schauen, wer das Gegenüber ist. Bestelle ich also online in einem Shop, der ein Trusted-Siegel aufweist oder bei einem Anbieter, von dem ich noch nie gehört habe.
Viele Unternehmen haben zwar in den vergangenen Jahren bereits Schritte unternommen, ihre IT besser zu schützen. Die meisten deutschen Unternehmen sind aber noch immer nicht auf dem Niveau, auf dem sie eigentlich sein müssten. Diese Defizite fallen in der Krise noch deutlicher ins Gewicht, wenn Unternehmen kurzfristig auch noch völlig neue Wege gehen müssen.
Christian Garske, IT-Sicherheitsexperte Lufthansa Industry Solutions
Dass Cyberkriminelle schnell auf gesellschaftlich relevante Themen und Trends reagieren, zeigen unterschiedliche Angriffe unter Ausnutzung der COVID-19-Pandemie. Wo liegen die Gefahren?
Christian Garske: Viele Unternehmen haben zwar in den vergangenen Jahren bereits Schritte unternommen, ihre IT besser zu schützen. Die meisten deutschen Unternehmen sind aber noch immer nicht auf dem Niveau, auf dem sie eigentlich sein müssten. Diese Defizite fallen in der Krise noch deutlicher ins Gewicht, wenn Unternehmen kurzfristig auch noch völlig neue Wege gehen müssen. Die Situation war ja so, dass plötzlich tausende Unternehmen innerhalb kürzester Zeit ihre Mitarbeitenden ins Homeoffice schicken mussten, ohne dass sie sich fachgerecht auf die neuen Rahmenbedingungen einstellen konnten. Fahren Unternehmen ihre IT-Kapazitäten zudem noch krisenbedingt herunter, wird es sehr schnell sehr gefährlich.
Gleichzeitig scheinen viele Mittelständler den geänderten Anforderungen noch hinterherzulaufen: Eine aktuelle Forsa-Umfrage unter 300 mittelständischen Unternehmen hat ergeben, dass nur acht Prozent ihre Regeln für Datenschutz und IT-Sicherheit mit Blick auf die Arbeit im Homeoffice überarbeitet haben. Haben Unternehmen ihre Hausaufgaben nicht gemacht?
Christian Garske: Das würde ich so nicht sagen. Die Unternehmen mussten zuerst dafür sorgen, dass der Betrieb lebensfähig ist und weitergehen kann. Das ist auch erst einmal okay. Denn wenn es brennt, greife ich auch als erstes zu einem Feuerlöscher und überarbeite nicht gleich mein Brandschutzkonzept. Fatal wäre es aber, wenn ich mir dann, nachdem das Feuer gelöscht ist, das Brandschutzkonzept nicht vornehme. Wenn ich nicht rechtzeitig nachsteuere, ist es nur eine Frage der Zeit, bis etwas schiefgeht.
Gerade für KMU scheint die Pandemie im Hinblick auf Cyber Security einige Fallstricke zu bieten. Einer kürzlich erschienenen Analyse eines Security-Software-Unternehmens zufolge sagten 51 Prozent der europäischen KMU, dass sie Probleme haben, dafür finanzielle Mittel bereitzustellen. Mit welchen Konsequenzen müssen diese Unternehmen rechnen?
Christian Garske: Die Konsequenz ist, es entsteht ein Schaden. Denn die Eintrittswahrscheinlichkeit von Schäden durch Cyberkriminalität ist in den letzten Jahren massiv gestiegen. Die Folgen: Entweder steht die Produktion still oder ich habe auf die Daten und das Wissen meines Unternehmens keinen Zugriff mehr. Und wenn ich dann das Lösegeld nicht zahle, bietet der Angreifer im schlimmsten Fall meine Daten einem Konkurrenten zum Kauf an. Die strategische Frage, die sich ein Unternehmen stellen muss, ist, wie wahrscheinlich ist es, dass so ein Ereignis eintritt. Nach der Wahrscheinlichkeit bemisst sich, wieviel ich für die Absicherung dieses Risikos investieren muss.
Gibt es einen Richtwert oder eine Kennzahl, wieviel Unternehmen beispielsweise gemessen am Umsatz für das Risikomanagement aufwenden sollten?
Christian Garske: Nein, eine einfache Formel gibt es nicht, weil Unternehmen unterschiedliche Märkte besetzen. Jedes Unternehmen muss für sich definieren, wo es steht. Eine Faustregel: Je abhängiger ein Unternehmen von der digitalen Technologie ist, desto mehr muss es für IT-Sicherheit ausgeben.
Für mehr Klarheit will auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sorgen. Um Kunden eine Orientierung beim Kauf von IT-Produkten zu geben, können Hersteller zukünftig ihre IT-Produkte mit dem IT-Sicherheitskennzeichen BSI auszeichnen. Ist das der richtige Weg, um den Gefahren von Cyberkriminalität jetzt zu begegnen?
Christian Garske: Da bin ich skeptisch, aber nicht, was eine sinnvolle Überprüfung von IT-Produkten betrifft. Wenn es hier einen guten Standard gäbe, wäre das ein wichtiger Schritt nach vorne. Ich denke aber nicht, dass dieses neu aufgesetzte Sicherheitssiegel zielführend ist. Denn die Vorgaben werden in der Praxis nicht überprüft. Es ist kein konkreter, technischer Nachweis erforderlich, um das Siegel zu erhalten. Es ist auch kein regelmäßiges Audit vorgesehen. Überspitzt gesagt: Das Siegel bestätigt nur, dass die Sicherheit des zertifizierten IT-Produkts theoretisch möglich ist.
Eine weitere Neuerung ist das „IT-Sicherheitsgesetz 2.0“, das im Mai 2021 in Kraft getreten ist. Nun fallen neben Betreibern kritischer Infrastrukturen (KRITIS) auch Unternehmen von erheblicher volkswirtschaftlicher Bedeutung in den Anwendungsbereich des Gesetzes. Welche Unternehmen oder Branchen sind konkret betroffen?
Christian Garske: Das IT-Sicherheitsgesetz wurde aufgesetzt, weil es Angriffe gibt, deren Auswirkungen von gesellschaftlicher Relevanz sind wie zum Beispiel bei Energieversorgern oder im medizinischen Bereich. Jetzt wurden die Schwellwerte gesenkt, ab welcher Größe ein Unternehmen in diesen Sektoren zur kritischen Infrastruktur zählt und weitere Sektoren aufgenommen, zum Beispiel Rüstungsbetriebe und der Bereich Entsorgung. Zu den Unternehmen mit erheblicher volkswirtschaftlicher Bedeutung in Deutschland gehören Unternehmen wie die Automobil-, Chemie- und Pharmaindustrie mit ihren Zulieferketten. Auch sie unterliegen nun den besonderen Vorschriften in der IT-Sicherheit.
Die IT-Sicherheit lebt wie alle Technologiebranchen von der ständigen Weiterentwicklung und Neuerfindung von Trends und Technologien. Was sind aktuell die wichtigsten Trends und Technologien in der IT Security?
Christian Garske: Auf der einen Seite hängt die IT Security stark an der allgemeinen technologischen Entwicklung, denn jede Technologie kann Schwächen haben und missbraucht werden. Der Security-Spezialist muss alle diese neuen Technologien verstehen und deren Schwachpunkte erkennen. Auf der anderen Seite wird uns das Thema Künstliche Intelligenz verstärkt begleiten. Viele Bereiche, wie zum Beispiel die Anomalie-Detektion, werden sich mit KI lösen lassen. Dadurch, dass wir mit immer größeren Datenmengen konfrontiert sind, geht das auch gar nicht anders.
Stichwort Künstliche Intelligenz: LHIND beteiligt sich an einem Forschungsprojekt zur automatisierten Penetration-Testing durch KI. Was genau wird dort entwickelt?
Christian Garske: Wir versuchen in dem Projekt, die Grenzen des bereits heute technisch Machbaren ein Stück weiter zu verschieben. Es geht vor allem darum, zum einen den Pentest so weit wie möglich zu automatisieren. Auf der anderen Seite geht es aber auch darum, mehr Kontext-Informationen zu integrieren und auszuwerten. Im Rahmen des Forschungsprojekts entwickelt einer unserer Partner einen Honeypot, der aufzeichnet, wie sich die Umgebung verhält. Wenn wir solche Informationen miteinbauen können, würden sich weitere Möglichkeiten eröffnen, mit diesem Kontext-Wissen Angriffe abzuwehren. Wir wollen es den Angreifern immer schwerer machen, noch eine Lücke in den IT-Systemen zu finden.
Allerdings können die Angreifer ebenfalls Künstliche Intelligenz einsetzen.
Christian Garske: Richtig, das ist so ein Hase-Igel-Spiel. Wenn die IT-Sicherheitsexperten aber anfangen würden, die Füße hochzulegen, hätten wir verloren. Eine einzelne Einheit kann es aber auch nicht alleine schaffen. Die IT Security lebt davon, dass auf der einen Seite die eigenen Skills stark entwickelt werden und das auch dauerhaft, auf der anderen Seite aber auch die Vernetzung zu anderen sucht. Deswegen sind die Security Communities, wie es sie zwischen den Unternehmen gibt, enorm wichtig. Ansonsten hätten es die Angreifer viel leichter.
Lufthansa Industry Solutions ist ein Dienstleistungsunternehmen für IT-Beratung und Systemintegration. Die Lufthansa-Tochter unterstützt ihre Kunden bei der digitalen Transformation ihrer Unternehmen. Die Kundenbasis umfasst sowohl Gesellschaften innerhalb des Lufthansa Konzerns als auch mehr als 300 Unternehmen in unterschiedlichen Branchen. Das Unternehmen mit Hauptsitz in Norderstedt beschäftigt über 2.100 Mitarbeitende an mehreren Niederlassungen in Deutschland, Albanien, der Schweiz und den USA.