Was sind die grundlegenden Bedrohungen in Unternehmensnetzwerken und mit welcher Strategie schützen sich Unternehmen von Cyber-Risiken?
Andrey Nikishin, Kaspersky Lab:
Die gängige Strategie der meisten Unternehmen ist derzeit ein mehrschichtiger Ansatz. Die Endpoint-Protection ist dabei eine Komponente, die unbedingt ergänzt werden muss durch Security Intelligence Services, etwa einen klassischen Daten-Feed als zusätzliche Ebene der Immunisierung. Es geht dabei um Botnet-Tracking oder das Erkennen von Malware über Wahrscheinlichkeiten. Hier kann ein globales Netzwerk wie das von Kaspersky seine Stärken ausspielen, da es weltweit Daten sammelt und somit Bedrohungen aus bestimmten geografischen Richtungen frühzeitig erkennt. Wenn wir eine neue Datei untersuchen, können wir, selbst wenn wir eine Malware nicht kennen, binnen 40 Sekunden einschätzen, ob sie gut oder böse ist.
Wie hoch ist heute der Prozentsatz an Unternehmen, die bereits auf Cyber-Angriffe treffen?
Grundsätzlich haben 63 Prozent unserer Kunden in den vergangenen zwölf Monaten ein Problem mit einem Angriff oder mit Schadsoftware gehabt. Wie viele davon gezielte Angriffe sind, kann man nur mutmaßen – schon deswegen, weil viele gezielte Angriffe über eine längere Zeit unentdeckt bleiben. Der durchschnittliche Zeitraum hierfür liegt bei sieben Monaten – oft dauert es aber auch Jahre, bis ein Angriff tatsächlich erfolgt. Dabei ist eine solche Bedrohung weniger das Stück Malware selbst als die dazugehörige Kampagne, angefangen mit dem Ausspionieren, wie ein Angriff in diesem speziellen Fall erfolgen kann. Dazu wird die Malware entwickelt und immer weiter angepasst.
Sind Cyber-Angriffe, die gezielt erfolgen, eher ein Problem großer Unternehmen oder kann das auch den Mittelständler treffen?
Zunächst einmal kann das Ziel zweierlei sein: Geld oder Informationen zu generieren – oder aber das schiere Lahmlegen von Anlagen. Naturgemäß sind große Unternehmen eher von Angriffen betroffen, weil es sich hier für die Angreifer eher lohnt, Bemühungen und Geld zu investieren, um etwas zu erbeuten. Zudem kommt es darauf an, wer hinter einem Angriff steht. Ist das Ziel, Geld zu erbeuten, etwa von Business-Bankkonten, dann sind kleinere und mittelständische Unternehmen ebenso betroffen. Geht es aber um militärische Belange, oder ist das Ziel, Informationen oder Kundendaten aus einem Unternehmen zu ziehen, eine Ölbohrplattform oder ein Kraftwerk lahmzulegen, dann sind in aller Regel größere Unternehmen und Weltkonzerne betroffen.
Sehen Sie mobile Endgeräte als ein Sicherheitsproblem?
Bring your own device – also das Nutzen eigener Geräte im Firmennetzwerk – ist ein ernsthaftes Problem in Hinblick auf die Sicherheit. Vernünftig ist es, hier zwischen privaten Geräten und Geräten mit den Firmeninformationen zu unterscheiden und nur solche in ein Netzwerk zu lassen, die entsprechend abgesichert sind. Eine Lösung kann auch sein, bestimmte Netzwerkbereiche zu schaffen, die zwar Internetzugang ermöglichen, aber streng getrennt von den Produktivnetzwerken sind. Das nächste Problem, das sich hieraus ergibt, sind Geräte, die im Bereich Internet of Things angesiedelt sind, beispielsweise eine internetfähige Uhr. Sicherheitstechnisch ist sowas ein Alptraum.
Das Internet der Dinge birgt eine Menge Gefahren: Connected Cars, die ungefragt den Airbag betätigen, Produktionsanlagen, die unbedienbar werden oder sich anders verhalten als erwartet – wie realistisch sind solche Szenarien?
Dass es diese Gefahren gibt, wird wohl niemand mehr bestreiten. Zur Wahrscheinlichkeit: Connected Cars sind sowohl für die Hersteller als auch für die Anwender mit vielen Annehmlichkeiten verbunden und deswegen werden sie in Zukunft wahrscheinlich weitere Verbreitung finden. Und mit ihrer Verbreitung werden auch die Angriffe zunehmen. Bei Produktionsanlagen und Infrastruktureinrichtungen sehen wir bisher, dass die meisten nur an „Safety“ denken, also an das Einhalten von vorgegebenen Regeln, nicht aber an „Security“, das auf die externen Einflüsse, auf absichtliche Aktionen, abzielt.
Ransomware, Erpresserviren, die ein Krankenhaus lahmlegen oder einer Verwaltung Daten verschlüsseln und diese erst nach Zahlung eines Lösegeldes freigeben, sind aktuell ein ernstes Problem für die Industrie. Wie können sich Unternehmen schützen?
Für Unternehmen speziell im Öl- und Gasbereich, aber auch in der Produktion ist das natürlich ein Horrorszenario: ein Scada-System, das lahmgelegt ist und eine Anlage, die über längere Zeit steht und nicht produziert. Es gibt eine Untersuchung von 2015, die zeigt, dass Deutschland bei Mobilgeräten auf Platz 2 in der Verbreitung von Ransomware liegt. Der Grund für die hohe Verbreitung liegt darin, dass solche Malware-Programme vergleichsweise einfach zu schreiben sind. Den Unternehmen kann man daher nur dazu raten, penibel Backups zu erstellen und diese eben abgeschottet von Netzzugängen aufzubewahren.
Was würden Sie Unternehmen raten, um ihre Security-Strategie an die aktuellen Herausforderungen anzupassen?
Neben den üblichen technischen Dingen würde ich das strategische Moment sehen: Internetsicherheit muss gelebter Teil der Unternehmenskultur werden. Im industriellen Bereich spielt Safety eine sehr große Rolle, Security dagegen nicht. Industrie 4.0 beinhaltet, dass nahezu jedes Anlagenelement und jedes Endgerät, das im Business-Alltag vorkommt, mit dem Internet verbunden ist. Dem müssen wir Rechnung tragen. Aus diesem Grund unterstützen wir unsere Unternehmenskunden mit Planspielen. Ein Gamification-Ansatz wirkt unserer Erfahrung nach nachhaltiger als das einfache Lehren von Regeln.