„Das Haupteinfallstor für Ransomware ist weiterhin der Benutzer“
Neue Angriffsflächen, Softwareschwachstellen und Attacken auf die Lieferketten der Unternehmen. Die Cyber-Bedrohungen sind seit der Corona-Krise rasant gestiegen. Der DMB hat mit Cybersecurity-Experte Peter Lachenmair über die aktuellen Gefahren im Cyberraum gesprochen und darüber, wie Penetrationstests die IT-Sicherheit erhöhen können.
DMB: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jüngst seinen Bericht zur Lage der IT-Sicherheit in Deutschland 2022 vorgelegt. Die Behörde sieht die Bedrohungslage im Cyber-Raum derzeit so hoch wie nie. Was sind die derzeit größten Gefahren für die Wirtschaft aus Ihrer Sicht?
Lachenmair: Die Überlastungssituation ist seit Beginn der Coronakrise permanent hoch. Dadurch öffnen sich die Einfallstore in die Unternehmen weiter und Ransomware-Angriffe durch Phishing und Spearfishing bleiben weiterhin eine starke Bedrohung. Neben den Angriffen auf die Supply-Chain (Lieferanten) sehen wir verstärkt Supply-Chain-Angriffe auf die Software. Das BSI identifiziert zunehmend DDos-Attacken (Distributed Denial-of-Service) als Bedrohungsszenario. Seit dem Krieg in der Ukraine haben sich diese Angriffe, bei denen versucht wird Online-Dienste lahmzulegen, vermehrt. Mit dieser Methode können unter anderem IT-Lieferketten unterbrochen werden. Als Beispiel kann ein Angriff auf die Datenaustauschschnittstelle zwischen Produzenten und Logistikdienstleister angeführt werden.
Cyber-Erpressung bleibt eine der größten Bedrohungen. Was macht die damit verbundene Schadsoftware so erfolgreich und welche Schwachstellen werden ausgenutzt?
Das Haupteinfallstor für Ransomware ist weiterhin der Benutzer. Die Qualität von gefälschten E-Mails wird stetig besser. Das erschwert im Tagesgeschäft die manuelle Erkennung und erhöht die Chance, dass die „falsche“ Nachricht angeklickt wird. Die Ransomware wird häufig in Form von Massenmails verbreitet. Eine solche Infektion installiert einen sogenannten „Dropper“ auf dem System. Dieses Programm erforscht das infizierte Netzwerk, sucht nach Schwachstellen und lädt bei Bedarf weitere Schadsoftware nach. Des Weiteren wird in dieser Erkundungsphase versucht, die „Kronjuwelen“ (wichtige Systeme, Kundendaten, Finanzdaten usw.) ausfindig zu machen. Anhand dieser Erkenntnisse erfolgt eine Klassifizierung und die Entscheidung, ob und wann das Unternehmen angegriffen wird.
Eine weitere Gefahr sieht das BSI in der IT-Supply-Chain. Welche Bedrohungslage begegnet Unternehmen in diesem Bereich?
In diesem Szenario haben die eingebundenen Softwarebibliotheken Schwachstellen, die ausgenutzt werden können. Dadurch kann zum Beispiel ein hochprivilegierter Zugriff auf Systeme erfolgen, der Auswirkungen auf die komplette Softwarelandschaft im gesamten Unternehmen hat. In der Wahrnehmung ist häufig „nur“ Open-Source-Software davon betroffen. Dieser Gedanke ist jedoch zu kurzfristig gedacht. Oft nutzt kommerzielle Software ebenfalls Open-Source-Bibliotheken und zudem sind auch Angriffe auf proprietäre Software möglich. Das Risiko ist hierbei für Unternehmen, die eigene Anwendungen entwickeln, höher.
Das BSI zählte über 20.000 Schwachstellen in Software-Produkten im Jahr 2021 (13 % davon kritisch). Wie schätzen Sie dieses Problem ein?
Die Anzahl an bekannt gewordenen Softwareschwachstellen war 2021 um 10 % höher als im Vorjahr. Von diesen neuen Schwachstellen wurden mehr als die Hälfte als kritisch und hochkritisch eingestuft. Die Entdeckung von Schwachstellen und deren Ausnutzung wird in den kommenden Jahren weiterhin stark anwachsen. Angetrieben von schnellen Software-Release-Zyklen und kontinuierlicher Integration leidet die Qualitätssicherung von Software. Für die Nutzer bedeutet das, Softwareeinführungen detaillierter zu planen und entsprechende Schutzkonzepte zu etablieren. Um Schwachstellen im Unternehmen zu identifizieren, sind Penetrations-Tests ein gutes Werkzeug. Wie laufen diese ab und welche Vorteile bieten sie? Bei einem Penetrationstest wird versucht in die Software-Landschaft des Unternehmens einzubrechen. In einem Vertrag mit dem Penetrationstester wird der Umfang (Scope) des Tests beschrieben. Es gibt verschiedene Ansätze wie den Whitebox- oder Blackbox-Approach. Hier wird vereinbart, welche Informationen der Angreifer zu Verfügung hat und ob die interne IT-Abteilung informiert sein soll. Nach der Definition des Szenarios beginnt der Tester das Ziel zu erreichen. Im Szenario wird neben dem Ziel oder den Zielen auch der Zeitraum des Tests und etwaige Abbruchskriterien definiert. Der Kunde erhält zum Abschluss einen Bericht mit den Erkenntnissen. Ein Vorteil des Penetrationstests ist der Individualisierungsgrad. Der Test findet im Kundennetzwerkstatt und betrachtet die Systemlandschaft und auch die IT-Prozesse und zeigt ein reales Lagebild.
Auch die Kunden und Partner der Unternehmen erwarten ein gewisses Sicherheitsniveau. Wie wichtig und sinnvoll sind in diesem Zusammenhang Zertifizierungen?
Zertifizierungen - und vor allem der Weg dorthin - ermöglichen dem Unternehmen eine neue Sichtweise auf sich selbst. Dieser Lernprozess führt zu einer kontinuierlichen Auseinandersetzung mit der IT- und Informationssicherheit. Für Kunden und Partner signalisiert das den Willen zur Sicherheit und mit Erreichen einer Zertifizierung wird bestätigt, dass Maßnahmen ergriffen wurden und ein entsprechendes Niveau erreicht wurde. Dies ist als wichtiges Qualitätsmerkmal zu sehen und kann als Verkaufsargument dienen.
Welche Zertifizierungen sind die gängigsten und was sagen sie über das Cyberschutz-Niveau aus?
ISO27001 ist die gängigste Zertifizierung und auf dem internationalen Markt anerkannt. Der BSI-Grundschutz bietet mit seinen Handreichungen einen guten Einstieg in das Thema IT-Sicherheit. Beide Zertifizierungen sagen letztlich aus, dass das jeweilige Unternehmen die IT-Sicherheit als wichtig einstuft. Bei der ISO27001-Zertifizierung kann das Unternehmen den Geltungsbereich (Scope) selbst definieren. Der BSI-Standard 200-1 ist mit ISO-27001 kompatibel und berücksichtigt Empfehlungen aus ISO-27002. Der BSI-Grundschutz ist in verschiedene Schutzstufen aufgeteilt. Hier kann abgelesen werden, in welcher Tiefe Informationssicherheit im Unternehmen umgesetzt ist. Für Unternehmen, die in der Automobilbranche aktiv sind, gilt die Zertifizierung nach TISAX.
Dieser Artikel ist Teil der Themenwoche Cybersecurity