ITD: Herr Rast, die digitalen Bedrohungsszenarien sind aktuell vielfältiger denn je und reichen von leichtfertigen Mitarbeitern über ausgefeilte Spionagetrojaner bis hin zu schweren Erpressungsversuchen. Wo sollten Sicherheitsverantwortliche ihre Prioritäten setzen?

Severin Rast: Das Hauptaugenmerk sollte klar der Cybersecurity-Strategie gelten. Ein Unternehmen muss genau wissen: Was sind meine schützenswerten Informationen und Assets, welche Schutzziele verbinde ich damit? Erst dann kann es über adäquate Maßnahmen und deren Priorisierung nachdenken. Nicht außer Acht lassen sollten die Cybersecurity-Verantwortlichen in diesem Zusammenhang die Frage: Was haben wir denn bereits unternommen? Ist jeder System- oder Service-Verantwortliche auf dem gleichen Wissensstand? Oft ist übergreifend gar nicht bekannt, welche Maßnahmen in den einzelnen Bereichen bereits umgesetzt wurden. Das ist ineffizient und trägt nicht zur Sicherheit bei. Ich halte die strategische Gesamtsicht für essenziell, weil wir trotz aller Prognosen und Analysen nicht genau wissen, welche Bedrohungen konkret wirksam werden und wir im Voraus nicht wissen können, wie die einzelne Organisation betroffen sein wird.

ITD: Im vergangenen Jahr wurde vermehrt von Flooding/TCP-Reflection-Angriffen berichtet. Was hat es mit diesen Attacken auf sich?

Rast: Technisch ist das ein alter Hut. Seit den Anfängen des Internets arbeiten Angreifer mit massenweiser Überlastung und Blockaden durch Informationen, diese Methoden sind grundsätzlich nicht neu. Allerdings müssen wir uns damit auseinandersetzen, dass die Auswirkungen solcher Attacken durch das Internet of Things (IoT) mit der Zeit immer verheerender werden. Noch gibt es viel zu viele ungesicherte IoT-Geräte, die sehr einfach für solche Angriffe gekapert und in großen Botnetzen orchestriert werden können. Je effizienter diese Technik wird, desto interessanter und lukrativer wird es für Kriminelle, solche Angriffe auch als Dienstleistung zu verkaufen (Crime-as-a-service). Das gefährdet uns natürlich alle, und zwar nicht nur in der Wirtschaft, sondern bis in unsere Privatsphäre. „Security by Design“ für vernetzte Geräte oder Konzepte zum sicheren Umgang mit unsicheren Systemen sind also wichtiger denn je.

ITD: Welche Rolle spielt Emotet für die aktuelle Bedrohungslage? Geht von der Gruppe derzeit eine akute Gefahr für Großunternehmen und Konzerne aus?

Rast: Wir wissen auch hier, dass es sich um einen bestimmten Schadcode handelt. Was wir bei einem Angriff nicht sicher wissen können, ist, ob wirklich eine bestimmte Gruppe dahintersteckt. Emotet zählt zur Kategorie der Verschlüsselungstrojaner und die wird es solange geben, wie sie attraktiv und einfach zu handhaben sind, und es Täter gibt, die sie für ihre kriminellen Machenschaften nutzen wollen. Erpressung mit Datenverschlüsselung kann auch große Unternehmen und Konzerne treffen – völlig unabhängig von der Bezeichnung Emotet.

ITD: Wie können sich Unternehmen vor solchen Angriffen schützen?

Rast: Niemand kann sich gleichermaßen wirksam gegen jede mögliche Bedrohung schützen, jedenfalls nicht zu ökonomisch sinnvollen Bedingungen. Deshalb ist es so wichtig, den eigenen Schutzbedarf zu kennen und geeignete Maßnahmen umzusetzen. Gibt es hochsensible Daten, die keinesfalls in falsche Hände geraten dürfen? Dann sollte man für diese „Kronjuwelen“ die Übertragung in die Cloud sehr kritisch prüfen. Vielleicht besteht die Möglichkeit, den sensibelsten Teil an einem Ort abzulegen, den man on-premise selbst besser unter Kontrolle hat. Oder ist es vielleicht genau anders herum? Wir kommen immer wieder auf den Ausgangspunkt zurück: Jede Organisation muss die strategischen Schutzziele und Schutzbedarfe definieren und davon ausgehend geeignete Maßnahmen treffen. Die Verlockung ist groß, sofort an einzelnen Maßnahmen herumzuschrauben, die Technik für einzelne Systeme zu optimieren und einzelne Anwendungen besser abzusichern. Stimmt aber die Gesamtstrategie nicht, entfaltet keine dieser Maßnahmen ihre volle Wirkung. Im besten Fall ist meine Cybersicherheit nicht effizient, im schlimmsten Fall ist sie nicht effektiv.

ITD: Zuletzt sind immer häufiger öffentliche Einrichtungen und Behörden ins Visier von Cyberkriminellen geraten – was erhoffen sich die Angreifer von solchen Attacken?

Rast: Kleinere Institutionen haben leider oft keine optimierte Cybersecurity-Strategie und weisen erfahrungsgemäß eine ganze Reihe offener Einfallstore in der Cyberabwehr auf. Damit sind sie willkommene Opfer, um Daten in Geiselhaft zu nehmen, Geld zu erpressen oder Informationen zu beschaffen. In der jüngeren Vergangenheit häufen sich auch Fälle politischer Einflussnahme: auf direktem Wege, indem Angreifer Daten manipulieren oder indirekt, indem man zum Beispiel die Datenverfügbarkeit kompromittiert und Behörden wie Institutionen als unsicher diskreditiert. Dass davon auch größere Institutionen nicht verschont bleiben, zeigt das Beispiel des Deutschen Bundestages.

ITD: Neben der Öffentlichen Verwaltung bleibt die hiesige Wirtschaft das bevorzugte Ziel von Cyberkriminellen. So warnte der Verfassungsschutz vor einer akuten Bedrohung durch WinNTI. Wie hoch ist für größere Unternehmen die Wahrscheinlichkeit, ins Visier dieser Gruppe zu geraten?

Rast: Das lässt sich nicht pauschal quantifizieren, sondern ist abhängig von der Größe, Branche und weiteren Eigenschaften des jeweiligen Unternehmens. Klar ist: WinNTI ist Teil des Spektrums aktiver Schadcodes und derzeit auf jeden Fall zu berücksichtigen. Aber: Sich mit spezifischen Maßnahmen gegen diese konkrete Malware schützen zu wollen, ist viel zu kurz gesprungen. Denn morgen kann eine neue Variante, möglicherweise nur mit einer einzigen Zeile veränderten Codes in Umlauf sein, gegen die eine Maßnahme nicht mehr wirkt.

Wichtig ist, dass es im Unternehmen jemanden gibt, der mit Blick auf die aktuellen Bedrohungen auf dem Laufenden bleibt und sie auch versteht. Jemand, der somit prüfen kann: „Haben wir Systeme und Anwendungen, die durch diese Bedrohung gefährdet sein könnten?“ und der dann in der Lage ist, angemessene Gegenmaßnahmen einzuleiten. Das klingt banal, ist aber leider selbst in Großunternehmen nicht immer eine Selbstverständlichkeit.

Was meiner Ansicht nach aber entscheidend ist und ebenfalls leider viel zu häufig außer Acht gelassen wird: Cybersecurity ist eine iterative Aufgabe. Fragen wie „Wie kann ich mein Sicherheitsniveau verbessern?“ und „Ist meine Cybersecurity-Strategie auf Managementebene und mit Blick auf die technischen und organisatorischen Maßnahmen (TOMs) noch wirksam?“ müssen regelmäßig und immer wieder neu beantwortet werden, durch professionelle Penetrationstests sowie durch interne oder externe Audits. Im Fall von Defiziten muss das Unternehmen konsequent nachsteuern.

ITD: Woran können Betroffene eine potenzielle Infektion mit der Schadsoftware erkennen?

Rast: Hat der Angreifer alles richtig gemacht, möglicherweise gar nicht! Ansonsten gilt: Ich muss meine Baseline kennen und wissen, wie meine Systeme und meine Sicherheitsarchitektur funktionieren, wenn alles in Ordnung ist. Ich muss mein Netzwerk überwachen und mögliche Abweichungen erkennen können. Dann habe ich eine Grundlage, um mögliche Infektionen zu detektieren und entsprechende Maßnahmen einzuleiten. Dafür gibt es Methoden und Werkzeuge. Ein hochaktuelles Beispiel dafür ist die Landeshauptstadt Potsdam, die ihre Systeme Ende Januar konsequent vom Netz nahm: Auslöser waren zahlreiche Ungereimtheiten im Netzwerkverkehr. Hintergrund war eine Schwachstelle im System eines externen Anbieters, über die Angreifer versucht hatten, unautorisiert Daten der Landeshauptstadt abzurufen oder Schadsoftware zu installieren.

ITD: Welche Maßnahmen müssen bei einer Infizierung eingeleitet werden?

Rast: Es geht grundsätzlich immer um drei Themen: Die Sicherheit von Daten und Systemen herzustellen, außerdem Beweise sicherzustellen. Damit das gelingt, ist es wichtig, rechtzeitig vorher eine Strategie festzulegen, wie das Unternehmen mit diesen drei Themen umgehen will und welche Maßnahmen dafür erforderlich sind. Dies am besten mit ungetrübtem Augenmaß und ohne den Stress der akuten Notsituation.

Darauf aufbauend ist ein Konzept notwendig, das die erforderlichen Methoden und die notwendigen Prozesse festlegt: Wie werden wertvolle Daten gesichert? Wie werden befallene Systeme abgeschaltet oder separiert? Wie erfolgt der Wiederanlauf kritischer Geschäftsprozesse? Erstellen Sie rechtzeitig ein Business Continuity Konzept, überlegen Sie nicht erst im Notfall, was zu tun ist. Darüber hinaus stellen sich die folgenden Fragen: Was machen wir mit den Findings? Ist das Unternehmen zu einer Meldung beim BSI bzw. bei seinen Kunden verpflichtet? Sollen Forensiker den Vorfall rechtssicher untersuchen?

Es gibt also sehr viele Fragen, die in relativ kurzer Zeit zu entscheiden sind. Auch hier war der Fall der Landeshauptstadt Potsdam ein Paradebeispiel für entschlossenes Handeln. Wenn ich darauf vorbereitet bin, dass dieser Fall eintreten kann und zuvor festgelegt habe, wie die Kommunikation funktionieren soll und wie die Eskalationsprozesse ablaufen müssen, dann bin ich als Unternehmen bereits gut gerüstet. Doch auch wenn wir inzwischen an einem relativ hohen Grad an Awareness für Cybersecurity als Teil des geschäftlichen Risikomanagements angekommen sind: Die Möhre des technischen Fortschritts ist immer noch sehr attraktiv. Viele Hersteller erliegen weiterhin der Versuchung, Produkte auf den Markt zu werfen, die in erster Linie mit neuen Funktionen tatsächliche und angenommene Anforderungen der Nutzer zu erfüllen versprechen, anstatt Sicherheit konsequent von Anfang an mit zu berücksichtigen. Ob Internet of Things (IoT), 5G oder die Digitalisierung insgesamt: Ich habe den Eindruck, dass wir aus der Geschichte der IT nicht viel gelernt haben. Natürlich ruft das den Vorwurf auf den Plan, dass Cybersicherheit nur etwas für Bedenkenträger ist und den Fortschritt ausbremst. Dem kann ich nicht zustimmen. Ich halte zielgerichtetes Risikomanagement für nachhaltig erfolgreichen Fortschritt für unabdingbar und die sogenannten Bedenkenträger in Wahrheit für Business Enabler.

