Konstante Bedrohungslage
Die Bedrohung im Cyberraum ist so hoch wie nie zuvor. Das Bundesamt für Sicherheit in der Informationstechnik (BIS) berichtet im aktuellen Berichtszeitraum 2023 eine angespannte bis kritische Lage der Informationssicherheit. Wie schon in den vergangenen Jahren wurde eine hohe Bedrohung durch Cyberkriminalität beobachtet, Ransomware blieb die Hauptbedrohung. Auf Angreiferseite konnte hier eine von wechselseitigen Abhängigkeiten und Konkurrenzdruck geprägte Schattenwirtschaft cyberkrimineller Arbeitsteilung festgestellt werden. Kleine und mittlere Unternehmen (KMU). besonders jedoch Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen. So erfolgten 50 Ransomware-Angriffe auf Kommunalverwaltungen und kommunale Betriebe sowie auf Bildungs- und Forschungseinrichtungen. Erfolgreiche Cyberangriffe auf 68 Unternehmen, davon 15 IT-Dienstleister mit teilweise verheerenden Auswirkungen auf deren Kunden in öffentlicher Verwaltung, Wirtschaft, Gesellschaft kommen hinzu. Im Kontext des russischen Angriffskriegs gegen die Ukraine bestand eine Bedrohung vor allem durch prorussische Hacktivismus-Angriffe, die aber keinen nachhaltigen Schaden verursachten und daher eher als Propagandamittel zu werten sind. Ein Anstieg der Bedrohung konnte ferner im Bereich Schwachstellen festgestellt werden. Hier wurden im Berichtszeitraum täglich 68 neue Schwachstellen in Standard-Softwareprodukten registriert – rund 24 Prozent mehr als im Berichtszeitraum davor.
Gute gesetzliche Grundlagen
Andererseits enthält das deutsche BSI-Gesetz (BSIG) Regelungen zum Schutz kritischer Infrastrukturen, zur Einschränkung von Grundrechten, Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik und die Zusammenarbeit mit Sicherheitsbehörden. Der IT-Grundschutz ist eine vom BSI entwickelte und frei verfügbare Vorgehensweise, um ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) in Behörden, (großen) Unternehmen und Organisationen umzusetzen. BSI-Standards und das IT-Grundschutz-Kompendium stellen zusammen einen De-Facto-Standard für IT-Sicherheit dar. Darüber hinaus bietet das BSI Umsetzungshinweise zum IT-Grundschutz-Kompendium und weitere Hilfsmittel an, die auch kleineren Institutionen den Einstieg in das Thema Informationssicherheit erleichtern sollen. Institutionen können ihr systematisches Vorgehen bei der Einführung eines ISMS sowie die Umsetzung der Standard-Anforderungen des IT-Grundschutzes mit Hilfe des ISO 27001-Zertifikats auf der Basis des IT-Grundschutzes nachweisen. Die Norm umfasst Managementsysteme für Informationssicherheit (ISMS), die IT-Grundschutz-Methodik, eine Risikoanalyse und Business Continuity Management (BCM).
Hinzu kommt im Oktober 2024 die Umsetzung der EU-Richtlinie NIS-2, um das Niveau der Cyberresilienz in der Netzwerk- und Informationssicherheit der Gemeinschaft zu stärken. Knapp 30.000 deutsche mittlere und große Unternehmen (bereits ab 50 MA!) aus verschiedenen Branchen der kritischen Infrastruktur, Forschungsinstitute, IT-Systemhäuser, Krankenhäuser aber auch "Exoten" wie das Bundeskanzleramt, Hersteller von Autositzen, Bootshersteller und Feinkost-Lieferanten(!) können betroffen sein. Zu den sowieso schon geforderten, umfangreichen Sicherungsmaßnahmen kommen nun erweiterte Melde-, Nachweis- und Schulungsanforderungen hinzu.
Neben der IT-Sicherheitsnorm ISO IEC 27000 gibt es spezielle Vorgaben für IT-Sicherheit für Public-Safety-Infrastrukturen und -Anwendungen (#KRITIS) oder Industrielle Cybersicherheit, z.B. gem. Standard IEC 62443, eine internationale Normenreihe über IT-Sicherheit für industrielle Kommunikationsnetze und -systeme. Sie identifiziert dort verschiedene Rollen: den Betreiber, die Integratoren (Dienstleister für Integration und Wartung) sowie die Hersteller. Die verschiedenen Rollen verfolgen jeweils einen risikobasierten Ansatz zur Vermeidung und Behandlung von Sicherheitsrisiken bei ihren Tätigkeiten. Informationssicherheit oder Cyber Security in der Produktionsentwicklung im militärischen Bereich mit teilweiser Sicherheitszertifizierung von Produkten nutzen weitere spezielle Vorgaben. Informationssicherheit nach VDA ISA und TISAX oder im Krankenhaus benötigen weitere Regelwerke.
Die Erfüllung der gesetzlichen Vorgaben und die Umsetzung in technisch-organisatorische Maßnahmen (#TOM) sind zeit- und kostenaufwändig. Deshalb bietet sich der gezielte Zugang über maßgeschneiderte Weiterbildung zu den wichtigsten Themen der Informationssicherheit im Unternehmen an.
Weiterbildung wirksame Schutzmaßnahmen
Oft genügen in einem ersten Schritt die Behandlung ganz konkreter Aspekte, z.B. Sichere Kommunikation über E-Mail, Netzwerksicherheit mit Radius, NAC und VPN, Applikationsbereitstellung durch Container Virtualisierung mit Docker und Kubernetes. Verschlüsselungstechnologien – heute umfangreich verfügbar – bieten ebenfalls hervorragenden Schutz, wenn man sie denn konsequent anwendet, ein Negativbeispiel haben wir unlängst in der Bundeswehr erfahren müssen. Moderne Verfahren der Kryptographie unterstützen das Konzept einer ganzheitlichen Sicherheit – von der Standard-Kryptographie bis zu Physical Unclonable Functions. Post-Quantum Verschlüsselungsverfahren beschreiben die sichere Kommunikation mittels Quantenkryptografie. Aber auch die seit Jahrzehnten verfügbare Verschlüsselung mit Zertifikaten und TLS/SSL bietet nach wie vor ausreichenden Schutz für viele Anwendungsbereiche.
Weiterbildung vorbeugende Maßnahmen
Zusätzlich gibt es eine Reihe hilfreicher Maßnahmen, um gezielt Sicherheitslücken aufzuspüren. IT-Risikomanagement, z.B. nach ISO 27005, bewertet strukturiert qualitativ und quantitativ vorhandene Risiken und liefert die Basis für gezielte Schutzmaßnahmen. Ethical Hacking and Penetration Testing überprüfen eingesetzte Software und getroffene Schutzmaßnahmen auf Sicherheitslücken, bevor es ein feindlicher Angreifer tut. Etwas weiter greift Cyber Crises Management – Krisensimulation unter Einbeziehung definierter Prozesse für den Notfall und die betroffenen Mitarbeitenden.
Einen besonderer Aspekt ist die Digitale Forensik für interne Untersuchungen. Hierunter fallen z.B. Car Forensik, die Auswertung vernetzter Systeme im Auto. Datenträger-Forensik beschäftigt sich mit Echtheitsprüfungen für Digitalfotos und -videos, die thematische Exploration von Textdaten mit Topic Modeling – zusammengefasst unter dem Begriff Multimedia-Forensik, geeignet für Ermittlungsverfahren (Behörden, Unternehmen) oder für Journalisten.
Die Carl-Cranz-Gesellschaft bietet in ihrer Fachreihe Informatik technisch anspruchsvolle Seminare zu den oben genannten Themen. Zur Ergänzung kooperieren wir im Themenbereich Informationssicherheit mit dem Münchner Schulungs- und Beratungsunternehmen mITSM GmbH sowie mit dem Lernlabor Cybersicherheit der Fraunhofer Academy.
Bernhard Kuhn, April 2024
