KMU sind zunehmend beliebte Angriffsziele für Cyber-Kriminelle
Früher waren vor allem große Unternehmen interessante Ziele für Cyber-Kriminelle. Neue Hacker-Tools machen aber auch kleine und mittlere Unternehmen interessant. Und selbst vor kritischen Infrastrukturen wie dem Gesundheitswesen machen Cyber-Verbrecher keinen Halt mehr."Die IT hat viele Vorteile, das ist keine Frage. Es gibt aber auch Nachteile: Wir erhöhen durch den Einsatz von IT die Komplexität unseres Lebens und damit auch unsere Verletzlichkeit."
Wolfram Geier, Bundesamt für Bevölkerungsschutz auf einem Symposium des Deutschen Roten Kreuzes in Berlin im November 2017
Kritische Infrastrukturen
Für uns ist es selbstverständlich, dass Strom und Wasser immer verfügbar sind. Dass wir rund um die Uhr medizinisch versorgt werden. Und dass wir jederzeit Geldgeschäfte abwickeln können. Wie sehr wir uns darauf verlassen, merken wir erst, wenn diese kritischen Infrastrukturen gestört werden oder ganz ausfallen.
Dann können Versorgungsengpässe entstehen, die Preissteigerungen oder gar die Gefährdung der öffentlichen Sicherheit verursachen. Zu den kritischen Infrastrukturen (KRITIS) zählen die Bereiche Energie, Wasser, Ernährung, IT / Telekommunikation, Gesundheit, Transport / Verkehr sowie Finanz- / Versicherungswesen.
Betreiber kritischer Infrastrukturen müssen deshalb effektive Maßnahmen zum Schutz der Systeme treffen. Diese müssen sie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachweisen.
Eine solche Aufsichtsbehörde gibt es für privatrechtliche Unternehmen nicht. Wohl aber Standards und Normen, die einen Rahmen für Maßnahmen zur Cyber-Sicherheit vorgeben. Zu nennen sind hier beispielsweise
- die ISO/IEC 27001
- der IT-Grundschutz des BSI sowie
- der NIST-Standard (National Institute of Standards and Technology) aus den USA.
Worst-Case-Szenarien
Lukratives Ziel für Kriminelle innerhalb der kritischen Infrastrukturen ist derzeit das Gesundheitswesen. In diesem Bereich werden besonders sensible Daten gespeichert und übertragen. Deshalb ist dort laut BSI das Potenzial für Erpressungen besonders hoch. Betroffene Einrichtungen kommen Lösegeldforderungen mit großer Wahrscheinlichkeit nach, um eine Vernichtung oder Veröffentlichung der Daten zu vermeiden.
Im schlimmsten Fall müssen von Schadsoftware betroffene Unternehmen den Betrieb einstellen. Sind Unternehmen kritischer Infrastrukturen befallen, hat dies besonders katastrophale Auswirkungen.
Eine Klinik an in so einem Fall keine Patienten mehr aufnehmen oder Operationen durchführen. Auch digitale Patientenakten mit Informationen zu Medikamenten können nicht mehr geöffnet werden. Genauso könnten Strom- und Wasserversorgung beeinträchtigt oder Anzeigetafeln auf Bahnhöfen oder Flughäfen manipuliert werden.
Lohnende Ziele für Hackerangriffe
Früher waren vor allem Großkonzerne lohnende Ziele für Hacker. Durch Ransomware (Erpressungssoftware) sind heute aber auch kleine und mittlere Unternehmen interessant. Um Datenschutzverstöße wie die Veröffentlichung schützenswerter Daten zu vermeiden, werden die geforderten Lösegelder häufig gezahlt.
Dass zunehmend Hack-Roboter die Vorarbeit übernehmen, trägt ebenfalls dazu bei, dass kleinere Unternehmen als Ziele attraktiv werden. Diese Programme suchen automatisiert nach schlecht gesicherten Systemen und greifen an, wenn sie fündig werden. Wenn sie erfolgreich waren, übernehmen die Hacker die Arbeit und planen das weitere strategische Vorgehen.
Alarmstufe Rot bei der IT-Sicherheitslage in Deutschland
Laut BSI ist die IT-Sicherheitslage in Deutschland angespannt bis kritisch. Aufgrund der aktuellen politischen Lage in der Ukraine herrscht sogar Alarmstufe Rot. Zumindest in einigen Bereichen des digitalen Raums.
Insgesamt haben sich Cyber-Erpressung, Systemausfälle und Betriebsstörungen im Jahr 2020/21 gegenüber dem Vorjahreszeitraum mehr als vervierfacht. Somit wurden 9 von 10 Unternehmen Opfer von Cyber-Attacken. Laut Bitkom verursachten sie in Deutschland einen Gesamtschaden von 220 Milliarden Euro.
Das bedeutet durchschnittlich einen Schaden von 6,5 Millionen Euro pro Unternehmen. Die Betriebe sind oft für sechs Wochen oder noch länger lahmgelegt. Es ist daher nicht verwunderlich, dass jedes zehnte Unternehmen die geschäftliche Existenz bedroht sieht.
Der umfassende Schutz der eigenen IT-Systeme und Daten wird ein kritischer Erfolgsfaktor. Doch wie kann man den erreichen? Ganz einfach. Mit Kryptographie.
Kryptographie wird immer dann eingesetzt, wenn nur ein bestimmter Empfänger eine Nachricht lesen können soll (Vertraulichkeit / Zugriffsschutz). Darüber hinaus stellt sie auch die Integrität einer Nachricht sicher. Der Empfänger kann also darauf vertrauen, dass die Nachricht nicht verändert wurde, nachdem sie abgeschickt wurde (Änderungsschutz).
Auch die Authentizität kann geprüft und damit der Urheber bzw. Absender eindeutig identifiziert werden (Fälschungsschutz). Und zu guter Letzt sorgt Kryptographie auch für Verbindlichkeit: Sie dokumentiert den Urheber der Daten bzw. Nachricht (Nichtabstreitbarkeit).
Nicht nur Personen können Empfänger sein. Auch Geräte oder Applikationen empfangen Daten, um sie weiter zu verarbeiten. Beispiele dafür sind Smart-Devices wie Mobiltelefone oder IoT-Geräte (Internet of Things) wie Webcams.
Als kryptographisch Elemente kommen digitale Zertifikate deshalb an vielen Stellen zum Einsatz:
Im Server-Umfeld zur TLS/SSL-Transportverschlüsselung von
Bei E-Mails für die
|
Bei der Absicherung der Kommunikation von oder über
|
Spezialfall Blockchain
Eine Blockchain ist eine Liste von Datensätzen, in der einzelne Blöcke aneinandergereiht werden und die kontinuierlich erweiterbar ist. Neue Datensätze werden zu einem weiteren Block zusammengefasst, kryptographisch signiert und an die bestehende Kette angehängt. Durch diesen Konsens-Mechanismus wird die Gültigkeit der neuen Blöcke bestätigt.
Das Verfahren verhindert, dass frühere Blöcke manipulieren oder entfernt werden. In dem Fall müsste man auch alle späteren Blöcke ändern.
Aus diesem Grund wird die Blockchain Technologie auch als Internet der Werte (Internet of values) bezeichnet. Sie ist die technische Basis für den Handel mit Kryptowährungen (z.B. Bitcoin).
Es gibt nur einen Weg um nachzuweisen, dass man der Eigentümer eines Bitcoin-Betrags ist. Man muss den passenden privaten Schlüssel kennen (Public-Key-Verfahren).
Deshalb könnte man Blockchain auch nutzen, um Identitäten und Eigentumsverhältnisse im IoT (Internet of Things) sicher nachzuweisen.
Kryptographische Maßnahmen compliance-konform implementieren
Möchte man die eigene IT-Umgebung sicher gestalten, fällt der Einstieg oft schwer. Es bietet sich daher an, Leitfäden wie den BSI Grundschutz oder die ISO 27001 zu Rate zu ziehen. Eine umfassende Grundlage bieten auch das NIST Cybersecurity Framework und zwei spezielle Publikationen. Beide stammen vom amerikanischen National Institute of Standards and Technology (Nationales Institut für Standards und Technologie).
Ähnlich wieder der BSI Grundschutz wurde auch das NIST Cybersecurity Framework für Behörden entwickelt. Mittlerweile haben ihn viele Unternehmen als Standard-Leitlinie für Cybersicherheit übernommen.
Auf europäischer Ebene spielt vor allem die DIN EN ISO/IEC 27001 eine Rolle. Sie führt die Anforderungen an ein ISMS (Informationssicherheits-Managementsystem) auf. Ein ISMS hat direkte Auswirkungen auf die Datensicherheit von Unternehmen.
Alle haben gemeinsam, dass kryptographische Maßnahmen zum Schutz der Vertraulichkeit, Authentizität und Integrität von Informationen aufgestellt werden. Auch Anforderungen an die Verwaltung und das Handling digitaler Zertifikate sind darin erfasst. Des Weiteren muss zur Einhaltung der Norm sichergestellt sein, dass die Maßnahmen umgesetzt und weiterentwickelt werden.
So empfiehlt die Richtlinie unter A.10.1.2 Schlüsselverwaltung, kryptographische Schlüssel und digitale Zertifikate über ihren gesamten Lebenslauf zu überwachen. Das beinhaltet ihren Gebrauch, ihren Schutz und ihre Lebensdauer.
Ein weiterer Abschnitt (A.18 Compliance) thematisiert die Einhaltung gesetzlicher, vertraglicher oder firmenintern festgelegter Anforderungen an Schlüsselmaterial und Zertifikate. Er schreibt auch deren Dokumentation sowie ihre regelmäßige Weiterentwicklung vor.
Zertifikate – Zentrale Bausteine der IT-Sicherheit
Neben regelmäßigen Softwareupdates dient vor allem die Datenverschlüsselung mittels digitaler Zertifikate der Risikominimierung.
Immer mehr Geräte kommunizieren firmenintern, konzernübergreifend oder mit Partnerunternehmen. Deshalb steigt die Anzahl der im Netzwerk eingesetzten Zertifikate signifikant. Manches IoT-Gerät bringt unbemerkt ein eigenes Zertifikat ins Netzwerk ein.
Gleichzeitig ist die Gültigkeit der Zertifikate aber aus Sicherheitsgründen begrenzt. Sie müssen rechtzeitig erneuert werden, sonst drohen Systemausfälle. Abgelaufene Zertifikate verursachen aber nicht nur Systemausfällen und Umsatzeinbußen. Bleiben sie unentdeckt, bieten sie auch Einfallstore für die Schadsoftware von Cyber-Kriminellen.
Schnell verliert man den Überblick, welche Zertifikate eingesetzt werden und wann sie ablaufen. Deshalb ist ein Zertifikatsmanagement-Tool wie essendi xc sinnvoll.
Umfassendes Krypto-Management mit essendi xc
Cyber-Risiken muss man also immer im Blick haben. Wir empfehlen deshalb, sie in das Risiko- und Vorsorgemanagement des Unternehmens aufzunehmen. essendi xc unterstützt Sie dabei, die IT-Sicherheit Ihres Unternehmens maßgeblich zu erhöhen:
- Er dokumentiert den kompletten Lebenszyklus aller digitalen Zertifikate im Unternehmen. Im Audit können Sie Ihr Verfahren jederzeit revisionssicher belegen.
- Compliance-Regeln (ISO 27001, NIST, KRITIS, BSI Grundschutz) werden automatisch eingehalten.
- Standardisierte Self-Service-Prozesse automatisieren das Prozesshandling vom Zertifikatsantrag bis zur Installation in die Zielsysteme. Sie sparen Kosten für Zeitaufwand und falsch beantragte Zertifikate.
- Im übersichtlichen Dashboard werden alle im System befindlichen Zertifikate aufgeführt. Das automatische Alerting sorgt dafür, dass kein Zertifikat unbemerkt ablaufen kann. Das erhöht die Verfügbarkeit und Betriebssicherheit Ihrer Systeme.
Noch mehr Sicherheit erreichen Sie durch optionale Zusatzmodule wie essendi cd (certificate scanning). Das Tool findet auch unbemerkt ins Netzwerk gelangte Zertifikate. Diese bezieht sie in die Verwaltung und das Alerting mit ein.
Interesse geweckt? Kontaktieren Sie uns!