Inhalt
Bei Cybercrime geht es oft um OT. Was ist das eigentlich?
Bei der sogenannten Operational Technologie (OT) handelt es sich um Hardware- und Softwarekomponenten in Prozessleitnetzen, welche etwa in der Industrie zur Steuerung von Maschinen und Geräten verwendet werden. Durch die zunehmende Vernetzung von Informationstechnik (IT) und OT öffnen sich auch neue Einfallstore für Hacker. Die OT wird immer häufiger angegriffen, weil Hacker hier viel größeren Schaden anrichten können. Typische Szenarien sind die Lahmlegung ganzer Industrieproduktionen, aber auch Wasserversorgungen oder Energienetze können davon betroffen sein.
Russland etwa hat mit Kriegsbeginn ein Satellitennetzwerk der Ukraine gestört, welches in der Ukraine beispielsweise das Militär und die Polizei mit Internet versorgt. Betroffen waren von dem Angriff auf die Satellitenkommunikation aber auch viele deutsche Windkraftanlagen, die diese Satellitenanbindung für die Kommunikation genutzt haben. Die Windkraftanlagen liefen zwar weiter, waren aber aus der Ferne vorübergehend nicht mehr zu überwachen oder zu warten. Die hätte auch zum Ausfall einzelner Windräder oder kompletter Windparks führen können. Durch die Kombination der IT (hier Satellitenkommunikation) mit der OT (Prozessnetz des Windparks) kam es zu diesen Ausfällen. Für die russischen Hacker waren die deutschen Windkraftanlagen quasi nur unbeabsichtigter Beifang.
Wie gelingt ein guter Cyberschutz?
Cybersicherheit ist ein Dreiklang aus Mensch, Prozess und Technik. Nur Technik allein hilft zum Schutz gegen Cyberangriffe nicht, das ist ein häufiger Irrglaube. Mehr als 70 Prozent der Angriffe gelingen nämlich immer noch über den Faktor Mensch. Benutzer*innen nutzen unsichere Passwörter oder fallen auf Phishing-Mails herein. Um sich hier zu schützen, ist es wichtig, Benutzer*innen aufzuklären und entsprechende Prozesse zu etablieren. Zusätzlich spielen natürlich auch technische Komponenten zur Erkennung potenzieller Angriffe eine Rolle.
Wenn diese gut funktionieren, können Angriffe frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Aber ein Restrisiko bleibt. Ein wirksamer Schutz gegen Cybercrime besteht daher erst aus dem optimalen Zusammenspiel von Mensch, Prozess und Technik. Hier ist meist viel Aufklärungsarbeit notwendig. Und: Cybersicherheit ist unbedingt Chefsache. Cyberangriffe sind zum Risiko Nummer eins für Unternehmen auch in Deutschland geworden. Die sogenannte „NIS2-Richtlinie“ ist eine EU-weite Gesetzgebung zur Cybersicherheit, deren Umsetzung in nationales Recht bis Oktober 2024 vorgesehen ist. Dort ist auch eine Geschäftsführerhaftung bei Nichtumsetzung der Vorgaben der Richtlinie verankert.
Cybersicherheit ist ein Dreiklang aus Mensch, Prozess und Technik. Nur Technik allein hilft zum Schutz gegen Cyberangriffe nicht, das ist ein häufiger Irrglaube.
Wie gehen Sie vor bei einem neuen Kunden?
Wir beginnen immer mit einer Analyse des Kunden. Dies kann durch einen sogenannten Quickcheck in einem eintägigen Workshop oder einen Penetrationtest erfolgen. Die Ergebnisse der Analyse helfen uns, gemeinsam mit unseren Kunden die passenden nächsten Schritte einzuleiten. Themen wie die Einführung eines Managementsystems für Informationssicherheit (ISMS), die Erstellung eines Notfallkonzeptes oder die Begleitung zur ISO 27001-zertifizierten Informationssicherheit sind hierfür typische Beispiele.
Auch eine Cyberschutzübung gehört zu unserem Repertoir. In Unternehmen gehören Brandschutzübungen seit Jahrzehnten zum Standard. Kaum aber ein Unternehmen hat aber schon einmal eine Cyberschutzübung gemacht. Bei einer Cyberschutzübung wird ein Hackerangriff gemäß eines auf das Unternehmen zugeschnittenen Drehbuchs simuliert. Schon nach kurzer Zeit merkt keiner der Teilnehmer mehr, dass es sich „nur“ um eine Übung handelt. Die gefunden Schwachstellen (Mensch, Prozesse, Technik) können dann im Nachgang der Übung strukturiert verbessert werden.
Ein zentraler Teil unseres Angebots für unsere Kunden ist die Überwachung ihrer IT- und OT-Netze auf Anomalien in unserem Cyber Defence Center. Dort erkennen unsere IT- und OT-Spezialisten frühzeitig ungewöhnliche Vorgänge und verhindern durch geeignete Maßnahmen das Eindringen von Angreifern in Kundennetzwerke.
- Täuschend echte Erscheinung: Phishing-Mails sind oft so gestaltet, dass sie wie legitime Nachrichten von bekannten Unternehmen, Banken, sozialen Netzwerken oder anderen Online-Diensten aussehen.
- Aufforderung zur Eingabe von Daten: In der E-Mail wird der Empfänger in der Regel aufgefordert, persönliche Daten wie Benutzernamen, Passwörter, Kreditkarteninformationen oder andere vertrauliche Daten einzugeben. Dies geschieht oft unter einem Vorwand, beispielsweise einer vermeintlichen Sicherheitsüberprüfung, einem angeblichen Problem mit dem Konto oder einer scheinbar notwendigen Aktualisierung von Daten.
- Links zu gefälschten Websites: Phishing-Mails enthalten oft Links zu gefälschten Websites, die den echten Websites täuschend ähnlich sehen. Dort wird der Nutzer dann zur Eingabe seiner Daten aufgefordert.
- Anhänge mit Schadsoftware: Einige Phishing-Mails enthalten Anhänge, die Schadsoftware (etwa Viren oder Trojaner) auf dem Computer des Empfängers installieren können, wenn Nutzer*innen sie öffnen oder herunterladen.
- Dringlichkeit und Druck: Viele Phishing-Nachrichten erzeugen einen Sinn für Dringlichkeit, indem sie beispielsweise mit Kontosperrungen drohen, sollten Nutzer*innen die angeforderten Aktionen nicht umgehend durchführen.
- Grammatik- und Rechtschreibfehler: Oft enthalten Phishing-Mails Rechtschreib- und Grammatikfehler, da sie häufig von Tätern verfasst werden, die nicht Muttersprachler sind oder die Nachrichten hastig erstellen.
Zum Schutz vor Phishing ist es wichtig, immer skeptisch zu sein, wenn man per E-Mail aufgefordert wird, persönliche Daten einzugeben. Außerdem sollten Nutzer*innen keine Anhänge oder Links in verdächtigen E-Mails von unbekanntem Absender*innen öffnen. Es ist ratsam, sich direkt über die offizielle Website oder den Kundendienst eines Unternehmens zu informieren, wenn man unsicher ist, ob eine E-Mail legitim ist.
Was sind Einfallstore, die Unternehmen oft gar nicht auf dem Schirm haben?
Bei unseren Penetrationtests versuchen wir, nicht nur über die IT- und OT-Umgebungen technisch in Kundennetze einzudringen, sondern auch in deren Gebäude zu gelangen. Dies geschieht natürlich immer nach vorheriger Absprache mit den Kunden. Als Pizzabote oder Servicetechniker getarnt, schafft man es oft, vom Empfang in das Gebäude gelassen zu werden. Hat man sich erst einmal Zugang verschafft, reicht oft ein Druckerraum mit Netzwerkanschluss aus, um in das Rechnernetzwerk eindringen zu können.
Ein zentraler Teil unseres Angebots für unsere Kunden ist die Überwachung ihrer IT- und OT-Netze auf Anomalien in unserem Cyber Defence Center. Dort erkennen unsere IT- und OT-Spezialisten frühzeitig ungewöhnliche Vorgänge und verhindern durch geeignete Maßnahmen das Eindringen von Angreifern in Kundennetzwerke.
Und wieder geht es um menschliche Schwachstellen.
Ja, das größte Einfallstor für Cybercrime bleibt eben der Mensch, wenn er nicht ausreichend geschult und sensibilisiert worden ist für die realen Gefahren. Cyberkriminelle nutzen oft Furcht, Dringlichkeit oder andere Emotionen, um ihre Opfer zu schnellen Handlungen zu drängen, ohne dass diese genauer nachdenken. Beim vermeintlichen Pizzaboten sind es die Pizzen, die nicht kalt werden sollen, da möchten auch die Mitarbeiter*innen am Empfang die Übergabe nicht unnötig aufhalten.
Aber es geht noch einfacher: Viele Unternehmen haben Bestandsimmobilien angemietet und wissen aus unserer Erfahrung oft gar nicht, wo überall im Gebäude Netzwerkanschlüsse zugänglich sind. Ein entsprechendes Gebäudeaudit hilft auch hier, solche Schwachstellen zu erkennen und mit einfachen Mitteln zu beseitigen.
Was tun, wenn doch jemand im Unternehmen falsch klickt und Erpresser das System sperren?
Nicht zahlen, lautet dann allgemein die klare Botschaft. Weil es nicht sicher ist, dass ich trotz Zahlung den Dekodierungsschlüssel bekomme.
Die verseuchte IT muss ich in der Regel sowieso komplett tauschen – egal, ob ich gezahlt habe oder nicht. Sind allerdings beispielsweise die kompletten Unternehmensdaten verschlüsselt worden und kein gesichertes Backup vorhanden, ist eine Lösegeldzahlung in Ausnahmefällen in Erwägung zu ziehen.
Grundsätzlich aber ist die Empfehlung, nicht zu zahlen und in jedem Fall das Landeskriminalamt (LKA) einzubeziehen. Die Expert*innen dort können helfen und geben konkrete Ratschläge, auch im Falle einer eventuellen Lösegeldzahlung. Die zweite Botschaft ist, über den Fall zu sprechen. Ein Cyberangriff ist kein Reputationsschaden, denn es kann jedes Unternehmen treffen. Wichtig ist, das Wissen darüber weiterzugeben.
Mit dem Tochterunternehmen EnBW Cyber Security reagiert die EnBW im Mai 2022 auf die gestiegene Nachfrage nach Sicherheitslösungen. Was ist hier das Angebot?
Wir fangen mit der Analyse an: Wo steht das Unternehmen in Sachen Cybersicherheit, wie sind die Mitarbeiter*innen geschult, was finde ich im weltweiten Netz für Informationen über das Unternehmen, welchen digitalen Fußabdruck hat es sozusagen? Dann startet die Beratung zum Stand der Technik. Außerdem halten wir unsere Cyberschutzübungen ab. Schließlich startet die dauerhafte technische Überwachung von IT- und OT-Systemen.
Hacker bewegen sich oft Wochen oder Monate im Unternehmensnetz eines Unternehmens und schauen, wo sie den größten Schaden anrichten können. Dabei hinterlassen sie Spuren. Mit einem Monitoring kann ich diese Bewegungen erkennen. Wenn Hacker zum Beispiel Daten vom Rechenzentrum eines Unternehmens über das Internet in ein anderes Rechenzentrum ziehen, sind diese Bewegungen mit Sensoren sehr gut feststellbar. Darauf lässt sich dann entsprechend reagieren, bevor Angreifer das eigene System verschlüsseln. Man kann beispielsweise die Angreifer so isolieren, dass sie sich nicht mehr im Netzwerk bewegen können.
Die Versorgung mit unentbehrlichen Gütern und Dienstleistungen stellen in Deutschland sogenannte Kritische Infrastrukturen (KRITIS) sicher. KRITIS-Unternehmen gehören wiederum zur ersten Zielgruppe von EnBW Cyber Security.
Ja, genau, wir haben das Thema Kritische Infrastruktur quasi in unserer DNA. Viele Mitarbeiter*innen von EnBW Cyber Security kommen aus der EnBW und wissen, was beim Schutz Kritischer Infrastrukturen wichtig ist. Insofern sprechen wir auch die Sprache unserer Kunden und können diese passgenau beraten.
Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführte IT-Sicherheitsgesetz 2.0 mit Handlungsvorgaben für KRITIS-Unternehmen muss seit Mai 2023 umgesetzt sein. Dort ist etwa die Einführung von Systemen zur Erkennung von Anomalien vorgeschrieben. Die im Oktober 2024 in Kraft tretende NIS2-Verordnung wird die Zahl der KRITIS-Unternehmen um 30.000 - 40.000 Unternehmen erhöhen und beinhaltet neben den Vorgaben auch eine Haftung der Geschäftsführung bei Nichtumsetzung. Unsere Kunden verfügen oft nicht über genügend Ressourcen, um solche staatlichen Vorgaben fristgerecht umzusetzen. Wir unterstützen sie dabei, die Auflagen zu erfüllen und vermeiden dadurch hohe Strafzahlungen im Falle der Nichteinhaltung.