Cyber Risiken in einer vernetzen Welt –

Datensicherheit, Mitarbeiter

Cyber Risiken in einer vernetzen Welt – und wie Sie die Oberhand behalten

In welcher (Cyber-)Welt leben wir? Welche Cyber Risiken gibt es und womit kämpfen wir? Gegen wen kämpfen wir? Das sind nur einige der Fragen mit denen sich jeder Einzelne, jedes Unternehmen, jeder Staat und die gesamte Gesellschaft in der heutigen Zeit konfrontiert sehen. Im Folgenden soll auf diesen Fragen eingegangen werden. Weiters wird dargelegt, warum es trotz der umfangreichen und vielfältigen Risiken keinen Grund zur kopflosen Panik gibt und warum wir vieles selbst in der Hand haben.

1 In welcher (Cyber-)Welt leben wir?

Im Jahr 2019 leben wir in einer (Cyber-)Welt in der aufgrund von fortschreitender Vernetzung und Digitalisierung die Bedeutung von IT und Internet kaum übertrieben werden kann. Egal ob aus der Sicht von Einzelpersonen (sei es privat oder beruflich), von Unternehmen, Staaten oder der gesamten Gesellschaft befinden wir uns in einer umfassenden und tiefgreifenden Abhängigkeit von Informationstechnologien und dem Internet. Aus dieser Abhängigkeit entsteht eine große Verwundbarkeit (der „Cyberraum“ wird mitunter sehr treffend als die „Achillesferse westlicher Nationen“ bezeichnet) die dazu führt, dass Cyber Risiken uns alle betreffen. Nicht ohne Grund werden Cyber Angriffe von dem World Economic Forum in der aktuellen vierzehnten Auflage seines Global Risks Reports als eines der schwerwiegendsten und wahrscheinlichsten Risiken angesehen[1].

1.1 Highlights– womit kämpften wir?

Die Verwundbarkeit durch Cyber Risiken kann exemplarisch sehr gut anhand von verschiedensten Beispielen und Vorfällen der Vergangenen Jahre dargestellt werden.

  • Ransomware Angriffe wie WannaCry und (Not)Petya, treffen weltweit nicht nur zehn tausende Privatpersonen sondern legen auch beispielsweise ganze Krankenhäuser und Stadtverwaltungen lahm. Auch tausende Unternehmen sowie selbst Polizeistationen und Behörden werden zu Opfern.
  • Über gefälschte E-Mails konnten Angreifer der FACC 50 Millionen Euro stehlen, indem sie eine Buchhalterin davon überzeugten, auf Anweisung ihres Chefs für ein geheimes Projekt diesen Geldbetrag auf ein ausländisches Konto zu überweisen. Die FACC war bei weitem kein Einzelfall und Fake President Fraud führte allein in Österreich zu Schäden in Millionenhöhe.
  • Gezielte Spear Phishing Angriffe sind seit langem und bleiben auch 2019 einer der beliebtesten Angriffsvektoren. Seit dem berühmten Angriff auf RSA 2011 wurde durch Spear Phishing Mails in vielen weiteren Angriffen die initiale Kompromittierung eines Unternehmensnetzwerkes erreicht (unter anderem auch beim Hack des Deutschen Bundestages 2015). Da immer mehr Informationen online verfügbar sind (Stichwort Soziale Netzwerke) und diese Angriffe so effektiv sind wird deren Beliebtheit sicher nicht abnehmen und der Mensch weiterhin eines der primären Angriffsziele bleiben.
  • Angriffe auf kritische Infrastruktur (wie etwa der durch Hacker herbeigeführte Stromausfall in der Ukraine im Dezember 2015 und 2016) stellen für unserer Gesellschaft ein erhebliches Risiko dar.
  • Im Rahmen der fortschreitenden Vernetzung und Digitalisierung werden unter Begriff Internet of Things immer mehr Geräte über das Internet erreichbar. Wie verschiedenste Angriffe und Vorfälle zeigen entwickelt sich hier ein sehr großes neues Problemfeld.

1.2 Gegen wen kämpfen wir?

Neben opportunistischen Angreifern und Script Kiddies hat sich der Cyberraum mittlerweile auch zu einem wichtigen Bereich für staatliche Akteure entwickelt. Auch ist rund um das Thema Cyber Crime ein eigener -  Hunderte-Milliarden schwerer - Wirtschaftszweig entstanden, wobei Schätzungen davon ausgehen, dass der Wert des gesamten illegalen Drogenhandels übertroffen wird. Auch dieser Mark weist hierarchische Marktstruktur auf, folgt dem Gesetz von Angebot und Nachfrage und ist insbesondere auch für seinen hohen Return on Investment und seine (relative) Anonymität bekannt. Selbst technisch unbedarfte Personen können leicht an ihm teilhaben und von ihm profitieren (Stichwort Cyber Crime as a Service)

2 Kein Grund zur Panik – wir haben vieles selber in der Hand!

Cyber Risiken und Vorfälle sind eine überaus reale Gefahr. Trotzdem gibt es keinen Grund für kopflose Panik und Verzweiflung.

2.1 Voreingenommen Darstellung von Cyber Risiken

Die Darstellung und öffentliche Wahrnehmung von Cyber Risiken wird stark über einzelne negativ Beispiele und Vorfälle[2] sowie durch Hersteller und Akteure in der Sicherheitsindustrie geprägt. Diese sind für Interessenskonflikte anfällig und haben oft eine „Hidden Agenda“. Ihr Geschäftsmodell basiert auf Angst wodurch Schwarzmalerei und Übertreibungen an der Tagesordnung stehen. Unter dem Schlagwort FUD (Fear, Uncertainty and Doubt) lässt sich zusammenfassen, dass oft gezielt Angst, Ungewissheit und Zweifel verbreitet und ausgenutzt werden, um den eigenen Zielen (Verkauf von mehr Produkten oder Dienstleistungen) zu dienen[3]. Auch sind die von ihnen präsentierten Zahlen und Statistiken oft nicht aussagekräftig und weisen methodische Schwächen auf.

2.2 Es besteht Hoffnung

Ein weiterer Grund warum die Lage bei weitem nicht so hoffnungslos ist wie oft kommuniziert wird ist der folgende. Das Wissen was zu tun ist und wie die Sicherheit erhöht werden kann ist vorhanden und sehr oft auch frei verfügbar - es muss „nur“ umgesetzt werden. Außerdem können ein Großteil aller typischen Cyberangriffen durch grundlegende Sicherheitsmaßnahmen und entsprechendes Sicherheitsbewusstsein verhindert bzw. abgewehrt werden!

2.3 Die CIS Critical Security Controls for Effective Cyber Defense

Ein Werk, das sich mit solchen Sicherheitsmaßnahmen auseinandersetzt sind die frei verfügbaren CIS Critical Security Controls for Effective Cyber Defense[4]. Diese wurden von Experten des Center for Internet Security und diverser weiterer Organisationen ausgehend von tatsächlichen Angriffen und Bedrohungen entwickelt.

Von diesen ausgehend erfolgte eine Priorisierung und Auswahl der fundamentalsten Sicherheitsmaßnahmen mit dem größten Nutzen. Das Werk enthält effektive und spezifische Sicherheitsmaßnahmen deren Ziel das Verhindern, Vorbeugen, Erkennen, Reagieren und Mildern von Angriffen und möglicher Schäden ist. Die CIS Critical Security Controls sind in 20 Bereiche untergliedert und decken darin umfassend essentielle Informationssicherheitsthemen und -maßnahmen ab.

3 Ausblick

In Zukunft wird das Thema Cyber Sicherheit auch weiterhin von exponentiell wachsender Bedeutung sein. Durch die Transformation zum „Digital Business“ und durch den Trend der immer weiter in Richtung Digitalisierung, Automatisierung bzw. die Übergabe von Kontrolle an die IT bzw. Algorithmen geht wird die gesamtgesellschaftliche Bedeutung der Cyber Sicherheit weiter zunehmen – sowie auch die Verwendbarkeit, wenn nicht entsprechend gegengesteuert wird. Auch die Cyber Crime Märkte werden sich weiter entwickeln und trotz der raschen technologischen Entwicklung wird der Mensch weiterhin ein wichtiges Angriffsziel bleiben (Social Engineering).

Cyber Risiken und Vorfälle sind eine überaus reale Gefahr, doch trotzdem gibt es keinen Grund für Verzweiflung und Schwarzmalerei. Das Wissen was zu tun ist und wie die Sicherheit erhöht werden kann ist vorhanden und verfügbar. Es liegt nun allerdings an uns, denn dieses Wissen muss umgesetzt werden. Zu diesem Zweck bieten die CIS Critical Security Controls for Effective Cyber Defense für Unternehmen eine sehr gute Ausgangsbasis.

 

[1] Siehe: http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf

[2] Eine äußerst interessante und kontroversielle Forschungsarbeit kommt beispielsweise zu dem Schluss: „Global Cyberspace Is Safer than You Think: Real Trends in Cybercrime“. Siehe: https://www.cigionline.org/publications/global-cyberspace-safer-you-think-real-trends-cybercrime und https://weis2017.econinfosec.org/wp-content/uploads/sites/3/2017/07/WEIS_2017_paper_18.pdf

[3] https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/FUD_APleaForIntolerance.pdf

[4] Siehe: https://www.cisecurity.org/controls/

randomness