Entscheider müssen das Schutzniveau an die deutlich verschärfte Gefahrenlage anpassen

Ein Statement von Paul Kaffsack, CEO von Myra Security

[datensicherheit.de, 13.05.2020] Die letzten 6 Wochen haben gezeigt, wie Cyberkriminelle und Advanced Persistent Threat (APT)-Gruppen Notlagen wie die COVID-19-Epidemie für gezielte Cyberangriffe auf kritische Online-Dienste ausnutzen. So erfolgen diese Angriffe in vielen Ländern parallel zur Überlastung von digitalen Infrastrukturen durch die Corona-Pandemie. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte bereits und gab Anfang April eine Meldung heraus, in der vor einer Zunahme von Betrugsversuchen mit Bezug zum Corona-Virus auf Unternehmen und Bürger gewarnt wurde.

Paul Kaffsack, CEO Myra Security , Bild: Myra Security

Öffentlicher Sektor im Visier der Angreifer

Eine der Branchen, die hier besonders im Visier der Angreifer steht, ist der öffentliche Sektor. Denn IT-Infrastruktur, die an der Belastungsgrenze arbeitet, stellt ein einfaches Ziel dar. Auch in Deutschland konnte man das live mitverfolgen. Seit Beginn der Corona-Krise waren besonders öffentliche Einrichtungen zum Teil massiven Angriffen ausgesetzt.

Angriffe auch auf medizinische Dienste

Weiterhin steht auch der medizinische Bereich derzeit vermehrt im Fokus von Cyberkriminellen. Diese Angriffe auf medizinische Einrichtungen der letzten Wochen sind besonders schockierend. Ende April verurteilte der EU-Außenbeauftragte Josep Borrell die Attacken im Namen der Europäischen Union aufs Schärfste und sprach davon, dass sie zum Teil Menschenleben gefährden würden. Die Lahmlegung medizinischer Dienste und Internet-Ressourcen ist kritisch. Hierzu gehören in einer Pandemie auch die Informations-Portale von Gesundheitsbehörden. Die Absicherung von digitaler medizinischer Infrastruktur hat daher oberste Priorität.

Weniger bekannt ist, dass es in der Finanzbranche in den letzten Wochen eine signifikante Zunahme von digitalen Angriffen gab. Bereits in normalen Zeiten wird dieser Sektor mit Abstand am häufigsten angegriffen – während der Pandemie hat sich dies weiter zugespitzt. Wenn Online-Banking während des Lockdowns die einzige Option ist, kann ein Ausfall der Online-Plattformen gravierende Folgen für Bankkunden haben. Das wissen auch Cyberkriminelle und machen sich diesen Umstand zunutze.

Schutzniveau der deutlich verschärften Gefahrenlage anpassen

Damit kritische Dienste im Behörden-Bereich, dem Healthcare-Sektor und der Finance-Branche verfügbar bleiben, sollten Entscheider hier das Schutzniveau der deutlich verschärften Gefahrenlage anpassen. Professionelle Schutzanbieter sind dazu in der Lage, Webseiten und Online-Dienste in Echtzeit zu analysieren und den schädlichen Traffic zu diagnostizieren. Der bösartige Datenverkehr wird dann herausgefiltert, damit die Serverkapazitäten allein den validen Nutzeranfragen zur Verfügung stehen. Aufgrund solcher Technologien laufen Angriffe effektiv ins Leere und Webseiten und andere Dienste bleiben zu jeder Zeit hochverfügbar.

Weitere Informationen zum Thema:

Myra Security
Neue digitale Sicherheit

datensicherheit.de, 12.05.2020
Neue Angriffsmethoden auf kritische Industrie-4.0-Umgebungen

datensicherheit.de, 12.05.2020
Snake/Ekans: Ransomware Angriff auf Medizintechnik-Unternehmen Fresenius Kabi

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

Von unserem Gastautor Moreno Carullo, Gründer von Nozomi Networks

[datensicherheit.de, 23.07.2019] Wenn es um die Netze und Systeme geht, die für die Energiegewinnung und Bereitstellung an private Haushalte und Unternehmen gleichermaßen wichtig sind, spricht man nicht grundlos von einer kritischen nationalen Infrastruktur (CNI) oder wie in Deutschland von einem „kritischen Gemeinwesen“ oder einer „kritischen Infrastruktur“. Werden diese Systeme negativ beeinflusst, hat das weitreichende Folgen, kann potenziell zu wirtschaftlicher Instabilität auf globaler Ebene führen und nicht zuletzt Menschenleben gefährden. Ein Stromausfall von etwa 5 Tagen käme bereits einer nationalen Katastrophe gleich. Nicht ohne Grund gibt der Bund dazu Informationsmaterialien heraus wie Bürger für den Ernstfall Vorsorge treffen können.

Laut Berichten des britischen National Cyber Security Centre (NCSC), des US Department of Homeland Security (DHS) und anderer Regierungsstellen weltweit ist die Zahl der Cyberbedrohungen in diesem Bereich in den letzten Monaten deutlich gestiegen. Kritische Infrastrukturen sind beides gleichermaßen: kritisch und verwundbar. Und genau deshalb sind Prozesse und Anlagen unterschiedlichsten Formen von Angriffen ausgesetzt – ob geopolitisch oder wirtschaftlich motiviert, böswillig oder einer Kombination aus allen dreien.

Die Angriffe nehmen zu

Zunehmend mehr werden auch Angriffe auf Netzwerke in Energie- und Verteilungssystemen und bei Energieversorgern. In diesen Szenarien geht es nicht um den Diebstahl von Daten, sondern um das Stören von Prozessen und mittelbar darum, Instabilität beispielsweise in wirtschaftlicher oder politischer Hinsicht zu erzeugen. Malware-Familien sind speziell für Attacken gegen die betreffenden kritischen Infrastrukturen entwickelt worden. Threat Actors haben sich mit ihren TTPs (Tactics, Techniques and Procedures) dediziert auf diese Ziele fokussiert. Gut in Erinnerung sind noch hochkarätige Attacken wie die beiden Angriffe auf das ukrainische Stromnetz 2015 und 2016 sowie Malware-Infektionen wie DragonFly und Stuxnet. Bekannt geworden sind auch zwei Attacken, die sich gegen deutsche Stromversorger gerichtet haben.

Energiewirtschaftliche Systeme: „Insecure by Design“?

Für Energieversorgungsunternehmen lag (und liegt) der Fokus auf der Hochverfügbarkeit ihrer Systeme. In der Energiewirtschaft durchdringen sich OT und IT aber mehr und mehr. IT-Technologien werden zum Überwachen und intelligenten Steuern der Systeme und Netze benutzt. Je höher allerdings der Grad von Konnektivität und Automatisierung, desto wahrscheinlicher wird eine erfolgreiche Attacke.

Die Herausforderungen gliedern sich im Wesentlichen in drei Bereiche:

• die eingesetzten Technologien,
• die betroffenen Prozesse und
• die Benutzer/Benutzeraktivitäten

Die steigende Konnektivität von Systemen erstreckt sich zum Teil über große geografische Distanzen hinweg und betrifft eine Vielzahl von physischen Systemen. Systeme,  die nicht nach den Prinzipien des „Security by Design“ entwickelt  wurden (wo Authentifizierung, Verschlüsselung und Widerstandsfähigkeit schon in der Konzeptionsphase eine Rolle spielen). Dazu kommt die Kommunikation über unterschiedliche Protokolle. Die Technologien sind allerdings nicht die einzige Herausforderung mit denen Betreiber kämpfen. Unzureichende Sicherheitsprozesse und die mangelnde Expertise im Bereich Cybersicherheit stellen zusätzliche Hürden dar.

Intelligent Electronic Devices (IED), Programmable Logic Controller (PLC) oder Remote Terminal Units (RTU) sind für einen bestimmten Einsatzzweck strukturierte, mächtige Computersysteme und primär dazu gedacht physische Komponenten wie Ventile, Pumpen, Motoren und so weiter zu steuern und zu überwachen. Diese Systeme nutzen unsichere Protokolle, bei denen auf in der IT gängige Sicherheitsmaßnahmen wie Authentifizierung und Verschlüsselung verzichtet wurde. Einfach, weil bei ihrer Entwicklung Sicherheit noch kein Thema war und der Fokus primär auf Verfügbarkeit lag. Prinzipiell sind die Datenströme im Netzwerk für praktisch jeden Benutzer sichtbar. Eingebaute Wartungszugänge dienen der Bestandsverwaltung, gefährden aber diese besonders langlebigen Systeme zusätzlich. Nun sind sie Teil eines unsicheren Ökosystems in dem die Verfügbarkeit per Definition eine höhere Priorität hat als die Sicherheit.

Transparenz in energiewirtschaftlichen Netzwerken: Die Aufgaben der IEC Working Group 15 (WG 15) der IEC TC 57

Die IEC TC57 WG15 ist eine Gruppe von Experten, Beratern und Herstellern, die erstmals im Jahr 2000 zusammenkamen angetrieben von wachsenden Sicherheitsbedenken. Die Gruppe beschäftigt sich nicht nur mit der Forschung und Entwicklung von Standards für Ende-zu-Ende Sicherheit, sondern überprüft diese regelmäßig und berät auch andere Gruppen. Die WG 15 der IEC TC 57 arbeitet an der Normenreihe IEC 62351. Diese besteht ihrerseits aus insgesamt 14 Bestandteilen, welche Cybersicherheit für die Kommunikationsprotokolle in der Energieversorgung beschreiben. Diese Protokolle sind in den Standards IEC 60870-5, IEC 60870-6, IEC 61850, IEC 61970 und IEC 61968 festgeschrieben.

Heute kann man unsichere Systeme schützen und überwachen. Was die Architektur und Segregation in aktuellen Netzwerken anbelangt trägt die IEC 62443-Familie von Standards dazu bei, Sicherheitsanforderungen und Produktivität in Einklang zu bringen. Die dazu nötigen Technologien existieren bereits. Sie erfassen präzise den kompletten Bestand an Systemen in der betreffenden Infrastruktur, überwachen die Aktivitäten dieser Systeme und führen Schwachstellen-Assessments durch.

Das ist heute schon möglich. Ziel für morgen ist allerdings eine „End-to-End-Security by Design“ mit folgenden Komponenten:

• Authentifizierung aller Systeme, Geräte und Anwendungen, die Daten verschicken und empfangen
• Autorisierung aller Interaktionen wie aufrufen, lesen, schreiben, kontrollieren, erstellen und löschen von Daten
• Datenintegrität sämtlicher Interaktionen und der zwischen den Systemen ausgetauschten Informationen
• Überprüfbarkeit (Accountability) gewährleistet, dass eine Einheit nicht bestreiten kann eine bestimmte Nachricht erhalten zu haben oder aufgrund einer Nachricht tätig geworden zu sein
• Verfügbarkeit von Interaktionen kann sich in einem Bereich von Millisekunden, Stunden oder auch Tagen bewegen
• Vertraulichkeit, die üblicherweise für Finanzdaten, Märkte sowie Unternehmensdaten und private Information unabdingbar ist

Dazu dienen Kommunikationsstandards wie die bereits von der WG15-Gruppe entwickelten. Andere befinden sich derzeit in der Testphase hinsichtlich der nötigen Interoperabilität und aufgrund von Compliance-Anforderungen. Neben den Standards der WG15 gibt es eine Reihe weiterer Standards, die von anderen Gruppen entwickelt wurden.

Fazit

Das Weltwirtschaftsforum im Januar zählt Cyberangriffe auf industrielle Systeme und kritische Infrastrukturen zu den größten Risiken für die internationale Stabilität. Die Studienergebnisse von Marsh bestätigen diese Einschätzung. Laut einer Befragung vom letzten Jahr befürchten drei Viertel der Führungskräfte im Energiesektor, dass Cyberangriffe den Geschäftsbetrieb unterbrechen könnten, und mehr noch, dass sie sich darauf vorbereiten, ihre Investitionen in den Bereich Risikomanagement für Cybersicherheit zu erhöhen.

An die Stelle der traditionellen Air-Gapped-Netzwerke treten aufgrund unternehmerischer Erfordernisse mehr und mehr IIoT-basierte Systeme. Will man die Vorteile der Vernetzung in einer kritischen Infrastruktur umfassend nutzen, ist es entscheidend sämtliche Netzwerke und Geräte zu erfassen und abzusichern. Jedes Gerät ist ein potenzieller Zugangspunkt für Angreifer. Dazu kommt die Pflege des bestehenden Inventars. Dabei müssen alle Geräte im Netzwerk genau erfasst werden. Auf sämtlichen Software‐ und Hardwarekomponenten sollten die neuesten Patches eingespielt sein, um Schwachstellen auszumerzen, die Angreifer sonst ausnutzen könnten. Schulungen spielen eine wichtige Rolle, um die Mitarbeiter aufzuklären und zu sensibilisieren und Unternehmen müssen für unterschiedliche Schutzebenen sorgen. Das reicht vom Absichern des Netzwerks selbst bis dahin es auf Anomalien hin zu überwachen, die Anzeichen für eine Cyberbedrohung sein könnten. Alle derzeitigen Anstrengungen werden auch morgen noch ihre Berechtigung haben, wir müssen allerdings zukünftig den Fokus verändern. Der sollte nicht länger auf den „Bad Guys“ liegen, sondern auf einem funktionierenden Security-by-Design-Ansatz für den wir bereits jetzt den Grundstein legen.

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2019
GreyEnergy bedroht Kritische Infrastrukturen

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 16.10.2018
KRITIS: Security und Safety ganzheitlich zu gestalten

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 12.05.2017
Wana-Ransomware: Weltweite Cyber-Attacke auf kritische Infrastrukturen

[datensicherheit.de, 09.10.2018] Vom 9. bis 11. Oktober 2018 tauschen sich auf der it-sa – der größten Europäischen Messe für IT-Sicherheit – Experten und Unternehmen aus aller Welt zu neuen Lösungen und Fragestellungen rund um die Themen IT- und Internetsicherheit aus. eco – Verband der Internetwirtschaft e.V. und die Allianz zur Stärkung digitaler Infrastrukturen weisen in diesem Kontext darauf hin, dass Internetsicherheit bereits an der Basis, nämlich den Rechenzentren und anderen Betreibern digitaler Infrastrukturen – anfängt.

„Leistungsfähige und vor allem sichere digitale Infrastrukturen sind das Rückgrat einer gelingenden digitalen Transformation in Deutschland und ein wichtiger Standortfaktor“, sagt Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen. Die Frage, ob sich ein Rechenzentrum und mit ihm die dort gehosteten Daten in Deutschland befinde, sei für die digitale Souveränität von großer Bedeutung. So müsse etwa in Krisenfällen auch ein physischer Zugriff auf Rechenzentren möglich sein.

Civey-Umfrage: Mehrheit der Nutzer vertraut auf Rechenzentren im Inland

Auch eine Mehrheit der Internetnutzer sieht Rechenzentren in Deutschland als essentiell für die digitale Souveränität in Deutschland an. Über die Hälfte der Bevölkerung (54,7%) vertraut ihre Daten Unternehmen lieber an, wenn diese auf inländischen Servern speichern, so das Ergebnis einer aktuellen repräsentativen Bevölkerungsumfrage, die das Meinungsforschungsinstitut Civey im Auftrag der Allianz zur Stärkung digitaler Infrastrukturen durchgeführt hat.

• Rund 65 % der Deutschen halten es demnach für einen sehr wichtigen Wirtschaftsfaktor, digitale Infrastruktur (z.B. Rechenzentren) im Inland zu erhalten.
• Rund 70 % der Befragten sind außerdem der Meinung, dass der Staat den Betrieb digitaler Infrastrukturen wie bspw. Rechenzentren stärker als bisher fördern sollte. Über 40 % sagen sogar, dass es hier „deutlich stärkere“ Förderung braucht.

Neue borderstep Studie belegt: Rechenzentren in Deutschland brauchen bessere politische Rahmenbedingungen

Angesichts ihrer volkswirtschaftlichen Bedeutung für den Standort Deutschland erfahren Betreiber digitaler Infrastrukturen hierzulande aktuell keine angemessene politische Unterstützung und Förderung. Gerade im internationalen Vergleich sind die politischen Rahmenbedingungen für Betreiber digitaler Infrastrukturen suboptimal. Zu diesem Ergebnis kommt auch eine neue Studie über die sozioökonomischen Chancen und Herausforderungen von Rechenzentren und anderer Betreiber digitaler Infrastrukturen im internationalen Vergleich, die vom Borderstep Institut im Auftrag der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland und eco – Verband der Internetwirtschaft e.V. erstellt wurde.

„Deutschland droht hier im internationalen Vergleich den Anschluss zu verlieren“, sagt Béla Waldhauser. „Andere Länder haben bereits die Bedeutung der Branche erkannt und schaffen aktiv die notwendigen Rahmenbedingungen um auch zukünftig als Standort im Wettbewerb attraktiv zu sein. In Deutschland wird das Thema Rechenzentren politisch praktisch nicht adressiert“, so Waldhauser weiter. Ein wichtiger Wettbewerbsfaktor sei beispielsweise die Stromkosten, die für Rechenzentren in Deutschland aufgrund der EEG-Umlage teilweise fünfmal so hoch seien, wie beispielsweise in skandinavischen Ländern.

Der Standortwettbewerb um die Ansiedlung von Rechenzentren – gerade auch von Hyperscale-Rechenzentren – wird zukünftig zunehmen. Während öffentliche Verwaltungen auf Grund rechtlicher Vorgaben auf einen Rechenzentrumsbetrieb in Deutschland angewiesen sind, können private Rechenzentren ins Ausland ausweichen, um den hohen Stromkosten zu entgehen. „Dies wird auf Dauer auf Kosten des Digitalstandorts Deutschland und auf Kosten der Sicherheit für alle Internetnutzer gehen“, warnt Waldhauser.

Bundesregierung muss Strategie für die Sicherung und den Ausbau der digitalen Infrastruktur hierzulande entwickeln

Die Allianz zur Stärkung digitaler Infrastrukturen fordert daher, dass die Bundesregierung digitale Infrastrukturen in Deutschland endlich als Standortfaktor anerkennt und dringend eine Strategie für die Sicherung und den Ausbau der digitalen Infrastruktur hierzulande entwickelt. Dazu zählen ein zügiger Ausbau der Netzinfrastruktur genauso wie Maßnahmen zur Ressourcen- und Energieeffizienz und zur Bekämpfung des Fachkräftemangels.

Weitere Informationen zum Thema:

Allianz zur Stärkung digitaler Infrastrukturen
Zehn politischen Kernforderungen sowie weitere Informationen

datensicherheit.de, 28.09.2018
Veranstaltungshinweis: Die Zukunft des mobilen Breitbands am 14.11.2018 in Köln

datensicherheit.de, 26.06.2018
Internet-Breitbandausbau: In Südkorea deutlich weiter als in Deutschland

Sechs Kernanforderungen

Von unserem Gastautor Hatem Naguib, Senior Vice President und General Manager bei Barracuda Networks

[datensicherheit.de, 12.09.2018] Unternehmen, deren Standorte landes- oder weltweit verteilt sind, verbinden diese häufig seit Jahren, wenn nicht seit Jahrzehnten, per MPLS-Leitungen (Multiprotocol Label Switching). Doch vor allem durch den steigenden Einsatz von Cloud-Technologien ist diese Architektur mittlerweile veraltet. User, Daten und Anwendungen sind heutzutage weit verstreut, Angestellte arbeiten von überall aus und nutzen eine Vielzahl an Geräten. Vor dieser Entwicklung war die Implementierung von Sicherheitskontrollen relativ einfach dahingehend, dass ein definierter Perimeter um alle zu schützenden Vermögenswerte eines Unternehmens existierte. So konnten IT-Teams eine Vielzahl von Sicherheitstechnologien zentral einsetzen. Remote-Standorte wurden in diesen Sicherheitsbereich einbezogen, indem der gesamte Verkehr über MPLS zu einer großen zentralen Firewall umgeleitet wurde, die für die Traffic-Regulierung und Durchsetzung der Sicherheitsrichtlinien sorgte.

Weit verteilte Infrastrukturen sorgen für eine Reihe von Herausforderungen

Der Netzwerkrand löst sich auf, wenn Anwendungen und Benutzer darüber hinausgehen. Dies macht die Implementierung von Sicherheitskontrollen mit bestehenden Tools komplexer. Zudem sind Anwendungen, die früher im Rechenzentrum gehostet wurden, in gewisser Weise in die Cloud migriert (entweder durch SaaS oder Public Cloud). Diese Anwendungen können bei der Ausführung an Remote-Standorten an Performance einbüßen, hauptsächlich aufgrund der Latenzzeit, die von all den MPLS-Schaltungen verursacht wird, die für die Rückführung des Datenverkehrs zum Hauptstandort sorgen.

Bild: Barracuda Networks

Hatem Naguib, Senior Vice President und General Manager bei Barracuda Networks

Man nehme zum Beispiel Office 365, das früher als Exchange-Server im Rechenzentrum stand. Oft erleben Unternehmen eine schlechte Nutzererfahrung oder schleppende Performance, weil sie den Datenverkehr per MPLS zum Unternehmenshauptsitz holen und dann ins Internet schicken. Um dieses Problem zu lösen, benötigen Remote-Standorte die direkte Verbindung zur Cloud. Genau das bietet SD-WAN. Jedoch ist es wichtig, in diesem Zuge auch neue Sicherheitskontrollen für alle Remote-Standorte einzuführen. Entsprechende Lösungen sind in der Regel kosteneffizient zu implementieren und einfach skalierbar, und da Anwendungen in die Cloud wechseln, sollte die Security-Lösung auch den Datenverkehr zu und von den Cloud-Anwendungen regulieren. Unternehmen können mit diesem Ansatz die Benutzerfreundlichkeit optimieren und gleichzeitig ihre Betriebs- und Investitionsausgaben senken.

Sechs Kernanforderungen für eine sichere SD-WAN-Bereitstellung:

1. Zero Touch-Bereitstellung: Verfügt ein Unternehmen über 50, 100, 1000 oder mehr Remote-Standorten, ist es unrealistisch, jeden dieser Standorte für die SD-WAN-Bereitstellung einzeln besuchen zu wollen. Mittels Zero Touch-Bereitstellung sowie einem zentralisierten Management genügt ein Mitarbeiter vor Ort, der die Lösung per Knopfdruck in Betrieb nimmt.
2. WAN-Optimierung: Komprimierung und Deduplizierung sind zwei Möglichkeiten, um den Datenverkehr zu optimieren, beziehungsweise die Bandbreite zu verbessern. Datenpakete lassen sich anhand von Hashwerten identifizieren. So kann bereits übertragener Content auf der Appliance zwischengespeichert beziehungsweise komprimiert werden, sodass lediglich noch der viel kleinere Hashwert übertragen werden muss. Die Deduplizierung reduziert die wiederholte oder parallele Übertragung gleicher Daten im WAN. Häufig angeforderte Informationen werden lokal zwischengespeichert oder identische Inhalte zusammengeführt.  Letzten Endes bestimmt die eingesetzte Lösung, welche Methoden zur WAN-Optimierung genutzt werden.
3. Advanced Firewalling: Um an Remote-Standorten genauso gut abgesichert zu sein wie am Hauptstandort, erfordert es eine Firewall, die für verteilte Umgebungen konzipiert ist und zentralisierte Richtlinien und Verwaltung in großem Umfang nutzt. Dazu gehören Anwendungs- und Benutzerkontrollen, IDS/IPS, Webfilterung und Routing-Funktionen.
4. Erweiterter Schutz vor Bedrohungen: Dies stellt sicher, dass Benutzer, Anwendungen und Daten vor allen Bedrohungen geschützt sind, die das Internet zu bieten hat. Viele Unternehmen haben dies mit einer zentralen Sandbox umgesetzt, aber für eine verteilte Architektur, bei der das Backhauling minimiert werden soll, ist eine Cloud-basierte Advanced Threat Protection die ideale Lösung.
5. Zentralisierte Verwaltung: Dies sollte die zentrale Verwaltung aller Firewall-Funktionen unabhängig von der Konfiguration von Sicherheit, Content, Traffic-Management, Netzwerk, Zugriffsrichtlinien oder Software-Updates umfassen. So können die Kosten für Sicherheit und Lifecycle-Management gesenkt werden. Und dies alles bei gleichzeitiger Bereitstellung von Funktionen zur Fehlerbehebung und Konnektivität.
6. Cloud-Integration: Als einer der Treiber für SD-WAN geht es bei der Migration von Workloads in die Cloud sowohl um die Sicherstellung einer hohen Anwendungsperformance als auch um den sicheren Zugriff auf die Workloads. Ein VPN kann diese Aufgabe übernehmen, doch wenn Unternehmen erst einmal in der Cloud sind, entstehen neue Herausforderungen: Da wären nicht nur die Workload-Anforderungen, sondern auch Anforderungen an Sicherheitskontrollen, Bereitstellungsmethoden und eine reibungslose Lizenzierung. Wichtig hierfür ist ein Firewall/SD-WAN-Gerät, das nicht nur eng mit Cloud-Plattformen integriert ist, sondern auch die Anwendungsfälle in der Cloud erfüllt.
   Wenn Unternehmen ihren SD-WAN-Rollout ausloten, gibt es eine Menge zu beachten, doch durch ein im Vorfeld gut durchdachtes Konzept können sie die passende Sicherheit für ihr verteiltes Netzwerk schaffen und einen soliden Migrationspfad in die Cloud bereitstellen. Die Integration der oben genannten Funktionen in die SD-WAN-Bereitstellung können die Netzwerk-Architektur erheblich vereinfachen, die Sicherheit erhöhen, Uptime optimieren und Kosten reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 08.05.2018
Unsichere Rechenzentren: Zukunftsmodell Blockchain gerät ins Wanken

datensicherheit.de, 20.07.2017
Ransomware: Die Seuche des 21. Jahrhunderts

[datensicherheit.de, 15.02.2018] Regierungen und Unternehmen müssten ihre Zusammenarbeit im Bereich Cyber-Sicherheit deutlich stärken, forderte Bitkom-Präsident Achim Berg am 15. Februar 2018 im Rahmen der „Munich Cyber Security Conference“. Der Kampf gegen Cyber-Kriminelle gelinge nur gemeinsam, betonte Berg.

Kooperation von Staat und Wirtschaft angemahnt

„Einerseits können Behörden von der technologischen Expertise der Wirtschaft profitieren. Anderseits sorgt eine effektivere Prävention und Verfolgung von Straftaten für ein Umfeld, in dem sich Bürger und Unternehmen sicher bewegen können“, unterstrich der Bitkom-Präsident.
Erste Initiativen belegten diesen Ansatz: „In Deutschland sind der Nationale Cyber-Sicherheitsrat und die Allianz für Cybersicherheit gute Beispiele dafür, wie durch die Kooperation von Staat und Wirtschaft mehr Cyber-Sicherheit entstehen kann.“ Solche Initiativen brauche man auch auf internationaler Ebene.

Warnung vor digitaler Lynchjustiz

Mit Verweis auf eine Bitkom-Studie zum Wirtschaftsschutz erklärte Berg: „Infrastrukturen, Behörden und Unternehmen stehen zunehmend unter Beschuss international tätiger Cyber-Krimineller. Eine verbesserte Zusammenarbeit im Bereich Cyber-Sicherheit ist dringend nötig. Allein der deutschen Wirtschaft entsteht durch Cyber-Angriffe ein Schaden von 55 Milliarden Euro pro Jahr.“
In einer aktuell diskutierten Gegenmaßnahme von sogenannten „Hackbacks“ durch private Unternehmen sieht indes Berg keine Lösung: „Private ,Hackbacks‘ wären eine Art digitale Lynchjustiz. Sie würden das staatliche Gewaltmonopol im Digitalen Raum weiter aushöhlen. Was wir stattdessen brauchen, ist ein auch international klar definierter Rechtsrahmen und eine gemeinsame Antwort auf die globalen Bedrohungen der Cyber-Sicherheit.“

Weitere Informationen zum Thema:

bitkom, 21.07.2017
Spionage, Sabotage, Datendiebstahl: Deutscher Wirtschaft entsteht jährlich ein Schaden von 55 Milliarden Euro

datensicherheit.de, 26.01.2018
Bitkom-Warnung: Mangel an Fachkräften für Datenschutz

[datensicherheit.de, 16.01.2017] Sicherheitsexperten von Palo Alto Networks rechnen nach eigenen Angaben mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (Kritis) – alleine durch die Ausfallzeiten könnten Schäden in Millionenhöhe verursacht werden.

Ausfall einer wichtigen Kritis-Umgebung nur eine Frage der Zeit

Die Entwicklung von Ransomware-Angriffen auf Kritis ist demnach recht eindeutig und wird von Palo Alto Networks „als ernsthafte Bedrohung“ gewertet. Erste erfolgreiche Angriffe gegen an OT-Umgebungen angrenzende Netzwerke seien bereits bekannt geworden.
Wenn diese Ausfallzeiten verursacht haben, hätte dies bisher „nur“ Auswirkungen auf den ICS-Betreiber (Industrial Control Systems / Industrielle Steuerungssysteme) selbst gehabt und sich noch nicht auf die für die Bevölkerung entscheidenden Dienste ausgewirkt. Allerdings sei es nur eine Frage der Zeit bis zu einem erfolgreichen Angriff, der den Ausfall einer wichtigen Kritis-Umgebung – wie das Stromnetz oder ein Transportsystem – verursachen werde.

Finanziell und personell gut ausgestattete Banden Cyber-Krimineller

Das erforderliche Fachwissen für ICS-Umgebungen zu sammeln, Ransomware einzuschleusen und diese spezialisierten Systeme erfolgreich zu kompromittieren, erfordere eine Menge Aufwand, möglicherweise auch die Beteiligung eines Insiders. Sicherheitsexperten von Palo Alto Networks gehen daher davon aus, dass solche Angriffe höchstwahrscheinlich von finanziell und personell gut ausgestatteten Banden Cyber-Krimineller erfolgen. Diese nähmen bestimmte Einrichtungen ins Visier, um ein hohes Lösegeld einzufordern.

Disaster-Recovery könnte teurer als Lösegeld sein

Der betroffene Infrastrukturbetreiber werde mit einer schweren Entscheidung konfrontiert sein: das Lösegeld in der Hoffnung auf eine rasche Wiedererlangung der Funktionalität zu bezahlen – oder – nicht zu bezahlen und stattdessen die Situation mittels eines funktionsfähigen Disaster-Recovery-Plans zu beheben.
Die Gesamtkosten für letztere Maßnahmen könnten weit über das Lösegeld hinausgehen. Niemand in diesem Umfeld hoffe, dass diese Art von Angriff im eigenen Betrieb passiert, aber ein solches Ereignis würde dazu führen, dass die gesamte Branche aufwachen und schleunigst darüber nachdenken müsste, wie ICS-Umgebungen effektiver – oder überhaupt grundlegend – zu schützen sind.

Präventionsorientierte Denkweise und neue Schutztechnologien!

Nach Einschätzung von Palo Alto Networks sind die meisten OT-Betreiber „zu schlecht ausgestattet, um mit anspruchsvollen Angriffen umzugehen“. Ransomware sei nur eine von vielen modernen Angriffsmethoden, die eine andere, präventionsorientierte Denkweise und eine Reihe neuer Schutztechnologien erforderten.
OT-Organisationen wachten aber langsam auf und modernisierten ihre OT-Sicherheit; aber es sei ein langer Weg, den die meisten dieser Unternehmen vor sich hätten, bis sie in der Lage sein würden, immer anspruchsvollere Angriffe zu stoppen. Da IT- und OT-Umgebungen noch stärker zusammenwüchsen, müssten sich die Betreibergesellschaften dazu veranlasst sehen, herauszufinden, wie die Angreifer eigentlich vorgehen und was der „Stand der Technik“ in Bezug auf „Best Practices“ und Technologien für Cyber-Sicherheit ist.

NIS-Richtlinie fordert „Stand der Technik“ zu beachten!

Das Thema „Stand der Technik“ werde auch in den neuen EU-Gesetzesinitiativen zum Tragen kommen, die bis Mitte 2018 in das nationale Recht der Mitgliedsstaaten umgesetzt werden müssten. Die NIS-Richtlinie gelte dabei neben „digitalen Diensten“ auch für „Erbringer wesentlicher Dienstleistungen“. Dies sei laut NIS-Definition eine öffentliche oder private Einrichtung, die „eine Dienstleistung erbringt, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Tätigkeiten wesentlich ist; von Netz- und Informationssystemen abhängig ist; und bei der ein Angriff auf die Netz- und Informationssysteme erhebliche störende Auswirkungen auf den Betrieb hätte“.
Unter anderem verlangt die NIS-Richtlinie, Sicherheitsmaßnahmen zu ergreifen, die dem „Stand der Technik“ entsprechen. „Stand der Technik“ bedeutet in diesem Zusammenhang, dass generell Technologien erforderlich sind, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde. Eine ältere, immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten punktuellen Lösungen besteht, ist kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen.

Next-Generation-Firewalls und -Endpoint-Protection empfohlen!

„Als effektiver erweist sich eine integrierte Sicherheitsplattform basierend auf Next-Generation-Firewalls und Next-Generation-Endpoint-Protection, mit sich optimal ergänzenden Komponenten, die miteinander kommunizieren können“, betont Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks.
Eine solche Plattform liefere vollständigen Einblick in die gesamte Kommunikation im verteilten Netzwerk, um detailliert zu erkennen, an welcher Stelle das Unternehmen gerade gefährdet ist.

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2016
Kritische IT-Ereignisse: Millionenschäden bei europäischen Unternehmen

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen

[datensicherheit.de, 24.02.2016] Honeywell Process Solutions (HPS) und Palo Alto Networks arbeiten ab sofort zusammen, um die Cybersicherheit von Steuerungssystemen, die in Industrieanlagen und kritischen Infrastrukturen zum Einsatz kommen, zu verbessern. Honeywells Geschäftszweig Industrial Cyber Security bietet nun die Next-Generation-Sicherheitsplattform von Palo Alto Networksfür Industriekunden an. Die Zusammenarbeit ermöglicht es den Kunden, Cyberangriffe auf ihre Prozesskontrollnetzwerk (PCN)- und Betriebstechnik (OT)-Umgebungen besser abzuwehren. So können sie ihre Anlagen schützen sowie die Produktionsverfügbarkeit und Sicherheit maximieren.

Die gemeinsame Lösung bietet eine detaillierte Überwachung des Verkehrs in Prozessnetzwerken und eine fortschrittliche Bedrohungsabwehr für die gesamte Automatisierungsumgebung. Dabei wird erweiterte und nativ integrierte Sicherheitsplattform von Palo Alto Networks mit Honeywells einzigartigem Know-how im Bereich der Prozesssteuerung kombiniert. Das Ergebnis ist eine Cybersicherheitslösung, die für industrielle Kunden zugeschnitten ist. Das neue Next-Generation-Lösungsangebot erweitert Honeywells umfassendes Portfolio an Cyber-Security-Lösungen, einschließlich seiner Industrial Cyber ​​Security Risk Manager-Plattform.

„Die Zusammenarbeit mit Palo Alto Networks erweitert unsere Fähigkeit, proaktive Intrusion-Prevention-Funktionen bereitzustellen, woraus ein robusterer Schutz für unsere Kunden resultiert. Dies ist ein Beispiel von Honeywells einzigartigem Multi-Vendor-Konzept, das State-of-the-Art-Technologie mit ausgewiesener Expertise integriert. So können sich Kunden auf unsere Cyber-Security-Funktionen verlassen, schnell und effektiv Bedrohungen verhindern und sich auf das Tagesgeschäft konzentrieren“, erklärte Jeff Zindel, Vice President und General Manager, Cybersecurity, bei Honeywell Process Solutions.

„Die Anbindung lebenswichtiger Infrastruktur an das industrielle Internet der Dinge (IIoT) bringt  großen Nutzen, ist aber auch mit Cyberrisiken verbunden. Unsere Zusammenarbeit mit Honeywell adressiert diese Risiken mit Sicherheitslösungen der nächsten Generation. Diese wurden entwickelt, um die Bedürfnisse der industriellen Kunden zu erfüllen. Damit bieten wir Funktionen zur Bedrohungserkennung und -prävention, wie sie bislang nicht eingesetzt wurden in der Branche“, kommentierte Chad Kinzelberg, Senior Vice President of Business and Corporate Development, bei Palo Alto Networks.