Schadsoftware darauf ausgelegt Geschäftsprozesse zu stören

Ein Kommentar von Stephan von Gündell-Krohne, Sales Director DACH bei Forescout Technologies

[datensicherheit.de, 27.09.2019] Aktuell kämpft Rheinmetall Automotive laut Medienberichten mit den Auswirkungen von Cyberattacken. Es sieht so aus, als käme es weltweit zu Produktionsausfällen. Zudem gibt es Berichte über Hackerangriffe bei Airbus, bei denen die Angreifer bewusst die Partner des Unternehmens ins Visier nehmen, um Geschäftsprozesse zu unterbrechen. Beide Fälle verdeutlichen die neue Gefahr von Disruptionware: Schadsoftware, die darauf ausgelegt ist, Abläufe zu stören.

Veränderungen in der Gefahrenlandschaft

Sicherheitsexperten beschreiben im Bericht Rise of Disruptionware: A Cyber-Physical Threat to Operational Technology Environments die Veränderungen in der Gefahrenlandschaft und wie sich Organisationen vorbereiten sollten. Neben angepassten Schädlingen haben sich auch die Ziele der Angreifer verändert. Anstatt dem Diebstahl von Informationen oder Finanzbetrug sehen sie es gezielt auf Assets ab, die nur schwer Wiederherstellbar sind.

Bild: ForeScout

Stephan von Gündell-Krohne, „Sales Director DACH“ bei Forescout

Die Folgen sind so drastisch, dass sie wie im Falle von Rheinmetall oder Airbus der Öffentlichkeit nicht verborgen bleiben. Im Gegensatz zur früheren Cyberattacken geht es den Tätern um gezielte Sabotage. Wie im Beispiel Rheinmetall bleibt die klassische IT verschont oder steht zumindest nicht im Fokus, stattdessen geht man den leichteren Weg. In fast jedem Netzwerk finden sich mittlerweile unerwartete Endpunkte. Viele smarte Industrieanlagen, Klimasteuerungen und andere Geräte aus dem Internet der Dinge (IoT) sind nicht gegen Attacken geschützt.

Neue Angriffsvektoren entstehem

Unternehmen werden mit der zunehmenden Vernetzung zwar agiler, digitale Innovation ohne entsprechende Schutzmechanismen birgt aber auch ein Risiko, da neue Angriffsvektoren entstehen. Dies kann so weit gehen, dass Produktionsanlagen dauerhaft beschädigt werden.

Die Experten erkennen eine systematische Entwicklung und erwarten, dass sich die Bedrohungslage weiter verschlimmert. Grund ist die Zunahme von vernetzten Devices und die voranschreitende Digitalisierung. Während immer mehr Endpunkte über Onlineverbindungen miteinander kommunizieren, verharren viele IT-Entscheider aber gerade bei der OT-Sicherheit in alten Paradigmen. Dort spielt die Absicherung von Informationen und der Zugangsschutz zu Endgeräten und Netzwerken nur eine untergeordnete Rolle. Mögliche Schutzmechanismen werden nicht implementiert, da man Einschränkung bei der Performance fürchtet. Daher werden die Vorfälle bei Rheinmetall und Airbus keine Einzelfälle bleiben.

Weitere Informationen zum Thema:

datensicherheit.de, 17.06.2019
Mutmaßliche Ransomware-Attacke auf Flugzeugbau-Zulieferer

datensicherheit.de, 24.05.2019
Unternehmen brauchen Transparenz in der Digitalisierung

datensicherheit.de, 26.02.2019
Forescout-Studie: Unternehmen spüren veränderte Sicherheitslage

Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

Von unserem GastautorvChristoph M. Kumpa, Director DACH & EE bei Digital Guardian

[datensicherheit.de, 28.08.2019]  Cyberkriminelle stehlen nicht nur Daten. Manchmal ist es stattdessen ihr Ziel, Daten bewusst zu manipulieren. Attacken, bei denen externe Angreifer oder böswillige Insider subtile Veränderungen an unternehmenskritischen Daten wie etwa Quellcodes, Finanzdokumenten oder Bauplänen vornehmen, können für Unternehmen genauso verheerend sein wie Diebstahl. Es bedarf oft nur eines Fehlers, beispielsweise durch einen Angriff auf industrielle Steuerungssysteme, um die Produktion von Gütern zu unterbrechen oder zu verzögern und eventuell eine gesamte Lieferkette zu gefährden. Hat das Unternehmen keine adäquate Möglichkeit zu überprüfen, ob wichtige Daten legitim sind, kann dies zudem das Vertrauen im Unternehmen von innen heraus zersetzen.

Bild: Digital Guardian

Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian

Die verborgene Bedrohung: Beispiele für Cyber-Sabotage

Der Autohersteller Tesla verklagte 2018 einen ehemaligen Mitarbeiter, der laut CEO Elon Musk vertrauliche Daten und Geschäftsgeheimnisse gestohlen habe, weil ihm eine Beförderung versagt worden sei. Der Mitarbeiter soll nicht nur Gigabyte an vertraulichen Daten exportiert haben, sondern auch in einem Akt der Sabotage unter falschen Benutzernamen Änderungen am Tesla Manufacturing Operating System vorgenommen haben – dem Satz grundlegender Befehle für die Fertigungslinien von Tesla.

Datenmanipulation ist ein beliebtes Mittel für Cyberkriminelle, weil sie schwer zu erkennen ist. Diese Angriffe werden häufig von böswilligen Insidern durchgeführt, die einen privilegierten Zugang zu kritischen Daten haben. Wenn ein Insider beispielsweise Zugriff auf Baupläne für eine neue Produktionsstätte bekommt, kann er unauffällige Änderungen vornehmen, die systematische Fehlfunktionen in der Produktion auslösen. Ein solcher Angriff kann letztendlich dazu führen, dass ein Unternehmen aus dem Geschäft ausscheidet und einem Konkurrenten die Möglichkeit gibt, Marktanteile zu übernehmen. Wenn der Täter ein scheinbar vertrauenswürdiger Insider ist, ist es umso schwieriger, ihn aufzuspüren.

Im Zuge der zunehmenden Digitalisierung im Gesundheitsbereich werden auch Krankenhäuser und Pflegeeinrichtungen immer verwundbarer. Falls es einem Angreifer gelingt, eine Manipulationsattacke auf Patienteninformationen durchzuführen und kritische Daten wie etwa Arzneimitteldosierungen zu ändern, kann dies dramatische Folgen haben.

Maßnahmen gegen Datenmanipulationen

Für IT-Teams ist es eine Herausforderung festzustellen, wann ein Angreifer nur kleine Veränderungen an Daten vornimmt und anschließend den Tatort unbemerkt verlässt. Doch Anomalien in Systemprotokollen, Änderungen an Dateien zu verdächtigen Zeiten und Alarme bei Bedrohungssignaturen, um verdächtiges und bösartiges Verhalten zu erkennen, können verräterische Anzeichen einer Datenmanipulation sein.

Um diese Art Angriffe zu bekämpfen, müssen Unternehmen sicherstellen, dass sie über eine Endpunkttransparenz in ihren IT-Systemen verfügen. Dringt ein Angreifer erfolgreich in ein Netzwerk ein, muss er sich horizontal durch die Umgebung bewegen, um die Daten zu finden, nach denen er sucht. Für Sicherheitsteams ist es von entscheidender Bedeutung, die Spuren forensisch verfolgen zu können, um solche Aktivitäten zu erkennen. Im Folgenden vier Tipps, um sich gegen Datenmanipulation zu schützen:

• Das Angreiferverhalten besser verstehen: Das MITRE ATT&CK Framework, eine kontinuierlich wachsende Online-Wissenssammlung gegnerischer TTPs (Tactics, Techniques and Procedures) sowie Verhaltensweisen beschreibt sehr detailliert jede Phase eines Cyberangriffs und die besten Methoden zur Erkennung und Abschwächung jeder Technik. Dieses Framework kann Sicherheitsexperten sehr bei ihrer Arbeit unterstützen.
• Einblick in Endpunkte: Zwar stehlen Angreifer bei Datenmanipulationsangriffen auf den Endpunkt nicht unbedingt Daten, jedoch profitieren Unternehmen von Technologien zur Endpoint Detection and Response, indem sie einen besseren Einblick in das Verhalten an Endpunkten sowie in die Datenbewegung bekommen.
• Überwachung der Dateiintegrität: Unternehmen können zudem Lösungen zur Überwachung der Dateiintegrität verwenden, um Echtzeitänderungen an Dateien, Ordnern und anderen Einstellungen zu identifizieren und zu verfolgen.
• Aktivitätenprotokollierung: Auch die Protokollierung von Aktivitäten kann bei der Abwehr von Datenmanipulationsangriffen helfen. Jedoch müssen IT-Teams interne Kontrollen entwickeln, um diese Informationen zu überprüfen und sicherzustellen, dass sie ständig die von ihrer Umgebung erzeugten Protokolle auswerten.

Datenmanipulation kann massive Auswirkungen haben und unter Umständen zu erheblichen Störungen in einem Unternehmen führen. Die Vorbereitung auf diese Angriffe durch einen mehrschichtigen Ansatz aus Technologien und Best Practices ist jedoch der erste Schritt, um die möglichen Folgen eines Angriffs aktiv zu verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken

datensicherheit.de, 27.05.2019
Cyber-Hygiene: Grundstein der IT-Security

datensicherheit.de, 30.04.2019
Sensible Daten aufspüren und schützen

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks

datensicherheit.de, 05.11.2018
Willkommen im Botnet: Über die Unsicherheit der Dinge

datensicherheit.de, 02.10.2018
Schatten-IT: Einfallstor für Datendiebe, Cryptojacking und Malware-Angriffe

datensicherheit.de, 09.09.2018
Cyber-Erpressung auf Bestellung

datensicherheit.de, 14.08.2018
Echtzeit-Identifizierung von Daten-Sicherheitsrisiken

datensicherheit.de, 30.07.2018
Polymorphe Malware: Wandlungsfähigkeit kombiniert mit hohem Schadenspotential

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit,de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 07.06.2019] Spionage, Datendiebstahl, Sabotage: Die deutsche Industrie leidet unter Cyberattacken. Deutschen Unternehmen ist in den Jahren 2016 und 2017 ein Schaden von 43 Milliarden Euro durch Datenspionage und Sabotage entstanden. Das bezifferte der Branchenverband BITKOM in seinem Report im letzten Jahr. Besonders kleine und mittlere Unternehmen waren nach Angaben der BITKOM von den Angriffen betroffen; die Zahl der Phishing-Attacken ist dabei stark gewachsen.

Unternehmen benötigen immer länger um Angriffe zu erkennen und abzuwehren

Laut der Studie „Annual Cost of Cybercrime 2019“ des Beratungshauses Accenture benötigen Unternehmen jedoch immer länger, um Angriffe zu erkennen und abzuwehren und verlieren dadurch mehr Geld. Demnach verändern sich die heutigen Cyberangriffe auf vielfältige Weise: von den Unternehmen, die im Visier der Kriminellen sind, über Angriffstechniken, bis hin zu den Arten von Schäden, die sie anrichten. Im letzten Jahr gab es laut der Studie durchschnittlich 145 Sicherheitsverletzungen, die in die Kernnetze der Unternehmenssysteme eingedrungen sind. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. Und nicht nur die Zahl der Angriffe selbst steigen, sondern auch die Kosten. Der Studie zufolge belaufen sich diese im Schnitt auf ca. 13 Millionen Dollar pro Unternehmen. Das sind 1,4 Millionen Dollar Zusatzkosten gegenüber dem Jahr 2018.

Die Kosten berücksichtigen auch die Maßnahmen, die betroffenen Unternehmen auf sich nehmen, um einen Datenverstoß über einen Zeitraum von vier Wochen zu finden, zu untersuchen und einzudämmen. Nach USA und Japan folgen deutsche Unternehmen mit den dritthöchsten Schadenssummen von 13,1 Millionen US-Dollar.

Datendiebstahl am schnellsten wachsendes Risiko der Cyberkriminalität

Der Datendiebstahl ist das kostspieligste und am schnellsten wachsende Risiko der Cyberkriminalität. Nicht zuletzt auch aufgrund der DSGVO-Bußgelder bei Verstößen. Aber Daten sind nicht das Einzige, das Kriminelle interessiert. Dem Accenture-Bericht zufolge sind zunehmend geschäftskritische Dienste und Industriesysteme (Fertigungs-, Steuerungs- und Gebäudetechnologie) im Visier der Kriminellen. Gerade durch das Internet der Dinge, Sensorik und zunehmende Vernetzung steigen die Risiken. So können DDoS-Angriffe stundenlang Online-Dienste nachhaltig stören oder Unternehmen zum Stillstand bringen. Obwohl Daten ein wichtiges Ziel sind, wollen Cyberkriminelle nicht nur stehlen. Es gibt einen Trend, Daten nicht einfach zu kopieren, sondern diese zu manipulieren, so dass sie entweder ruiniert oder nicht mehr vertrauenswürdig sind. Die Integrität der Daten zu beeinträchtigen rückt in den Mittelpunkt.

In der digitalen Welt spielt vor allem die Verfügbarkeit und Erreichbarkeit von Web-Diensten eine Schlüsselrolle. Wer zu lange benötigt, um Bedrohungen abzuwenden oder einen konkreten Angriff abzuwehren, kann bestraft werden.

CIAM unterstützt Unternehmensziele

Angesichts der Kosten- und Reputationsschäden, die IT-Sicherheitsverletzungen verursachen, besitzen Unternehmen jedoch gute Möglichkeiten, Beziehungen zu den Verbrauchern bzw. ihren Kunden zu verbessern. Der Einsatz von Kunden-Identitätslösungen fördert den Vertrauensaufbau und erhöht die Chance, dass Geschäftsziele erreicht werden. Gerade die Sicherstellung der Kundendaten hat höchste Geschäftspriorität. Unternehmen können sich so von ihren Mitbewerbern differenzieren.

Viele Verbraucher sind besorgt, dass ihre digitalen Identitäten online ausgetauscht werden und die Informationen von verschiedenen Unternehmen genutzt werden. Wenn Verbraucher wählen könnten, würden sie lieber weniger teilen. Das sollte Unternehmen beunruhigen, da sie auf Verbraucherdaten angewiesen sind, um zum Beispiel Geschäftsentscheidungen zu treffen. Unternehmen müssen diese Bedenken berücksichtigen und sich darauf konzentrieren, Vertrauen und Markentreue aufzubauen, indem sie den Verbrauchern mehr Transparenz und Kontrolle darüber geben, wie sie ihre Daten sammeln, verwalten und weitergeben.

„Lean in to consent“ ist deshalb eine vertrauensbildende Option. Es ist eine von sechs gesetzlichen Grundlagen für die Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die Zustimmung der Verbraucher gibt einem Unternehmen verschiedene Freiheiten und Verantwortlichkeiten und ist die Grundlage für den Aufbau vertrauenswürdiger, transparenter digitaler Beziehungen.

In einer von ForgeRock in Auftrag gegebene Studie von Forrester Consulting von Ende 2018 sagten die Befragten, dass Customer Identity and Access Management (CIAM) die Datenschutzhürden überwindet, indem es sicherstellt, dass die Datenerhebung strikt innerhalb der Grenzen der Einwilligungsrichtlinien erfolgt. Die meisten der Befragten gaben an, dass CIAM ihnen dabei hilft, die Kundenidentitäten und -daten besser zu schützen und Erkenntnisse aus den von ihnen gesammelten Kundendaten zu gewinnen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.09.2018
Studie: KI und IoT sind Herausforderungen für den Datenschutz

datensicherheit.de, 19.09.2018
Airlock: Neuer Leitfaden „IAM-Projekte erfolgreich umsetzen“ vorgestellt

datensicherheit.de, 31.08.2018
Venafi-Studie offenbart Nachholbedarf beim Schutz von Maschinenidentitäten

datensicherheit.de, 07.08.2018
Sicherer Umgang mit Zugriffsrechten

[datensicherheit.de, 21.11.2018] Blickt man zurück auf das Jahr 2018 so erinnert man sich aus der IT Sicht vor allem an spektakuläre Datenskandale oder schwerwiegende Systemausfälle. Komplexe Cyberangriffe, Spionage, Sabotage und Datendiebstahl gehören im industriellen Umfeld mittlerweile zu den größten Bedrohungen und verursachen Schäden in Milliardenhöhe. Dem Thema IT-Sicherheit wird folglich auch 2019 erneut eine extrem hohe Bedeutung zugeschrieben. Die Business-IT-Spezialisten von Micro Focus haben die wichtigsten Trendthemen im Bereich IT für das kommende Jahr identifiziert.

1. Hybrid IT – Zeit für mehr Pragmatismus
   Derek Britton, Director Product Marketing CDMS bei Micro Focus geht davon aus, dass in 2019 mehr IT-Teams für ihre IT-Services einen pragmatischeren und auch durchdachteren Ansatz verfolgen werden. Eine stetig steigende Nachfrage für neue Dienste sowie eine immer komplexer und agiler werdende hybride IT-Welt stellen IT-Führungskräfte vor eine Herausforderung: Die Bedürfnisse der digitalen Transformation erfüllen und den Wandel innerhalb der IT zu meistern. Gerade die Modernisierung großer IT Infrastrukturen ist jedoch mit einem gewissen Risiko, hohen Kosten und einem beträchtlichen Aufwand behaftet. IT-Führungskräfte sollten daher prüfen, wie bereits vorhandene IT wirksam weiterhin genutzt und verbessert werden kann. Möglich ist dies nur mit einem ganzheitlichen Blick auf das gesamte hybride IT-Ökosystem – vom Mainframe bis hin zum Smartphone nebst allen dazwischenliegenden Komponenten. Dabei aber der Maxime folgend, nur die bestehenden Anwendungen, Prozesse oder zugrundeliegende Infrastruktur zu verändern, die den größten ROI bei gleichzeitig geringstem Risiko versprechen.
2. Enterprise DevOps – DevOps werden zum Standard im Unternehmen
   Mark Levy, Director of Strategy bei Micro Focus erwartet, dass DevOps im kommenden Jahr endgültig zum Standard im Unternehmen werden. Entgegen aller Prognosen befindet sich eine Vielzahl der Unternehmen immer noch am Anfang der Umsetzung von DevOps-Praktiken. Nach wie vor arbeiten die verschiedenen Teams (Entwicklung und operativer Betrieb) abgeschottet voneinander. Dabei haben die „Early Adopters“ von Enterprise DevOps bereits bewiesen, dass die digitale Transformation in Unternehmen durch DevOps durchaus beschleunigt wird. Wachsender Wettbewerbsdrucks gepaart mit der Forderung, digitale Transformationsprojekte zu beschleunigen, erfordern schnellen Handlungsbedarf. Auch die Unternehmens-IT muss mit weniger Aufwand immer mehr erreichen – daher werden CIOs und IT-Führungskräfte gezwungen sein, den Einsatz von Enterprise DevOps Praktiken zu unterstützen und zu standardisieren, alleine schon um nicht abgehängt zu werden.
3. Predictive Analytics – Von Forschungsprojekt zu marktreifem KI-Werkzeug
   Joy King, Micro Focus Vice President Vertica Product Marketing erwartet für 2019 Verbesserungen für Machine Learning (ML) in Datenbanken. Nahezu jedes Unternehmen arbeitet bereits mit Machine-Learning-Projekten, jedoch nutzen die meisten dieser ML-Modelle Spezial-Plattformen, die nur auf eine Teilmenge der für die Geschäftsziele relevanten Daten zugreift. Im kommenden Jahr werden smarte und innovative Unternehmen damit beginnen, Hochleistungs-Analytics und Machine-Learning direkt in Datenbanken zu integrieren, anstatt die Daten zu den ML-Plattformen zu verschieben. In der Folge lassen sich Ergebnisse genauer vorhersagen und auch beeinflussen – äußerst sinnvoll beispielweise im Bereich der vorbeugenden Instandhaltung von Medizinprodukten. Auch vorausschauende Umsatzprognosen basierend auf einer Kundenanalyse sind dann ebenso möglich wie eine proaktive Betrugserkennung nebst entsprechender Prävention.
4. Big Data und ML – Dynamische intelligente Informationserkennung dank KI
   Ken Muir, Micro Focus Vice President und General Manager von IDOL, erwartet eine signifikante Weiterentwicklung bei der intelligenten Informationserkennung, wobei Systeme lernen werden, selbstständig neue Datenquellen aufzuspüren. Heutige analytische Plattformen sind in der Informationserkennung insofern limitiert, als dass nur Daten entdeckt werden können, die zuvor genau spezifiziert und angereichert wurden. Es sind jedoch noch viele Daten außerhalb dieser Parameter vorhanden, die derzeit nicht berücksichtigt werden. Um diese zu nutzen, werden Plattformen für die Datenanalyse zunehmend dynamisch, indem sie sämtliche Datenadern aus praktisch jeder Datenquelle wirksam aufspüren und in Echtzeit nutzen werden. Dies wird die Qualität und Quantität der relevanten Business Intelligence deutlich verbessern.
5. Security – Fake Code ist das neue Fake News
   Michael Angelo, Micro Focus Security Strategist, prognostiziert für 2019 öffentliche Repositories als neuen Angriffsvektor für die Verteilung von Malware und fehlerhaften Code. Schon heute spielen in vielen Unternehmen Repositories eine zentrale Rolle z.B. bei der automatischen Verteilung und Aktualisierung von Software, Produkten und anderen Komponenten. Während Speicherung und Upload-Mechanismen dabei genau festgelegt sind, gibt es hingegen kaum Sicherheitsstandards oder geeignete Sicherheitsvorkehrungen zum Schutz vor unerwünschtem Zugang. Bei einem kompromittierten öffentlichen Repository kann Malware in verschiedenen Paketen oder Komponenten nahezu unbemerkt dort platziert werden. Der Schadcode wird folglich dann von allen Benutzern des Verzeichnisses heruntergeladen und infiziert somit eine Vielzahl von Systemen.

Fazit

Auch im kommenden Jahr wird es wichtig sein, die Potenziale auszuschöpfen, die sich den Unternehmen durch die fortschreitende Digitalisierung bieten und gleicheizeitig die sich hieraus ergebenden Risiken zu erkennen und bereits präventiv geeignete ganzheitliche Sicherheitsmaßnahmen zu ergreifen.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2018
IT-Sicherheit: Prognose für 2019

datensicherheit.de, 18.09.2018
Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

7 von 10 Industrieunternehmen wurden Opfer von Sabotage, Datendiebstahl oder Spionage in den vergangenen zwei Jahren

[datensicherheit.de, 14.09.2018] Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie in Berlin. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“ So wurden in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (32 Prozent) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (23 Prozent) sind sensible digitale Daten abgeflossen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV).

Bild: Bitkom

Umfrage: Attacken auf deutsche Industrieunternehmen

Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen (19 Prozent) berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei 11 Prozent wurde die digitale Kommunikation ausgespäht, beispielweise E-Mails oder Messenger-Dienste. Insgesamt haben digitale IT-Angriffe bei fast der Hälfte der Befragten (47 Prozent) einen Schaden verursacht. Klassische analoge Attacken sind für die Industrie auch ein Thema, fallen aber vergleichsweise weniger ins Gewicht. 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt, bei 10 Prozent kam es in den vergangenen zwei Jahren zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen, z.B. durch die Manipulation von Geräten vor Ort in Unternehmen. Dazu BfV-Vizepräsident Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten.“

Kritische Unternehmensdaten im Visier von Angreifern

Angreifer haben im Rahmen ihrer Attacken unterschiedlich sensible Daten erbeutet. Bei fast der Hälfte (48 Prozent) der betroffenen Industrieunternehmen wurden Kommunikationsdaten wie Emails gestohlen. Bei jedem fünften Unternehmen sind durch digitale Angriffe jeweils Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) abgeflossen. Patente und Ergebnisse aus Forschung und Entwicklung sind bei jedem zehnten Unternehmen (10 Prozent) in kriminelle Hände gefallen. „Viele Unternehmen nehmen das Thema Sicherheit noch zu sehr auf die leichte Schulter, auch weil ihnen das entsprechende Know-how fehlt“, so Berg. „Erster und wichtigster Schritt ist, IT-Sicherheit im Unternehmen zur Chefsache zu machen.“

Dabei stammen die Täter häufig aus den eigenen Reihen. Bei fast zwei Drittel der Betroffenen (63 Prozent) gingen Delikte von ehemaligen oder derzeitigen Mitarbeitern aus. Die Hälfte der geschädigten Unternehmen (48 Prozent) hat Kunden, Lieferanten, externe Dienstleister oder Wettbewerber als Täter identifiziert. Bei drei von zehn (29 Prozent) waren es Privatpersonen oder Hobbyhacker, 17 Prozent der Betroffenen berichten von organisierter Kriminalität, jedes neunte betroffene Unternehmen (11 Prozent) gibt ausländische Nachrichtendienste als Täter an.

Aufmerksame Mitarbeiter als effektivster Schutz

Mitarbeiter sind es, die auf der anderen Seite aber auch dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Sechs von zehn betroffenen Industrieunternehmen (61 Prozent) sind so erstmalig auf Angriffe aufmerksam geworden. 40 Prozent der Betroffenen erhielten Hinweise auf Angriffe durch eigene Sicherheitssysteme, bei fast einem Viertel (23 Prozent) war es hingegen reiner Zufall. Nur bei 3 Prozent der Unternehmen gingen erste Hinweise auf Delikte durch externe Strafverfolgungs- oder Aufsichtsbehörden ein. „Der effektivste Schutz vor Spionage, Diebstahl oder Sabotage sind motivierte, gut geschulte und aufmerksame Mitarbeiter“, sagte Berg.

Künftige Bedrohungen sehen Unternehmen vor allem durch digitale Angriffe. Nahezu alle Befragten (97 Prozent) nennen sogenannte Zero-Day-Exploits als größte Gefahr. Dabei nutzen Angreifer Sicherheitslücken in Software aus, die bis dahin unbekannt waren. 93 Prozent fürchten die Infizierung mit Schadsoftware, zwei Drittel (68 Prozent) geben den Mangel an qualifizierten IT-Sicherheitskräften als Bedrohung an. Die zunehmende Fluktuation von Mitarbeitern ist für 58 Prozent der Unternehmen ein Risiko. Dass Kriminelle die Rechenleistungen von Internetnutzern anzapfen, etwa zum unbemerkten Schürfen von Kryptowährungen, nehmen hingegen nur 29 Prozent der Unternehmen als echte Gefahr wahr.

Weitere Informationen zum Thema:

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

Ein ehemaliger Mitarbeiter soll mehrere Gigabyte interner Daten an Dritte weitergegeben haben

[datensicherheit.de, 23.06.2018] Mehrere Gigabyte interner Daten soll ein ehemaliger Mitarbeiter von Tesla an Dritte weitergegeben und damit einen enormen Schaden beim US-amerikanischen Automobilhersteller verursacht haben. Darüber hinaus stehe auch der Vorwurf „gezielter Sabotage“ im Raum. „Als mögliches Motiv gilt Unmut über eine nicht erfolgte Beförderung“, so Thomas Ehrlich, „Country Manager DACH“ bei Varonis, in seinem Kommentar.

Geistiges Eigentum schützen!

Dieser Vorfall verdeutliche, dass – gerade bei einem Hochtechnologieunternehmen wie Tesla – eine stärkere technologische Kontrolle hätte vorhanden sein müssen. Unzufriedene Mitarbeiter könne es immer geben – und es sei eine Sache, dass diese dann versuchen, dem Unternehmen zu schaden und Systeme und Dateien durchstöbern. Eine andere Sache (und damit ein echtes Problem) sei es, wenn es ihnen tatsächlich gelingt und sie Daten entwenden können.
Unternehmen, die über kostbares Geistiges Eigentum verfügen, müssten alles daransetzen, dieses zu schützen – sowohl vor externen als auch internen Bedrohungen. Ehrlich: „Sie müssen sicherstellen, dass diese Personen nicht sehr weit kommen, wenn sie versuchen, auf proprietären Code und andere wertvolle Informationen zuzugreifen.“

Foto: Varonis Systems, Inc.

Thomas Ehrlich: Geistiges Eigentum wie eine Goldmine schützen!

Restriktive Zugriffsrechte und intelligente Nutzerverhaltensanalyse!

Der Fall Tesla biete zwei gleichermaßen beängstigende Szenarien: Die Exfiltration von wertvollem Geistigen Eigentum und die Veränderung von kritischen Informationen, in diesem Fall Code für die Produktion. Tesla stehe als technischer Innovator im Rampenlicht und müsse sein Geistiges Eigentum „wie eine Goldmine schützen“.
Ehrlich: „Erst kürzlich zeigte eine Untersuchung, dass in 41 Prozent der Unternehmen mindestens 1.000 Dateien für alle Mitarbeiter zugänglich waren, darunter eben auch hochsensible. Unternehmen wenden enorm viel Zeit und Geld für die Erstellung dieser Daten auf, jedoch kaum für ihren Schutz! Niemand käme auf die Idee, das brandneue Produkt seinen Führungskräften in aller Öffentlichkeit vorzustellen.“
Das Gleiche müsse auch für Daten gelten: Sie müssten wirksam vor neugierigen und feindseligen Angreifern geschützt werden, etwa durch restriktive Zugriffsrechte und intelligente Nutzerverhaltensanalyse (UBA) – auch wenn diese aus dem eigenen Unternehmen kämen.

Weitere Informationen zum Thema:

VARONIS DATA
UNDER ATTACK: 2018 Global Data Risk Report

datensicherheit.de, 08.04.2018
In vielen Unternehmen potenziell gefährliche Zugriffsmöglichkeiten auf Daten

datensicherheit.de, 01.03.2018
Daten als wertvollstes Asset müssen ins Zentrum der Sicherheitsstrategie gestellt werden

[datensicherheit.de, 12.05.2016] Das Know-how von Unternehmen und Organisationen in Deutschland findet weltweit viele Interessenten – das Spektrum reicht von fremden Nachrichtendiensten, über Wettbewerber bis hin zu kriminellen oder terroristischen Gruppierungen. Der Informationstag „Wirtschaftsspionage“ am 1. Juni 2016 in Köln soll mit den wichtigsten Informationen rund um das aktuell vieldiskutierte Thema eine zuverlässige Basis für Entscheidungen und Investitionen schaffen.

Globaler Wettbewerb stärkt Wirtschaftsspionage, Sabotage und Datendiebstahl

Wirtschaftsspionage, Sabotage und Datendiebstahl sind fester Bestandteil des immer intensiveren, globalen Wettbewerbs um Märkte und Innovationen. Dabei steht nicht nur der vielzitierte technologieorientierte und innovative Mittelstand im Fokus, sondern auch Großunternehmen, die öffentliche Verwaltung und Unternehmen der kritischen Infrastruktur sind betroffen.

Themenüberblick (ohne Gewähr):

• „Wirtschaftsspionage – Exotische Ausnahme oder Normalfall?“
• „Erpressungstrojanern keine Chance – Wirkungsvolle Strategien für mehr Sicherheit“
• „Vertrauen ist gut – Made in Germany ist besser: 3 Praxisbeispiele für zuverlässigen Schutz gegen Manipulation und Spionage“
• „Gelegenheit macht Diebe – welche Unternehmen sind Hauptziel von Angriffen?“
• „Im Visier von Hackern: Wie funktionieren zielgerichtete Attacken und wie erkennen Unternehmen, dass sie gehackt wurden?“
• „,Erstens kommt es anders …‘ – wie sich die Bedrohungslage verändert hat“
• „Eisberg in Sicht – Volle Kraft voraus! – Warum die größten Gefahrenoft unsichtbar sind“

Die Moderation übernimmt Bernd Hoeck, ein freier Journalist und Analyst.
Die Teilnahme ist kostenpflichtig.

Weitere Informationen zum Thema:

DATAKONTEXT
Infotag Wirtschaftsspionage

[datensicherheit.de, 26.04.2016] Der Digitalverband bitkom begrüßt und unterstützt nach eigenen Angaben die am 26. April 2016 in Berlin vorgestellte „Nationale Wirtschaftsschutzstrategie“. Deren Ziel sei ein besserer Schutz vor Wirtschaftsspionage und Sabotage. Dafür sei eine weitreichende Kooperation der Spitzenverbände der Wirtschaft mit den Sicherheitsbehörden vereinbart worden.

Spitzenverbänden der Wirtschaft engagieren sich

Webseiten mit Praxistipps, Aufklärungskampagnen und Schulungen sollen demnach vor allem in kleinen und mittelständischen Unternehmen dazu beitragen, die Sicherheitsstandards zu erhöhen.
Viele Angriffe auf Unternehmen erfolgten heute über das Internet oder auf anderen digitalen Wegen, so Cornelius Kopke, „Bereichsleiter Wirtschaftsschutz und öffentliche Sicherheit“ beim bitkom. Der digitale Wirtschaftsschutz sollte einen Schwerpunkt der Initiative bilden. Der bitkom möchte demnächst unter anderem kostenlose Online-Kurse zum Thema „Wirtschaftsschutz“ anbieten. Neben den Spitzenverbänden BDI und DIHK seien verschiedene Sicherheitsbehörden an der Initiative beteiligt, darunter der Verfassungsschutz, das Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik.

Über die Hälfte der deutschen Unternehmen bereits angegriffen

Laut einer bitkom-Studie soll gut die Hälfte (51 Prozent) aller Unternehmen in Deutschland von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen sein. Dabei entstünden Schäden in Höhe von rund 50 Milliarden Euro pro Jahr. Besonders im Fokus stehe die innovative deutsche Industrie – dies habe eine auf der „Hannover Messe“ vorgestellte bitkom-Umfrage gezeigt. Demnach sind im produzierenden Gewerbe in den vergangenen zwei Jahren sogar 69 Prozent aller Unternehmen angegriffen worden. Für diese repräsentative Umfrage durch Bitkom Research seien 1.074 Unternehmen aller Branchen sowie 504 Industrieunternehmen ab zehn Mitarbeitern befragt worden, die Interviews seien mit Führungskräften durchgeführt worden, die für den Schutz ihres Unternehmens verantwortlich sind.
Die zunehmende Vernetzung in der Industrie 4.0 berge Chancen, aber auch Risiken für Unternehmen. Neben dem Know-how-Abfluss durch Spionage rücke das Thema Sabotage immer mehr in den Fokus, erklärt Kopke.

Arbeitskreis Wirtschaftsschutz beim bitkom

Beim bitkom werden die Aktivitäten der digitalen Wirtschaft in einem „Arbeitskreis Wirtschaftsschutz“ gebündelt. Eine Studienreihe mit regelmäßigen repräsentativen Umfragen soll hierzu mehr Informationen liefern. Mit dem Bundesamt für Verfassungsschutz hat der bitkom auf der „CeBIT“ eine strategische Partnerschaft begründet.

[datensicherheit.de, 30.06.2014] Die Hackergruppe Dragonfly führte seit 2013 gezielt Spionage-Attacken gegen Energieunternehmen in verschiedenen westlichen Ländern aus. So waren unter anderem Stromerzeuger, Pipeline-Betreiber sowie spezielle Ausrüster für den Energie-Bereich aus Deutschland, Spanien, USA, Frankreich, Italien, Türkei, Polen, Griechenland, Serbien und Rumänien Zielscheibe „der Libelle“.

Wie die Symantec-Mitarbeiter feststellten, sollten die Attacken vor allem die entsprechenden Unternehmen ausspionieren, um mit Hilfe der so erlangten Informationen letztlich gezielt Sabotage zu betreiben. Die Gruppe ist vermutlich in Osteuropa ansässig. Zudem gebe es Hinweise, dass die Hacker im Auftrag einer Regierung agierten.

Die Angriffe wurden von den Hackern gezielt über Lösungen von Drittanbietern bzw. Zulieferern ausgeführt: Ähnlich wie bei Stuxnet konzentrierte man sich darauf, Software von Herstellern industrieller Steuerungssysteme (Industrial Control System, kurz ICS), die im Energie-Sektor häufig zum Einsatz kommen, mit einem speziellen Trojaner zu infiltrieren. Über Softwareaktualisierungen der entsprechenden Steuerungssysteme wurde so Schadcode eingeschleust und die Hacker erhielten Zugriff auf die Netzwerke. Die Attacken wurden meist über einen längeren Zeitraum ausgeführt, um möglichst viele Informationen auszuspionieren.

Daneben setzten die Hacker auch (Spear-) Phishing Mails an ausgewählte Mitarbeiter in Unternehmen ein sowie sogenannte Waterhole Attacks: Hierbei wurden z. B. Webseiten mit Schadcode infiziert, die vornehmlich von Experten aus dem Energie-Bereich besucht werden, um sich über die Schadcodeinfektion einen „Zugang“ zu den anvisierten Unternehmen zu verschaffen.

„9 to 5 Job“

Die Gruppe scheint ausgesprochen professionell organisiert zu sein und agiert bereits seit etwa 2011. Bevor sich die Hacker auf den Energie-Sektor der westlichen Hemisphäre konzentrierten, arbeiteten sie vor allem an der Spionage von Verteidigungsorganisationen und Luftfahrt-Unternehmen in den USA und Kanada. Erst 2013 konzentrierte sich die Gruppe auf den europäischen und amerikanischen Energie-Bereich.

Die Hacker nutzen vor allem Schadcode, der den Fern-Zugriff auf Systeme zulässt (sogenannte Remote Access Tools/RATs). Ist der Schadcode einmal auf dem Computer, ermöglicht er das Auslesen von System-Informationen, erstellt Listen von gespeicherten Dokumenten und sammelt u. a. Adressen aus Outlook oder Transferdaten von VPN-Verbindungen. Diese ausgespähten Daten werden dann verschlüsselt an den Command & Control Server gesendet, der von den Hackern kontrolliert wird. Es ist davon auszugehen, dass die Schadcodes entweder von der Gruppe selbst oder speziell für die Hackergruppe erstellt wurden.

Kurioserweise sei die Hackergruppe wie „normale Werktätige“ montags bis freitags zwischen 9:00 Uhr morgens und 18:00 Uhr abends aktiv.

Weutere Informationen zum Thema:

Symantec Connect
Dragonfly: Western Energy Companies Under Sabotage Threat

datensicherheit.de, 16.04.2013
Symantec Sicherheitsbericht: Cyber-Spionage auf dem Vormarsch

[datensicherheit.de, 15.10.2013] Der zweite Cyber Security Summit tagt am 11. November 2013 in Bonn. Ziel der Veranstaltung: Top-Manager deutscher Konzerne und Spitzenpolitiker tauschen sich über die Gefährdungslage für Wirtschaft, Politik und Gesellschaft aus und geben neue Impulse für eine vernetzte digitale Gefahrenabwehr. Bundesinnenminister Dr. Hans-Peter Friedrich hat seine Teilnahme zugesagt und wird eine Grundsatzrede halten. Howard A. Schmidt, ehemaliger Cybersicherheitsberater von Barack Obama, wird die Eröffnungsansprache halten. Neben der Zusage der österreichischen Innenministerin Mag. Johanna Mikl-Leitner haben weitere internationale Redner ihr Kommen angedeutet.

Die Resonanz auf den Gipfel ist bereits hoch: Mehr als 90 Unternehmenschefs und Politiker haben schon zugesagt. In diesem Jahr konzentriert sich der Cyber Security Summit auf die Themenfelder Spionage und Sabotage, den Ordnungsrahmen auf nationaler und internationaler Ebene sowie auf konkrete Sicherheitslösungen.

Neben Impulsreferaten zu aktuellen Fragestellungen des Themas diskutieren die Teilnehmer in Arbeitsgruppen über Cybersicherheit als Standortfaktor und Garant für Innovation mit dem Ziel, gemeinsame Handlungsfelder zu definieren und Ideen für eine vernetzte digitale Gefahrenabwehr zu setzen. Konkrete Ergebnisse sollen als Abschluss-Kommuniqué veröffentlicht werden.

Weitere Informationen zum Thema unter

www.cybersecuritysummit.de
2. Cyber Security Summit