Cybersecurity Trends 2018 - Cybersecurity in einer zunehmend digitalen Welt - www.tuv.com/informationssicherheit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cybersecurity Trends 2018 Cybersecurity in einer zunehmend digitalen Welt. www.tuv.com/informationssicherheit
Inhalt
03 Grußwort
04 Zusammenfassung
06 Trend 1: Durch die wachsende Anzahl an globalen
Regulierungen im Cyber-Umfeld steigt der Preis
um die Privatsphäre zu schützen
08 Trend 2: Das Internet of Things (IoT) treibt das
Zusammenspiel von Sicherheit, Cybersecurity
und Datenschutz voran
10 Trend 3: Operational Technology (OT) als
Angriffspunkt für Cyber-Attacken
13 Trend 4: Wenn Abwehrmechanismen für Cyber-
Angriffe vorhanden sind, verlagert sich die
Fokussierung auf die Erkennung von Bedrohungen
und angemessene Reaktionen
15 Trend 5: Zunehmende Nutzung von Künstlicher
Intelligenz (KI) für Cyber-Attacken und -Abwehr
17 Trend 6: Zertifizierungen werden wichtig, um
das Vertrauen in Cybersecurity zu stärken
19 Trend 7: Ablösung der Kennwörter durch
biometrische Authentifizierung
21 Trend 8: Ausgewählte Branchen im Visier der
Angreifer: Gesundheitswesen, Finanzdienst-
Bildnachweise Cybersecurity-Trends 2018 (c)
leistungen und Energieversorgung
TÜV Rheinland. Alle Rechte vorbehalten. Verantwortlich
im Sinne des Pressegesetzes sowie des Dienste-
anbieters gemäß § 6 des Medienvertrages und
§ 6 des Teledienstgesetzes ist der Betreiber der Web-
site, TÜV Rheinland. Stefanie Ott, Business Officer
Marketing, ICT & Business Solutions, TÜV Rheinland.
Bildnachweise: S. 1: iStock- © MarsYu;
S. 3: TÜV Rheinland; S. 5: TÜV Rheinland - © Thomas
Ernsting; S. 6: GettyImages - © IR_Stone;
S. 7: © TÜV Rheinland; S. 09: © TÜV Rheinland;
S.10: TÜV Rheinland; S. 11: iStock- © chombosan;
S. 14: © TÜV Rheinland; S. 15: © TÜV Rheinland;
S. 18: TÜV Rheinland; iStock- © imaginima;
S. 19: © TÜV Rheinland; S. 20: iStock- © hanieriani;
S. 22: iStock- © sanjeri; S. 23: © TÜV Rheinland.
C Y B E R S E C U R I T Y T R E N D S 2 01 8 03
Liebe Leserinnen, liebe Leser,
in den vergangenen Monaten ist ein dramatischer Anstieg des Volumens, der Komplexität und der Raffinesse von Cyber-
Angriffen zu verzeichnen. Es war ein Jahr, in dem nichts sicher schien und in dem Cyber-Attacken auch die Verwundbarkeit
unserer persönlichen Daten deutlich machten. Eine Entwicklung, auf die wir in unseren Cybersecurity Trends 2017 bereits
aufmerksam machten.
Im April tauchten über die bisher anonyme Gruppe „Shadow Brokers“ eine Reihe von Hacking-Tools auf, die im Verdacht
stehen, der US National Security Agency zu gehören. Im Juli stahlen Angreifer die persönlichen Daten von 145 Millionen
Menschen von Equifax. WannaCry und NotPetya Ransomware folgten und verbreiteten sich in über 150 Ländern, was zu
empfohlenen Lösegeldzahlungen von mehr als 2 Milliarden US-Dollar im Jahr 2017 führte. FedEx schrieb allein dem Not-
Petya-Angriff einen Verlust von 300 Millionen US-Dollar zu. Diese beiden, inzwischen berüchtigten, Ransomware Angriffe
nutzten die von Shadow Brokers durchgesickerte Schwachstelle aus.
In jüngster Zeit hat die Enthüllung von Nutzerprofilen von Facebook die weitreichenden Risiken aufgezeigt, die sich aus dem
Missbrauch unserer persönlichsten Informationen ergeben. Es scheint inzwischen einfacher denn je, Malware oder Ransom-
ware zu erstellen und damit auch Zugang zu persönlichen Daten zu erhalten. Während Unternehmen ihre digitale Transforma-
tion fortsetzen und wir „intelligente” Geräte in unser tägliches Leben integrieren, stellt Cyber-Kriminalität zunehmend eine
große Bedrohung für Wirtschaft und Gesellschaft dar.
In den Cybersecurity Trends 2018 stellen wir Ihnen vor, wo wir Bedrohungen
aber auch Chancen der digitalen Transformation sehen. Wir diskutieren die
Auswirkungen unserer zunehmend vernetzten Welt – welchen Einfluss globale
Regulierungen nehmen und die Notwendigkeit, Vertrauen in Cybersecurity
zu schaffen. Erfahren Sie, wie Sie sich vor „intelligenten” Cyber-Angriffen
schützen und was Sie tun können, um die Lücke zwischen dem Fach-
kräftemangel an Cybersecurity-Experten und der Fülle an schützenswerten
Daten zu schließen.
Wir freuen uns, den Dialog mit Ihnen über die spannenden und unumgäng-
lichen Themen in der IT-Sicherheit fortzusetzen.
BJÖRN HAAN, GESCHÄFTSFÜHRER IM GESCHÄFTSFELD
CY B E R S E C U R I T Y D E U T S C H L A N D, T Ü V R H E I N L A N D
www.tuv.com/informationssicherheit
C Y B E R S E C U R I T Y T R E N D S 2 01 8 04
Zusammenfassung
Cybersecurity in einer zunehmend digitalen Welt.
Mit welchen Herausforderungen müssen Unternehmen T R E N D 3 : O P E R AT I O N A L T E C H N O LO G Y A L S
in den nächsten Monaten umgehen, auf welche A N G R I F F S P U N K T F Ü R CY B E R - AT TAC K E N
Bedrohungen sollten sie vorbereitet sein? Das Industrial Internet sorgt bereits für eine Transformation
der globalen Industrie und Infrastruktur und verspricht mehr
T R E N D 1 : D U R C H D I E WAC H S E N D E A N Z A H L A N G LO B A- Effizienz, Produktivität und Sicherheit. Um im Wettbewerb zu
L E N R E G U L I E R U N G E N I M CY B E R - U M F E L D ST E I G T D E R bestehen, werden Prozessleittechnikgeräte mit der
P R E I S U M D I E P R I VAT S P H Ä R E Z U S C H Ü T Z E N Online-Welt verbunden, wodurch oftmals unbeabsichtigt
Datenschutz ist ein kritischer Aspekt in einer immer digitaler Komponenten, die Schwachstellen aufweisen, Cyber-
werdenden Welt. Der 25. Mai 2018 stellt einen entscheiden- Angriffen ausgesetzt werden. Fertigungsanlagen sind
den Wendepunkt für den Datenschutz in Europa dar. ebenfalls ein Angriffsziel, um an geistiges Eigentum,
Dieses Datum markiert das Ende des Übergangszeitraums Geschäftsgeheimnisse und technische Informationen zu
für die Datenschutz-Grundverordnung (DSGVO) der EU, da gelangen. Hinter Angriffen auf die öffentliche Infrastruktur
diese ab diesem Tag rechtsverbindlich gilt. Sie bedeutet stehen dagegen finanzielle Gründe, Hacktivismus und die
einen grundlegenden Wandel bei der Daten-Governance Unzufriedenheit mit staatlichen Stellen. Die Angst vor
und der Art, wie Informationen von Unternehmen geschützt einem „Worst-Case-Szenario”, bei dem Angreifer einen
werden, die personenbezogene Daten von EU-Bürgern ver- Zusammenbruch von Systemen auslösen, die das Funda-
arbeiten. Die Verordnung ist der Beginn einer wachsenden ment der Gesellschaft bilden, war ein Thema beim dies-
weltweiten Regulierung im Bereich Datenschutz. Verstöße jährigen Weltwirtschaftsforum. Industrielle Systeme sind
gegen diese können mit Strafen in Höhe von bis zu 4% des besonders anfällig gegen Angriffe auf die Lieferkette. Das
globalen Umsatzes belegt werden – eine enorme Summe, haben auch kriminelle Angreifer erkannt und begonnen,
die nicht außer Acht gelassen werden darf. Stellen Sie sich diese Systeme ins Visier zu nehmen.
darauf ein, dass die EU-Kommission Verstöße gegen die
DSGVO durch große globale Unternehmen konsequent TREND 4: WENN ABWEHRMECHANISMEN FÜR CYBER-
verfolgen wird. ANGRIFFE VORHANDEN SIND, VERLAGERT SICH DIE
FOKUSSIERUNG AUF DIE ERKENNUNG VON BEDROHUNGEN
T R E N D 2 : DAS I N T E R N E T O F T H I N G S T R E I B T DA S Z U - UND ANGEMESSENE REAKTIONEN
S A M M E N S P I E L VO N S I C H E R H E I T, CY B E R S E C U R I T Y U N D Angriffe der letzten Zeit zeigen, dass im Kampf gegen
DAT E N S C H U T Z VO R A N erfahrene und beharrliche Cyber-Kriminelle Verhinderungs-
Im Jahr 2016 hat die Verwendung der Malware Mirai gezeigt, mechanismen allein nicht ausreichen. Heute dauert es
dass IoT-Geräte ein schlagkräftiges und gefährliches Botnet im Schnitt 191 Tage, bis ein Unternehmen ein Datenleck
bilden können. Die Time-to-Market-Anforderungen bei der erkennt. Und je länger es dauert, eine Bedrohung zu erken-
Produktentwicklung und die eingeschränkte technische nen und darauf zu reagieren, umso größer sind der
Performance von IoT-Geräten sorgen heute dafür, dass diese finanzielle Schaden und der Reputationsverlust, den das
Geräte kritische Schwachstellen aufweisen, die einfach aus- Unternehmen durch den Vorfall erleidet. Durch den enormen
genutzt werden können. Die Auswirkungen von Datenverlet- Anstieg erfasster sicherheitsrelevanter Daten, die Einschrän-
zungen gehen heute weit über eine einfache Datenmoneta- kungen von aktuellen Technologien, die ineffiziente Nutzung
risierung hinaus und umfassen auch physische Bedrohungen von vorhandenen Bedrohungsinformationen (Threat Intelli-
für Gesundheit und Sicherheit, da Geräte und Systeme direkt gence), die fehlende Überwachung von IoT-Geräten und den
mit offenen Netzwerken verbunden sind. Es ist ein offenes Fachkräftemangel an Cybersecurity-Experten entstehen in
Geheimnis, dass es um die IoT-Sicherheit nicht gut bestellt den Unternehmen teure Verweildauern.
ist. Und wenn man bedenkt, dass wir bis 2022 laut
Schätzungen unsere Wohnungen und Häuser mit über 500 T R E N D 5 : Z U N E H M E N D E N U T Z U N G VO N K Ü N ST L I C H E R
solcher Geräte teilen, wird klar, dass sich die Risiken für I N T E L L I G E N Z F Ü R CY B E R - AT TAC K E N U N D - A BW E H R
Sicherheit, Cybersecurity und Datenschutz stark erhöhen Auf ihrem Weg der digitalen Transformation werden Unter-
werden. nehmen in steigendem Maße zum Ziel für komplexe und
hartnäckige Cyber-Attacken. Malware wird immer smar-
ter. Sie kann sich „intelligent” anpassen und traditionelle
Erkennungs- und Beseitigungsroutinen umgehen.
C Y B E R S E C U R I T Y T R E N D S 2 01 8 05
Angesichts des globalen Mangels an Cybersecurity-Spezia- diesen Apps zu steigern, wird empfohlen, schwer zu erratende
listen sind die Unternehmen dabei, das Cyber-Wettrüsten zu und komplexe Kennwörter zu verwenden und diese regel-
verlieren. Die Menge an Sicherheitsdaten überschreitet bei mäßig zu ändern. In der Praxis geschieht das aber nur selten.
weitem die Kapazitäten für ihre effiziente Nutzung. Das führt Mit der exponentiellen Zunahme der Rechenleistung und dem
zu einer steigenden Anzahl von KI-fähigen Cybersecurity- einfachen Zugang über die Cloud können Kennwörter in einer
Anwendungsfällen: Beschleunigung der Erkennung und immer kürzeren Zeit geknackt werden. Was 2000 noch fast 4
Bekämpfung von Sicherheitsvorfällen, bessere Identifizierung Jahre gedauert hat, ist heute in 2 Monaten erledigt. Wenn man
und Vermittlung von Risiken gegenüber den Fachabteilungen bedenkt, dass Kennwörter häufig gestohlen, gehackt und
und die Bereitstellung einer einheitlichen Sicht auf den Sicher- gehandelt werden, wird klar, dass sie noch nie offener
heitsstatus innerhalb der gesamten Organisation. verfügbar waren als heute. Aus diesem Grund begegnen wir
heute bei Mobiltelefonen, Tablets und Laptops und auch bei
T R E N D 6 : Z E RT I F I Z I E R U N G E N W E R D E N W I C H T I G , U M physischen sowie Online-Services vermehrt der biometrischen
DAS V E RT R AU E N I N CY B E R S E C U R I TY Z U STÄ R K E N Authentifizierung (Gesicht, Fingerabdruck, Iris und Sprache).
Es herrscht weitgehend Einigkeit darüber, dass Cybersecurity
und Datenschutz integrale Bestandteile einer digitalen und T R E N D 8 : AU S G E WÄ H LT E B R A N C H E N I M V I S I E R D E R
vernetzten Welt sind. Aber: Wie lässt sich das Schutzniveau A N G R E I F E R : G E S U N D H E I T S W E S E N , F I N A N Z D I E N ST-
eines Unternehmens objektiv einschätzen? Die Bedenken, L E I ST U N G E N U N D E N E R G I E V E R S O R G U N G
ob und inwieweit Cybersecurity tatsächlich umgesetzt wird, Der Großteil der Cyberangriffe wird von Kriminellen aus
nehmen zu. Dies führt dazu, dass bestehende und neue Stan- finanziellen Motiven begangen. Der Wert von Daten im
dards, die Cybersecurity-Strategien international vergleichbar Darknet richtet sich nach der Nachfrage, ihrer Verfügbarkeit,
machen, immer stärker an Relevanz gewinnen. Für CISOs und ihrer Vollständigkeit und den Möglichkeiten für deren Nutzung.
Produkthersteller sind Zertifizierungen wichtig, um nachzuwei- Daher sind persönliche Informationen aus dem Gesundheits-
sen, dass sie getan haben, was sie versprochen haben. Die und Finanzsektor besonders gefragt. Krankenakten kosten,
Zertifizierungsverfahren für die Bestätigung der IT-Sicherheit je nachdem, wie vollständig sie sind, zwischen 1 bis 1000
von Produkten konzentrieren sich heute jedoch vor allem auf US-Dollar. Kreditkartendaten werden für 5 bis 30 US-Dollar
kritische Infrastrukturen und öffentliche Hand. Wo bleiben die verkauft, wenn die benötigten Informationen für ihre Nutzung
Hersteller von Verbraucherprodukten? mitgeliefert werden. Andere Cyber-Angriffe haben eher
politische oder nationalstaatliche Motive. Im Jahr 2018 besteht
T R E N D 7 : A B LÖ S U N G D E R K E N N WÖ RT E R D U R C H hier ein erhöhtes Risiko für Störungen von kritischen Services
B I O M E T R I S C H E AU T H E N T I F I Z I E R U N G durch Angriffe auf den Energiesektor. Beleg dafür sind die
Unser digitales Leben wird durch ein komplexes Netz aus Berichte der jüngsten Zeit über die von Russland initiierten
Online-Apps bestimmt, unsere digitale Identität durch Be- Cyber-Attacken auf das US-Stromnetz, die vermutlich bereits
nutzernamen und Passwörter geschützt. Um den Schutz hinter seit einem oder mehreren Jahren ausgeführt werden.
C Y B E R S E C U R I T Y T R E N D S 2 01 8 06 Trend 1: Durch die wachsende Anzahl an globalen Regulierungen im Cyber- Umfeld steigt der Preis um die Privatsphäre zu schützen Datenschutz ist ein kritischer Aspekt in einer immer digitaler werdenden Welt. Der 25. Mai 2018 stellt einen entscheidenden Wendepunkt für den Datenschutz in Europa dar. Dieses Datum markiert das Ende des Übergangszeitraums für die Datenschutz-Grundverordnung (DSGVO) der EU, da diese ab diesem Tag rechtsverbindlich gilt. Sie bedeutet einen grundlegenden Wandel bei der Daten-Governance und der Art, wie Informationen von Unternehmen geschützt werden, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Verordnung ist der Beginn einer wachsenden weltweiten Regulierung im Bereich Datenschutz. Verstöße gegen diese können mit Strafen in Höhe von bis zu 4% des globalen Umsatzes belegt werden1—eine enorme Summe, die nicht außer Acht gelassen werden darf. Stellen Sie sich darauf ein, dass die EU-Kommission Verstöße gegen die DSGVO durch große globale Unternehmen konsequent verfolgen wird. 1 Europäische Komission, Mai 2017
C Y B E R S E C U R I T Y T R E N D S 2 01 8 07
„Die DSGVO ist eine Herausforderung für
Unternehmen, gleichzeitig aber auch eine
Chance, die Daten-Governance und zugehörige
Schutzmaßnahmen zu optimieren, um das
Risiko von Datenschutzpannen zu reduzieren.” MICHAEL SILVAN,
Chief Technology Officer
(CTO), Center of Excellence
Risk & Compliance,
TÜV Rheinland
DAT E N S C H U T Z I ST E I N K R I T I S C H E R AS P E K T I N E I N E R wie beispielsweise veraltete Verschlüsselungsstandards,
I M M E R D I G I TA L E R W E R D E N D E N W E LT erhöhen die Wahrscheinlichkeit, dass ein Unternehmen von
Parallel zur fortschreitenden digitalen Transformation und diesen Strafzahlungen betroffen ist.
Vernetzung in den Unternehmen häufen sich Cyber-Angriffe
und werden immer ausgeklügelter. Cyber-Angriffe der jüng- V I E L E U N T E R N E H M E N U N T E R S C H ÄT Z E N DAS AU S M A S S
sten Vergangenheit haben die Anfälligkeit von Unternehmen SOLCHER ANFORDERUNGEN
deutlich offengelegt. Die Ransomware WannaCry infizierte Nur wenige Unternehmen werden zum bevorstehenden
innerhalb von weniger als 48 Stunden über 300.000 Com- Stichtag vollständig vorbereitet sein. Die meisten haben
puter in zahlreichen Organisationen in verschiedenen Län- das Ausmaß der Anforderungen unterschätzt und sind noch
dern und auf unterschiedlichen Kontinenten. 87 Millionen immer mit der Entwicklung eines Plans beschäftigt, um die
Facebook-Profile wurden von der Analysefirma Cambridge DSGVO umzusetzen. Manche haben beschlossen, gar
Analytica abgegriffen. Damit zählt dieser Vorfall zu den keinen Plan auszuarbeiten und die fehlende Konformität
folgenschwersten Datenverletzungen in der Geschichte und einfach als ein weiteres operatives Risiko hinzunehmen.
steht auf einer Stufe mit dem Diebstahl der Finanzdaten von Wahrscheinlich gehen diese Unternehmen davon aus, dass
Equifax. Diese Angriffe lassen eine dunkle Zukunft für den die EU-Kommission die Verordnung nicht wirklich konse-
Datenschutz erahnen. quent umsetzen wird. Andere Unternehmen wiederum
sind sich nicht sicher, ob die Verordnung überhaupt auf sie
D I E D S G VO B E D E U T E T E I N E N G R U N D L E G E N D E N WA N - zutrifft. Im Ergebnis lässt sich sagen, dass die Mehrzahl der
D E L B E I D E R DAT E N - G OV E R N A N C E U N D D E R A RT, W I E Unternehmen die Implementierung viel zu spät angeht.
I N F O R M AT I O N E N G E S C H Ü T Z T W E R D E N S O L L E N
Unternehmen müssen in zunehmendem Maße nachweisen E I N E WAC H S E N D E L I ST E VO N W E LT W E I T E N DAT E N -
können, dass sie personenbezogene Daten in Übereinstim- S C H U T Z B E ST I M M U N G E N
mung mit den rechtlichen Bestimmungen in diesem neuen Die DSGVO ist ein führender globaler Trend, da nicht nur
Regulierungsumfeld verarbeiten. Mit der DSGVO werden die europäischen Regulierungsstellen eine größere Rech-
verschiedene Schlüsselkomponenten eingeführt, wie z.B.: enschaftspflicht auf der Management-Ebene fordern. Auch
Extraterritorialer Anwendungsbereich für EU-Datenschutz- in den USA, in Argentinien, in Brasilien, in der Schweiz, in
recht, Betroffenenrechte, Pflicht zur Bestellung eines Daten- Afrika, in Indien und in China werden die geltenden Daten-
schutzbeauftragten, Transparenzpflichten und Einwilligung, schutzbestimmungen überarbeitet. Viele bauen auf ähnliche
Einschränkungen für Subauftragnehmer, Datenschutz- Konzepte, wie beispielsweise Einwilligungserklärungen
Folgenabschätzung und Anzeigepflicht bei Verstößen gegen von Benutzern und Anzeigepflicht bei Verstößen gegen die
die Datensicherheit. Diese Anforderungen zwingen Un- Datensicherheit, die Unternehmen verpflichtet, bei Daten-
ternehmen, ihre Daten-Governance, ihre Systemarchitektur, schutzverletzungen die zuständigen Behörden und alle be-
ihre Dokumentation und ihren Schutz vor Datenverlust zu troffenen Datensubjekte zu informieren − ein oftmals kost-
überdenken. spieliger Vorgang. Das führt auch zu einer Fragmentierung
und zu neuen Marktbarrieren, bedingt durch territoriale
V E R STÖ S S E G E G E N D I E V E R O R D N U N G KÖ N N E N M I T Anforderungen für den Datenschutz und grenzüberschrei-
S T R A F E N I N H Ö H E VO N B I S Z U 4 % D E S G LO B A L E N U M - tende Datenflüsse. Für globale Unternehmen wird damit das
S AT Z E S B E L E G T W E R D E N internationale Geschäft zu einer immer kostspieligeren und
Die damit verbundenen geschäftlichen Risiken sind enorm. komplexeren Herausforderung.
Bei einem Verstoß sieht die EU Sanktionen in Höhe von
bis zu 4 Prozent des Vorjahresumsatzes oder 20 Millionen
Euro vor, je nachdem, welche Summe höher ist. Mängel
bei der technischen und organisatorischen Datensicherheit, www.tuv.com/datenschutzmanagement
C Y B E R S E C U R I T Y T R E N D S 2 01 8 08
Trend 2:
Das Internet of Things treibt
das Zusammenspiel von Sicherheit,
Cybersecurity und Datenschutz voran
Im Jahr 2016 hat die Verwendung der Malware Mirai gezeigt, dass IoT-
Geräte ein schlagkräftiges und gefährliches Botnet bilden können. Die
Time-to-Market-Anforderungen bei der Produktentwicklung und die
eingeschränkte technische Performance von IoT-Geräten sorgen heute
dafür, dass diese Geräte kritische Schwachstellen aufweisen, die einfach
ausgenutzt werden können. Die Auswirkungen von Datenverletzungen
gehen heute weit über eine einfache Datenmonetarisierung hinaus und
umfassen auch physische Bedrohungen für Gesundheit und Sicherheit,
da Geräte und Systeme direkt mit offenen Netzwerken verbunden sind.
Es ist ein offenes Geheimnis, dass es um die IoT-Sicherheit nicht gut
bestellt ist. Und wenn man bedenkt, dass wir bis 2022 laut Schätzungen
unsere Wohnungen und Häuser mit über 500 solcher Geräte teilen, wird
klar, dass sich die Risiken für Sicherheit, Cybersecurity und Datenschutz
stark erhöhen werden.
M I R A I H AT G E Z E I G T, DAS S I OT- G E R ÄT E E I N der Konkurrenz voraus zu sein und die eigenen Margen zu
G E FÄ H R L I C H E S B OT N E T B I L D E N KÖ N N E N schützen. Die Gewährleistung, dass die Geräte leicht
Am Freitag, den 21. Oktober 2016 erfolgte um 7 Uhr Ortszeit produziert werden können, funktional, vernetzt und
ein massiver DDoS-Angriff (Distributed Denial of Service) auf sicher sind – und gleichzeitig einen niedrigen Stromverbrauch
Dyn Inc., in dessen Folge große Teile des Internets an der bieten, um so die Akkulaufzeiten zu verlängern – ist eine
Ostküste der USA ausfielen. Davon betroffen waren komplexe technische Herausforderung, die nur mit schwieri-
Unternehmen wie Twitter, Spotify, Amazon, Netflix, Reddit, gen Zugeständnissen bewältigt werden kann.
The Guardian, CNN und die New York Times. Das Mirai-Bot-
net bestand vorwiegend aus gehackten IoT-Geräten. Der S C H WAC H ST E L L E N S I N D O F T M A L S T I E F I N D E R
Angriff war ein Weckruf, der die Anfälligkeit von internet- S O F T WA R E D E S P R O D U K T S V E R A N K E RT
fähigen Geräten gegenüber Cyber-Angriffen deutlich Um Zeit und Geld zu sparen, verwenden Software-Entwick-
machte. ler offene Quellcode-Bibliotheken; anstatt das Rad für Basis-
funktionen neu zu erfinden. Diese externen Bibliotheken von
KO M M E R Z I E L L E U N D T E C H N I S C H E B E S C H R Ä N K U N G E N Drittanbietern können eine Quelle für kritische Sicherheits-
M AC H E N I OT- G E R ÄT E A N FÄ L L I G F Ü R CY B E R - A N G R I F F E lücken sein. Ein gutes Beispiel dafür ist die Schwachstelle
Viele IoT-Geräte sind extrem unsicher und setzen Produkt- Devil’s Ivy, die kürzlich im gSOAP-Toolkit gefunden wurde,
hersteller und Kunden dem Risiko einer Cyber-Attacke das häufig von Herstellern für die Anbindung ihrer Geräte an
aus. Das sollte kaum überraschen, da die Hersteller nicht das Internet genutzt wird. Es existieren schätzungsweise
im Cybersecurity-Geschäft tätig sind. Vielmehr stehen sie über eine Millionen Geräte, die anfällig für eine Ausnutzung
unter dem steigenden Druck, mit ständigen Innovationen eines Stapelüberlaufs durch Devil’s Ivy sind.
C Y B E R S E C U R I T Y T R E N D S 2 01 8 09
„Erst wenn sich die Hersteller der Bedrohungen
und Risiken, die in ihren Geräten lauern, voll
und ganz bewusst sind und die entsprechenden
Konsequenzen im Hinblick auf ,Cybersecurity
by Design‘ ziehen, können sie sich auf ihre UDO SCALLA,
Leiter, Competence
Produktinnovationen konzentrieren.” Center IoT Privacy,
TÜV Rheinland
D I E AU S W I R K U N G E N VO N DAT E N V E R L E T Z U N G E N sendet. Ein anderes Beispiel ist ein Herzmonitor für Babys, bei
G E H E N H E U T E W E I T Ü B E R E I N E E I N FAC H E DAT E N - dem ein unverschlüsseltes Wi-Fi-Netz zwischen dem Monitor
M O N E TA R I S I E R U N G H I N AU S und dem Sensor ein Einfallstor für eine Cyber-Attacke öffnet.
Wir leben zunehmend in einem integrierten digitalen Angreifer können die Kontrolle über das System übernehmen,
System, das unsere Lebensqualität verbessern soll. Die ein fremdes Baby überwachen und alle Alarme unterbinden,
Verbraucher besitzen jedoch häufig nicht das nötige Wissen, die an die Eltern gesendet werden sollen.²
um sich vor diesen anfälligen IoT-Ökosystemen zu schützen.
Produkthersteller, die Cybersecurity- und Datenschutz- H AC K I N G - A N FÄ L L I G E AU TO S Ü B E R L AS S E N DAS
aspekte vernachlässigen, liefern ihre Kunden Cyber-Krim- S C H I C K S A L D E R I N S AS S E N P OT E N Z I E L L E N A N G R E I F E R N
inellen aus. In einer Welt der cyber-physischen Dinge ist Im Jahr 2015 gelang es einem Forscherteam, die vollständige
dies nicht nur eine Bedrohung für die persönlichen Daten, Kontrolle über einen Jeep-SUV zu erhalten. Dabei wurde eine
sondern auch für die persönliche Gesundheit und Sicherheit. Schwachstelle der Firmware-Update-Funktion genutzt, um
den CAN-Bus des Fahrzeugs über eine Mobilfunkverbindung
H AC K I N G - A N FÄ L L I G E M E D I Z I N I S C H E G E R ÄT E zu kapern. Die Forscher konnten das Fahrzeug per Fernzugriff
G E FÄ H R D E N DAS L E B E N VO N PAT I E N T E N beschleunigen, abbremsen und sogar von der Straße lenken.
Im letzten Jahr hat die US-amerikanische Lebens- und Und erst kürzlich wurde über eine neue Schwachstelle im
Arzneimittelbehörde FDA bestätigt, dass die implantierbaren CAN-Protokoll berichtet, die nicht nur universal ist, sondern
Herzgeräte von St. Jude Medical, einschließlich Herzschritt- auch unter Umgehung der Anti-Hacking-Mechanismen der
macher und Defibrillatoren, anfällig gegen Cyber-Angriffe Autoindustrie ausgenutzt werden kann.³ Angreifer können so
sind. Demnach können Angreifer die Kontrolle über die kritische Sicherheits- und Schutzsysteme wie Airbags, ABS
Geräte übernehmen, indem sie auf den Transmitter zu- und die Türverriegelung abschalten. Diese Schwachstelle hat
greifen, der die Gerätedaten ausliest und an die Ärzte ihren Ursprung im Design des CAN-Standard selbst.
Alltägliche Produkte gehen online und werden Teil des Internet of Things
Beleuchtung Waschmaschine Rasenmäher Smart TV Thermostat Webcam Smart Home
21°C
Haushalt
Notruf Ladestation Fahrrad-Navi Fitness Tracker Brillen Insulinpumpe
Wearables /
Mobil eCall
Gesundheit
Teddy Puppe Babyphone Cobots Futternapf Haarbürste
Gadgets
Kinder
& mehr
www.tuv.com/iot-privacy
2 The Register, Wi-Fi baby heart monitor may have the worst IoT security of 2016, Oktober 2016
3 Wired, Car hack shut down safety features, August 2017
C Y B E R S E C U R I T Y T R E N D S 2 01 8 10
Trend 3:
Operational Technology als
Angriffspunkt für Cyber-Attacken
Das Industrial Internet sorgt bereits für eine Transformation der globalen
Industrie und Infrastruktur und verspricht mehr Effizienz, Produktivität
und Sicherheit. Um im Wettbewerb zu bestehen, werden Prozessleittech-
nikgeräte mit der Online-Welt verbunden, wodurch oftmals unbeabsich-
tigt Komponenten, die Schwachstellen aufweisen, Cyber-Angriffen aus-
gesetzt werden. Fertigungsanlagen sind ebenfalls ein Angriffsziel, um
an geistiges Eigentum, Geschäftsgeheimnisse und technische
Informationen zu gelangen. Hinter Angriffen auf die öffentliche
Infrastruktur stehen dagegen finanzielle Gründe, Hacktivismus und
die Unzufriedenheit mit staatlichen Stellen.
Die Angst vor einem „Worst-Case-Szenario”, bei dem Angreifer einen
Zusammenbruch von Systemen auslösen, die das Fundament der
Gesellschaft bilden, war ein Thema beim diesjährigen Weltwirtschafts-
forum. Industrielle Systeme sind besonders anfällig gegen Angriffe
auf die Lieferkette. Das haben auch kriminelle Angreifer erkannt und
begonnen, diese Systeme ins Visier zu nehmen.
DAS I N D U ST R I A L I N T E R N E T T R A N S F O R M I E RT D I E kommenden 10 Jahren wird es die physischen Branchen
G LO B A L E I N D U ST R I E U N D I N F R AS T R U K T U R Fertigung, Energieversorgung, Transport und Landwirtschaft
In den letzten 15 Jahren hat das Internet die Geschäfts- umkrempeln. Unter der Bezeichnung „Industrial Internet”
welt hin zu einer engeren Verbraucherbeziehung gewandelt wird der Trend zur Integration von Informationsnetzwerken
und informationsbasierte Branchen wie Medien, Einzel- und operativen Technologienetzwerken nie dagewesene
handel und Finanzdienstleistungen demokratisiert. In den Möglichkeiten, aber auch neue Risiken mit sich bringen.
„Risikobewertungen durchzuführen, um
sich einen Überblick über die aktuellen
Schwachstellen und den Stand der Cyber-
security zu verschaffen – das ist das A und U R M E Z R U S I DAV E R ,
Leiter, Center of
O für Operational Technology.“ Excellence Industrial
Security,
TÜV RheinlandC Y B E R S E C U R I T Y T R E N D S 2 01 8 11
U M I M W E TT B E W E R B Z U B E ST E H E N , W E R D E N G E R ÄT E F E RT I G U N G S A N L AG E N W E R D E N A N G E G R I F F E N , U M
MIT DEM INTERNET VERBUNDEN AN GESCHÄFTSGEHEIMNISSE ZU GELANGEN
Seit Jahrzehnten werden in den industriellen Sektoren Mess- Die Anzahl von Cyber-Attacken steigt und die Fertigungs-
daten genutzt, um die Produktivität und Wettbewerbsfähigkeit industrie gehört zu den am häufigsten angegriffenen Zielen.
zu verbessern und Energie zu sparen. Etwas mehr als ein Drittel der dokumentierten Cyber-
Auf der elementarsten Ebene werden aktuelle Daten mit Attacken entfallen auf die Fertigung. Fertigungsunternehmen
historischen Daten verglichen um zu bestimmen, wie zählen in fünf von sechs geografischen Regionen zu den drei
Prozesse ausgeführt werden sollten. Analysen liefern häufigsten Zielen.⁵ Grund dafür ist der harte Wettbewerb in
Empfehlungen, Verbesserungen und Warnungen als Unter- diesem Sektor, in dem geistiges Eigentum Gold wert ist, es
stützung für die Entscheidungsfindung.⁴ Der nächste große aber an Investitionen in Cybersecurity mangelt, da der Fokus
Schritt in der industriellen Evolution ist die Erfassung von mehr auf Produktivität und Effizienz liegt.
Messdaten außerhalb der Einrichtung und deren Migration in
die Cloud. Auf diese Weise können Informationen von A N G R I F F E AU F D I E Ö F F E N T L I C H E I N F R AST R U K T U R
Verarbeitungsgeräten rund um den Globus kombiniert H A B E N Z E R STÖ R E R I S C H E M OT I V E
werden, was zu neuen Möglichkeiten und damit zu neuen Oftmals im Schatten des schieren Ausmaßes der personen-
Wettbewerbsvorteilen führt. gebundenen Informationen, die von Cyber-Kriminellen im
Unternehmenssektor gestohlen werden, forcieren
A N G ST VO R E I N E M „WO R ST- C AS E - S Z E N A R I O” A L S Cyber-Spionagegruppen ihre Angriffe auf die öffentlichen
T H E M A B E I M W E LTW I RT S C H A F T S F O R U M Infrastrukturen rund um den Globus.⁶ Im vergangenen
Die Häufigkeit und Komplexität von Cyber-Angriffen steigt Jahrzehnt haben sich zerstörerische Angriffe auf Organisa-
rasant an und hat sich in den vergangenen fünf Jahren nahezu tionen und kritische Infrastrukturen gehäuft. Doch die
verdoppelt. In der Vergangenheit waren industrielle Systeme letzten 18 Monate markierten den bisherigen Höhepunkt
autonom und nicht mit Unternehmensnetzwerken oder dem dieser Entwicklung. Die Malware „Crash Override” wurde
Internet verbunden. Doch in einer zunehmend vernetzten für einen Angriff auf das ukrainische Stromnetz genutzt.
industriellen Welt steht Cyber-Kriminellen eine deutlich höhere Den Angreifern gelang es dabei, die Kontrolle über Leis-
Anzahl von potenziellen Zielen zur Verfügung. Damit werden tungs- und Schutzschalter zu erhalten. Bei jüngeren
auch immer häufiger kritische und strategische Infrastruktu- Angriffen gelang ein Eindringen in Atomkraftwerke, um
ren auf der Welt angegriffen, wie z.B. Regierungsministerien, Informationen über Computernetzwerke und Prozessleit-
Bahnbetriebe, Banken, Telekommunikationsunternehmen, systeme für künftige Attacken zu sammeln.
Energieversorger, Fertigungsbetriebe und Krankenhäuser. Das
schürt die Angst vor einem „Worst-Case-Szenario”, bei dem
Angreifer die Systeme zum Zusammenbruch bringen, die für
das Funktionieren der Gesellschaft essentiell sind.
4 ABB, The Internet of Things, Services and People – A new age of industrial
production, 2016
5 Computerweekly, Manufacturing a key target for cyber attacks, August 2017
6 Business Insider Germany, Destructive cyberattacks are only going to get
worse, September 2017C Y B E R S E C U R I T Y T R E N D S 2 01 8 12
Globale Cyber-Bedrohungen für Operational Technology
Cyber-Kriminellen steht eine exponentiell 2016
zunehmende Zahl von potenziellen Zielen zur Mehr als 4 Milliarden
Verfügung, da die Nutzung von Cloud-Diensten Datensätze geknackt
nach wie vor Fahrt aufnimmt
2016 2017 2017
Zahl der DDoS-Angriffe Über 300.000 Com- Jedes DDoS-Ziel durch-
mit über 100 GBPS um puter mit Ransom- schnittlich 32 Mal innerhalb
140% angestiegen ware befallen von drei Monaten getroffen
Systeme des staatlich geregelten 2017
Transportsektors sind im Schnitt Kosten für die Reaktion auf Cyber-
1.000 Angriffen im Monat ausgesetzt Angriffe $ 15 Mio. pro Unternehmen
(27,4% mehr als im Vorjahr)
Anstieg von Threat Intelligence bei 2016
"Spear-Phishing"-E-Mails gegen Betreiber von 357 Mio. neue
Atomkraftwerken Malware-Varianten
A N G R I F F E AU F L I E F E R K E TT E N S I N D E I N E N E U E Z U S ÄT Z L I C H E F I N A N Z M I T T E L S I N D E R F O R D E R L I C H , U M
BEDROHUNG DIE COMPLIANCE-ANFORDERUNGEN ZU ERFÜLLEN
Industrielle Prozesse sind von einer stabilen Ressourcen- In diesem Zusammenhang müssen Unternehmen Budgets für
bereitstellung und logistischem Support abhängig. Erkennungstechnologien und für das Notfallmanagement auf-
Angreifer haben die Bedeutung der Lieferkette erkannt und bringen; Investitionen in Vermeidungstechnologien sind nicht
entsprechende Attacken mit Abhör-, Infiltrations-, genug. KI (Künstliche Intelligenz) und Vorhersageanalysen
Fälschungs- und Störmaßnahmen gestartet. Das kann für das Management von Cyber-Risiken für OT werden einge-
anhand der Auswirkungen von Cyber-Angriffen auf die führt. Die Compliance-Anforderungen von Regulierungsstellen
globale Logistikbranche demonstriert werden. Im letzten für den Schutz kritischer Infrastrukturen werden steigen, die
Jahr meldeten FedEx und AP Moller-Maersk geschäftliche Compliance-Kosten für die Betreiber werden sich erhöhen.
Verluste in Höhe von fast 600 Mio. US-Dollar durch die Regionale und branchenspezifische Standards bringen Klarheit
Ransomware-Attacke und den Angriff des „Wiper”-Virus. in das Compliance-Thema. Datenschutzbestimmungen wie
Da Lieferketten immer globaler werden, steigen die Risiken die DSGVO werden Einzug in diese Domäne halten, in der die
durch die absichtliche Einpflanzung von Schadfunktionen. Betreiber vor einzigartigen Herausforderungen im Umfeld des
Datenschutzes und der Datensicherheit speziell für das IIOT
(Industrial Internet of Things) stehen.
www.tuv.com/de/industrial-sec
Erfahren Sie mehr über Industrial Security
in unserer globalen Meinungsumfrage,
verfügbar ab Juli 2018.
Bleiben Sie auf dem Laufenden unter:
www.tuv.com/de/OTC Y B E R S E C U R I T Y T R E N D S 2 01 8 13 Trend 4: Wenn Abwehrmechanismen für Cyber-Angriffe vorhanden sind, verlagert sich die Fokussierung auf die Erkennung von Bedrohungen und angemessene Reaktionen Angriffe der letzten Zeit zeigen, dass im Kampf gegen erfahrene und beharrliche Cyber-Kriminelle Verhinderungsmechanismen allein nicht ausreichen. Heute dauert es im Schnitt 191 Tage, bis ein Unternehmen ein Datenleck erkennt. Und je länger es dauert, eine Bedrohung zu erkennen und darauf zu reagieren, umso größer sind der finanzielle Schaden und der Reputationsverlust, den das Unternehmen durch den Vorfall erleidet. Durch den enormen Anstieg sicherheitsrelevanter Daten, die Einschränkungen von aktuellen Technologien, die ineffiziente Nutzung von vorhandenen Bedrohungsinformationen (Threat Intelligence), die fehlende Überwachung von IoT-Geräten und den Fachkräftemangel an Cybersecurity-Experten entstehen in den Unternehmen teure Verweildauern. ORGANISATIONEN BENÖTIGEN IMMER NOCH ZU VIEL ZEIT TRADITIONELLE KONZEPTE FÜR DIE ERKENNUNG VON FÜR DIE ERKENNUNG EINER DATENSCHUTZVERLETZUNG BEDROHUNGEN SIND KOMPLEX Je schneller ein Datenleck erkannt und eingedämmt werden Traditionelle Konzepte bauen auf SIEM-Lösungen (Security kann, umso geringer sind die Kosten und die Auswirkungen Information and Event Management) auf. Anders als eine auf das Ansehen und das Business. Ein Cyber-Krimineller Sicherheitskamera, die einfach montiert wird und sofort braucht nur wenige Minuten oder Stunden, um ein Netzwerk Bilder liefert, ist der Umgang mit SIEM-Lösungen alles zu knacken und Basisdaten zu extrahieren. Die Identifizierung andere als einfach. Umständliche Implementierung, einge- und der Diebstahl von kritischen Daten dauert Tage oder schränkte Skalierbarkeit, Schwierigkeiten bei der Einbindung Wochen. Unternehmen brauchen aber im Schnitt 191 Tage, um von Datenquellen und unübersichtliche Reporting-Prozesse – eine Verletzung zu erkennen und 66 Tage, um sie einzudäm- für diese Lösungen ist quasi eine kleine Armee von Sicher- men. Organisationen, die die Erkennungszeit auf unter 100 heitsanalysten nötig, um sie effizient zu nutzen. Erschwert Tage drücken können, können über 1 Mio. US-Dollar wird das durch die Tatsache, dass sich die Menge der von sparen. Darüber hinaus fällt der Aktienwert beim Bekanntwer- den Sicherheitsteams analysierten Daten jedes Jahr den einer Datenschutzverletzung sofort um durchschnittlich verdoppelt und dass es dabei vermehrt um unstrukturierte fünf Prozent, im Einklang mit dem Kundenvertrauen. Bei Unter- Daten geht; ein Datentyp, den traditionelle SIEM-Tools nicht nehmen, die kurze Erkennungs- und Reaktionszeiten vorwei- analysieren können. sen können, erholt sich der Aktienwert schnell; doch für den Rest gilt, dass der alte Stand oftmals nie wieder erreicht wird.
C Y B E R S E C U R I T Y T R E N D S 2 01 8 14
D I E G R Ö S ST E N B E F Ü R C H T U N G E N D E R T Ü V R H E I N L A N D - E X P E R T E N :
··„... nicht abgesicherte IoT-Geräte, die niemand updatet und die in vollem Umfang mit dem Internet verbunden sind.”
··„... die Absicherung von kritischen nationalen Infrastrukturen und damit verbundenen Risiken für die Öffentliche
Sicherheit und die nationale Wirtschaft.”
··„... der Mangel an proaktiven Investments. Zur Zeit wird Geld nur im Nachgang eines Sicherheitsvorfalls ausgegeben
oder weil es regulatorische Auflagen gibt.”
··„... inadäquates Cybersecurity-Bewußtsein bei Mitarbeitern und auf Management-Level.”
··„... Ignoranz gegenüber Sicherheitsrisiken, die durch Datenschutzprobleme entstehen. Technologie-Lösungen, die
Familien, ältere Menschen oder Kinder dem Risiko von Cyber-Angriffen aussetzen.“
··„... mangelndes Budget für Cybersecurity-Initiativen.”
··„... Kompetenzen im Bereich Cybersecurity und der Fachkräftemangel in der Branche.”
D E R M A N G E L A N CY B E R S E C U R I TY- KO M P E T E N Z E N zu beschleunigen, werden Organisationen vermehrt auf
VERSCHÄRFT SICH erweiterte Sicherheitsanalysen setzen. Dieses neue Konzept
IT-Organisationen führen Cybersecurity als den Bereich an, in nutzt Maschinendaten für die Identifizierung von Anomalien
dem der Fachkräftemangel am dramatischsten ist. Ein Blick basierend auf einem vorbestimmten Basis-Nutzungsverhalten
auf die globale jährliche Studie von ESG zum Status der IT innerhalb der dynamischen Landschaft des modernen digita-
zeigt einen alarmierenden Anstieg dieses Problems und eine len Unternehmens.
Verdoppelung von 23% der Unternehmen in 2014 auf 51%
in 2018.⁷ Laut den Erwartungen wird es bis 2021 rund 3,5 B A R R I E R E N F Ü R D I E E F F I Z I E N T E N U T Z U N G VO N T H R E AT
Millionen unbesetzte Cybersecurity-Stellen geben. Über eine I N T E L L I G E N C E B L E I B E N B E ST E H E N
halbe Million dieser Stellen entfallen dabei auf die USA. Der In einem Umfeld von „Big Security Data” kann die Kom-
Fachkräftemangel im Cybersecurity-Umfeld verschärft sich bination aus erweiterten Bedrohungsinformationen
und es gibt keine Anzeichen, dass sich an dieser Situation in (Threat Intelligence) und einem Team aus Sicherheits-
absehbarer Zukunft etwas ändert. analysten fundierte Erkenntnisse liefern. Threat Intelligence
ist keine Technologie. Es ist das Wissen über den Gegner
DIE SCHNELLE ERKENNUNG VON CYBER-BEDROHUNGEN und seine Mittel, Motive und Absichten. Diese Bedrohungs-
UND DIE PRÄZISE REAKTION VERLANGEN NACH EINEM informationen sollten so verbreitet werden, dass Cyber-
NEUEN KONZEPT security-Teams und die Fachabteilungen optimal beim
Moderne Malware und komplexe Cyber-Bedrohungen ver- Schutz der kritischen Ressourcen des Unternehmens
langen nach einem proaktiven, agilen Konzept als Ersatz für unterstützt werden. Doch selbst die besten Bedrohungsin-
traditionelle SIEM-Lösungen. Traditionelle Lösungen erkennen formationen sind nutzlos, wenn Sie keine Spezialisten mit
bekannte Bedrohungen innerhalb fester Unternehmensnetz- dem Wissen, den Fähigkeiten und der Erfahrung haben, um
werkgrenzen und anhand von signaturbasierten Verfahren, wirkungsvoll mit diesen Informationen umzugehen. Leider
die heute aber überwunden werden können. Um die Er- besteht innerhalb der Branche ein starkes Gefälle. Nur die
kennungszeiten spürbar zu verkürzen und die Eindämmung attraktivsten Marken mit den größten Budgets, die an der
Spitze des Markts agieren, sind in der Lage, die besten
7 CSO online, research suggests cybersecurity skills shortage is getting worse,
Talente zu finden und vor allem zu binden.
Januar 2018
www.tuv.com/apt
„2018 wird ein Schlüsseljahr für Unternehmen in Bezug auf die
Einführung neuer Threat-Detection-Konzepte. Wir helfen unseren
Kunden bei der Nutzung von neuen, cloud-nativen Technologien für
Sicherheitsanalysen und Maschinenlernen. Dadurch sind sie in der
Lage, die enormen Mengen an Sicherheitsprotokollen und -daten zu
WOLFGANG KIENER, analysieren, Bedrohungsinformationen (Threat Intelligence) besser
Business Development
Manager Cybersecurity, zu nutzen, IoT- und OT-Technologien zu überwachen und den Mangel
TÜV Rheinland
an qualifizierten Cybersecurity-Mitarbeitern zu kompensieren.“C Y B E R S E C U R I T Y T R E N D S 2 01 8 15
Trend 5:
Zunehmende Nutzung von Künstlicher
Intelligenz für Cyber-Attacken und -Abwehr
Auf ihrem Weg der digitalen Transformation werden Unternehmen in
steigendem Maße zum Ziel für komplexe und hartnäckige Cyber-Attacken.
Malware wird immer smarter. Sie kann sich „intelligent” anpassen und
traditionelle Erkennungs- und Beseitigungsroutinen umgehen.
Angesichts des globalen Mangels an Cybersecurity-Spezialisten sind
die Unternehmen dabei, das Cyber-Wettrüsten zu verlieren. Die Menge
an Sicherheitsdaten überschreitet bei weitem die Kapazitäten für ihre
effiziente Nutzung. Das führt zu einer steigenden Anzahl von KI-fähigen
Cybersecurity-Anwendungsfällen: Beschleunigung der Erkennung und
Bekämpfung von Sicherheitsvorfällen, bessere Identifizierung und
Vermittlung von Risiken gegenüber den Fachabteilungen und die
Bereitstellung einer einheitlichen Sicht auf den Sicherheitsstatus
innerhalb der gesamten Organisation.
U N T E R N E H M E N V E R L I E R E N DAS CY B E R - W E TT R Ü ST E N
Vorbei sind die Tage, in denen Cyber-Angreifer nicht viel mehr waren als nervende
„Script-Kiddies“. Sie haben sich weiterentwickelt – zu organisierten und gut
finanzierten Cyber-Kriminellen und nationalstaatlichen Akteuren. Sie sind eine
ernsthafte und komplexe Bedrohung, die regelmäßig über Unternehmen und
Regierungen herfällt. Cyber-Kriminalität ist sehr lukrativ, risikoarm und global.
Die Cybersecurity-Branche steht natürlich nicht still, trotzdem haben die
Angreifer meistens den längeren Arm; wenn Sie also Schwachstellen nicht
ausräumen, machen Sie es ihnen zu einfach.
„Der Einsatz Künstlicher Intelligenz wird für Cyber-
Attacken wie für die Cyber-Abwehr sehr schnell und
erheblich an Bedeutung gewinnen. Die Methoden stehen
weitestgehend zur Verfügung, auch die notwendige Rechen-
THOMAS MÖRWALD, Kapazitäten sind heute kein Hindernis mehr. Ist die ,Lernauf-
Practice Leader,
Security Consulting,
TÜV Rheinland
gabe‘ klar definiert, ist der Erfolg nur eine Frage der Zeit.“C Y B E R S E C U R I T Y T R E N D S 2 01 8 16
E X P E RT E N VO N T Ü V R H E I N L A N D B E T R AC H T E N T H R E AT I N T E L L I G E N C E A L S E I N ST R AT E G I S C H E S
B U S I N E S S - TO - B U S I N E S S C O L L A B O R AT I O N TO O L , U M W I S S E N Z W I S C H E N U N T E R N E H M E N Z U T E I L E N , . . .
1. .... um Vorfälle effektiver zu erkennen.
2. .... um schneller und effizienter auf Vorfälle zu reagieren.
3. .... um die eigene strategische Rolle in der Reaktion auf Cybersecurity-Vorfällen zu stärken.
DIE MENGE AN SICHERHEITSDATEN ÜBERSCHREITET BEI CYBERSECURITY-EXPERTEN WERDEN KI FÜR DIE ABWEHR
WEITEM DIE KAPAZITÄTEN FÜR IHRE EFFIZIENTE NUTZUNG VON KI-ANGRIFFEN NUTZEN
Die meisten Unternehmen haben Dutzende Sicherheitstech- Die Cyber-Angriffe der nächsten Generation werden KI-
nologien implementiert und unter Umständen auch integriert. basierte Malware nutzen, die in Echtzeit reagieren kann,
Die digitale Wirtschaft vernetzt alles und jeden. Die Folge: um Cybersecurity-Kontrollen zu umgehen. Deren Bekämp-
Milliarden neuer Endgeräte. Dadurch generieren wir so viele fung wird neue Abwehrkonzepte erforderlich machen.
Sicherheitsereignisprotokolle und Alarminformationen, dass Cybersecurity-Experten setzen auf erweiterte Cyber-Schutz-
wir am Ende den Wald vor lauter Bäumen nicht mehr sehen. mechanismen, die KI nutzen, um auf solche Angriffe zu
Das erschwert den wirkungsvollen Schutz des Unternehmens reagieren. An einem guten Tag können humane Sicher-
ungemein und stellt möglicherweise sogar ein größeres heitsanalysten, die vor einer potenziellen Phishing-Attacke
Risiko als die steigende Komplexität der eigentlichen gewarnt werden, den Angriff innerhalb von einigen Stunden
Cyber-Angriffe dar. eindämmen. Mit einer KI-basierten Sicherheitsautomati-
sierung lässt sich derselbe Angriff in nur wenigen Minuten
DAS ZEITALTER VON KI-FÄHIGEN CYBER-ANGRIFFEN IST entdecken und eindämmen. KI gilt daher zunehmend als
ANGEBROCHEN kritischer Baustein einer modernen Cybersecurity-Strategie.
Mit KI besteht die Gefahr, dass sich die ohnehin schon große
Herausforderung von Cybersecurity, vor denen Unternehmen KI FÄNGT DEN ZUNEHMENDEN MANGEL AN CYBER-
in einer zunehmend digitalen Welt stehen, noch verschär- SECURITY-EXPERTEN AB
fen. KI-basierte Cyber-Angriffe sind noch rar, aber es gibt sie Mit KI können Sicherheitsteams riesige Mengen an Sicher-
bereits. Im letzten Jahr wurden wir Zeuge des ersten auf heitsdaten zügig verarbeiten und Alarminformationen und
künstlicher Intelligenz basierenden Cyber-Angriffs, bei dem Ereignisprotokolle in einen viel größeren Kontext setzen.
rudimentäres Maschinenlernen genutzt wurde, um normale Diese Fähigkeit, die Bedrohungen mit dem größten Ge-
Verhaltensmuster innerhalb der Netzwerke eines Unter- fahrenpotenzial zu priorisieren und in den Mittelpunkt zu
nehmens zu studieren.⁸ Sobald ein Grundverständnis über rücken, ist ein Segen für Unternehmen, die mit begrenzten
die Muster vorhanden war, begann die Malware, normales Cybersecurity-Mitteln ihre kritischen Ressourcen schützen
Netzwerkverhalten nachzuahmen, um selbst nicht erkannt zu möchten. Das birgt jedoch die Gefahr, dass einige Sicher-
werden. heitsspezialisten (Sicherheitsanalysten von Tier 1 und Tier
2 oder Analysten im Security Operations Centre [SOC]) in
den kommenden 5 bis 10 Jahren durch KI ersetzt werden
könnten.⁹
www.tuv.com/pentest
8 Wall Street Journal, The Morning Download: First AI-Powered Cyberattacks Are
Detected, November 2017
9 Security Now, Ai is stealing these IT-Security-Jobs now, März 2018C Y B E R S E C U R I T Y T R E N D S 2 01 8 17
Trend 6:
Zertifizierungen werden wichtig, um das
Vertrauen in Cybersecurity zu stärken
Es herrscht weitgehend Einigkeit darüber, dass Cybersecurity und
Datenschutz integrale Bestandteile einer digitalen und vernetzten Welt sind.
Aber: Wie lässt sich das Schutzniveau eines Unternehmens objektiv ein-
schätzen? Die Bedenken, ob und inwieweit Cybersecurity tatsächlich umgesetzt
wird, nehmen zu. Dies führt dazu, dass bestehende und neue Standards, die
Cybersecurity-Strategien international vergleichbar machen, immer stärker an
Relevanz gewinnen. Für CISOs und Produkthersteller sind Zertifizierungen
wichtig, um nachzuweisen, dass sie getan haben, was sie versprochen haben.
Die Zertifizierungsverfahren für die Bestätigung der IT-Sicherheit von Produkten
konzentrieren sich heute jedoch vor allem auf kritische Infrastrukturen und
öffentliche Hand. Wo bleiben die Hersteller von Verbraucherprodukten?
WIRKUNGSVOLLE CYBERSECURITY IST VORAUSSETZUNG für ICT-Produkte und ein IoT-Siegel für Vertrauenswürdig-
FÜR EINE FUNKTIONSFÄHIGE, IOT-BASIERTE WIRTSCHAFT keit („Trusted IoT Label”). Diese enthalten Informationen
Angesichts der Tatsache, dass immer mehr Services online über die verschiedenen Stufen des Datenschutzes und
bereitgestellt und immer mehr vernetzte Geräte eingesetzt der Sicherheit und demonstrieren, sofern zutreffend, die
werden, wird deutlich, dass Cybersecurity eine kritische Compliance mit der Richtlinie über die Sicherheit von Netz-
Bedeutung für die Überlebensfähigkeit unserer digitalen Wirt- und Informationssystemen (NIS-Richtlinie); die 2016 vom
schaft hat. Der Schutz unseres digitalen Ökosystems, von der Europaparlament verabschiedet wurde.
kritischen Infrastruktur bis hin zu Verbrauchergeräten, muss
eine elementare Voraussetzung für das digitale Geschäft AU S W I R K U N G E N AU F G E S C H Ä F T L I C H E Ö KO SYST E M E
sein. Das bedeutet, dass Cyber-Bedrohungen eine ernsthafte UND LIEFERKETTEN
Gefahr für das moderne Gesellschaftsgefüge darstellen.10 Die andauernde digitale Transformation des Geschäfts führt
zu immer komplexeren und stärker vernetzten Ökosystemen
DAS F Ü H RT Z U WAC H S E N D E N B E D E N K E N I M H I N B L I C K und Lieferketten. Die Automobilindustrie ist dafür ein gutes
AU F DAS V E RT R AU E N I N CY B E R S E C U R I TY Beispiel. In diesem Sektor gewinnt der TISAX-Audit (Trusted
Der globale Risikobericht des diesjährigen Weltwirtschafts- Information Security Assessment Exchange) zunehmend
forums legt dar, dass sich Cyber-Angriffe auf Unternehmen an Bedeutung. TISAX gibt akkreditierten Anbietern die
in den letzten fünf Jahren verdoppelt haben. Das hat in Möglichkeit, gegenseitig anerkannte Bewertungen
diesem Jahr die Angst vor Cyber-Angriffen und massiven basierend auf dem Information Security Assessment des
Datendiebstählen enorm geschürt. In der allgemeinen VDA (Verband der Automobilindustrie) anzubieten; welches
Wahrnehmung zählen diese beiden Aspekte zu den fünf wiederum auf einem Katalog von Kriterien für die Informati-
wahrscheinlichsten globalen Risiken.11 Eine Umfrage des onssicherheit basiert, der die Schlüsselaspekte der inter-
Pew Research Center hat ergeben, dass die Mehrheit nationalen Normen ISO/IEC 27001 und 27002 umfasst.
(64%) der Amerikaner bereits Opfer einer größeren Da-
tenschutzverletzung wurden und dass viele Verbraucher
den Unternehmen nicht zutrauen, ihre persönlichen Daten
10 DIGITALEUROPE’s views on Cybersecurity Certification and Labelling
ausreichend zu schützen.12 In Europa hat die Europäische Schemes, März 2017
Kommission zwei Initiativen für die Zertifizierung und 11 World Economic Forum: The Global Risks Report 2018, 13th Edition
12 Pew Research Center, Americans and Cybersecurity, Januar 2017
Kennzeichnung angekündigt: einen SicherheitsrahmenC Y B E R S E C U R I T Y T R E N D S 2 01 8 18
„Eine Zertifizierung signalisiert ein entsprechendes
Niveau der IT-Sicherheit gemäß nationaler oder
internationaler Standards. Das schafft eine Vergleichs-
möglichkeit auf dem Markt und Vertrauen – wenn der
D R . DA N I E L H A M B U R G ,
Leiter, Center of Excellence
Zertifizierungsrahmen transparent und übersichtlich
Testing and Certification,
TÜV Rheinland ist.”
Z E R T I F I Z I E R U N G E N B E STÄT I G E N , DAS S S I E DAS G E TA N definieren und nur Zertifizierungsstellen innerhalb der eigenen
H A B E N , WAS S I E V E R S P R O C H E N H A B E N geografischen Region anerkennen, können Marktfragmen-
Mit der Einsicht, dass Cybersecurity von kritischer Bedeutung tierung schaffen. Die jüngsten Erfahrungen mit allgemeinen
ist, stellt sich die Frage: Wie lässt sich das Schutzniveau eines Kriterien haben gezeigt, dass selbst bei einem länderübergrei-
Unternehmens objektiv einschätzen? Das Vorliegen einer fenden Konzept globaler Support erforderlich ist, um zu verhin-
entsprechenden Zertifizierung spielt etwa bei der DSGVO eine dern, dass für ein Produkt mehrere regionale Zertifizierungen
wichtige Rolle, so u.a. bei der Entscheidung über das Ob und gelten. Letztendlich ist Cybersecurity eine globale Angelegen-
die Höhe von Bußgeldern, falls das Unternehmen nicht alle heit, für die internationale Lösungen gefragt sind.
Vorgaben erfüllt oder dagegen verstößt. Eine Zertifizierung
kann belegen, dass sich das Unternehmen eingehend mit V E R B R AU C H E R B E N ÖT I G E N V E R STÄ N D L I C H E ,
einer neuen Verordnung oder einem bereits bestehenden T R A N S PA R E N T E I N F O R M AT I O N E N
Standard auseinandergesetzt und diese gänzlich umgesetzt Die unabhängige Produktevaluierung kann jedoch ein
hat. ressourcenintensiver Prozess sein und konzentriert sich daher
auf risikoreiche Produkte und Dienstleistungen der Regierung
R E G U L I E RT E Z E RT I F I Z I E R U N G S SYS T E M E H I N K E N D E R oder der kritischen Infrastruktur. Das öffnet die Tür für pro-
M A R K T N AC H F R AG E H I N T E R H E R zessbasierte Konzepte wie ISO/IEC 27034 sowie für Zertifi-
Die Idee eines Rahmenwerks für die Sicherheitszertifizierung zierungen für spezifische Systemtypen wie ISA/IEC 62443.
von Produkten und Dienstleistungen ist genau der richtige Doch mit dem steigenden Druck, noch schnellere und noch
Ansatz. Es muss aber sichergestellt werden, dass die Zertifi- billigere Produktentwicklungszyklen zu realisieren, müssen
zierung nach Möglichkeit auf globaler Ebene erfolgt und kein agile Beurteilungsschemata, bei denen Umgebungen für die
trügerisches Sicherheitsgefühl schafft, denn 100-prozentige Testautomatisierung zum Einsatz kommen, erstellt und
Sicherheit gibt es in der IT nicht. Zertifizierungsprogramme auf weiterentwickelt werden.
nationaler Ebene, die Standards und Evaluierungsmethoden
www.tuv.com/datenschutz-zertifizierungC Y B E R S E C U R I T Y T R E N D S 2 01 8 19
Trend 7:
Ablösung der Kennwörter durch
biometrische Authentifizierung
Unser digitales Leben wird durch ein komplexes Netz aus Online-Apps
bestimmt, unsere digitale Identität durch Benutzernamen und Passwörter
geschützt. Um den Schutz der digitalen Identität hinter diesen Apps zu
steigern, wird empfohlen, schwer zu erratende und komplexe Kennwörter
zu verwenden und diese regelmäßig zu ändern. In der Praxis geschieht
das aber nur selten. Mit der exponentiellen Zunahme der Rechen-
leistung und dem einfachen Zugang über die Cloud können Kennwör-
ter in einer immer kürzeren Zeit geknackt werden. Was 2000 noch fast 4
Jahre gedauert hat, ist heute in 2 Monaten erledigt.13 Wenn man bedenkt,
dass Kennwörter häufig gestohlen, gehackt und gehandelt werden, wird
klar, dass sie noch nie offener verfügbar waren als heute. Aus diesem
Grund begegnen wir heute bei Mobiltelefonen, Tablets und Laptops und
auch bei physischen sowie Online-Services vermehrt der biometrischen
Authentifizierung (Gesicht, Fingerabdruck, Iris und Sprache).
BEWÄHRTE KENNWORTRICHTLINIEN SIND ALLSEITS 18 Monate verdoppelt. Außerdem werden Cyber-Kriminelle
BEKANNT, SORGEN ABER IN DER PRAXIS FÜR FRUSTRATION immer versierter. Beispiel: War ein Kennwort im Jahr 2000
Traditionelle Best-Practice-Konzepte für die Erstellung von erst nach fast vier Jahren zu knacken, dauerte das 2004 nur
Kennwörtern haben uns träge werden lassen. Der Zwang, noch etwas über ein Jahr und fünf Jahre später
Großschreibung, Sonderzeichen und Ziffern zu verwenden in 2009 nur noch 4 Monate. In der heutigen Zeit können
und das Kennwort alle 90 Tage zu ändern, hat zu Kennwör- Kennwörter einfach nicht mehr den komplexen
tern wie „P@ssW0rd123!“ geführt. Das gegebene Passwort Cyber-Bedrohungen standhalten. Ein Drittel der Cyber-
ist nicht leicht zu merken, aber relativ einfach zu erraten. Kriminalität entfällt auf gestohlene Kennwörter. Bisher
Wer sich nach einem längeren Zeitraum wieder an einer wurden bereits über 1,5 Milliarden Kennwörter gestohlen.
Anwendung anmelden möchte, ist schnell frustriert, denn
das Kennwort ist vergessen und muss deshalb zurückgesetzt
werden. Das Problem ist, dass die meisten Menschen immer
dasselbe Schema für die Erstellung von Kennwörtern verwen- „Adaptive, risiko-
den. Dadurch sind diese vorhersagbar und besonders anfällig basierte Authenti-
gegen Algorithmen zum Knacken von Kennwörtern, die sich sierungslösungen
die Physiognomie von Passwörtern zunutze machen.
werden häufiger.
DAS MOORESCHE GESETZ LÄSST KENNWÖRTER MIT Doch die Zukunft
DER ZEIT SCHWÄCHER WERDEN MARK CODERRE,
Leiter, Center of
der Authentisierung
Im Laufe der Zeit werden Kennwörter in bedrohlichem
Maße schwächer, da sich die Rechenleistung ungefähr alle
Excellence Risk &
Compliance,
hat bereits
TÜV Rheinland
begonnen.“
13 Better Buys, Estimating password cracking timesSie können auch lesen
