Cybersecurity Trends 2019 - Cybersecurity und Datenschutz in einer zunehmend digitalen Welt - Werbas AG
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cybersecurity Trends 2019 Cybersecurity und Datenschutz in einer zunehmend digitalen Welt. www.tuv.com/informationssicherheit
C Y B ERS EC U R I T Y T R EN D S 2 019 2
Inhalt
03 Grußwort
04 Zusammenfassung
06 Trend 1 – Management hat die Bedeutung
der Cybersecurity erkannt
09 Trend 2 – Industrielle Cybersecurity unter
dem Niveau allgemeiner IT-Standards
11 Trend 3 – Vielzahl an Standards als Herausfor-
derung für IoT-Cybersecurity
13 Trend 4 – DSGVO als Wendepunkt beim
Datenschutz
15 Trend 5 – Akuter Fachkräftemangel in der
Cybersecurity
18 Trend 6 – SOAR-Prinzip bei Gefahrenabwehr
von entscheidender Bedeutung
Cybersecurity-Trends 2019 (c) TÜV Rheinland.
Alle Rechte vorbehalten. Verantwortlich im Sinne des 20 Trend 7 – Red-Team-Tests und agile Sicherheit
Pressegesetzes sowie des Diensteanbieters gemäß
§ 6 des Medienvertrages und § 6 des Teledienstge- gewinnen an Bedeutung
setzes ist der Betreiber der Website, TÜV Rheinland.
Stefanie Ott, Business Officer Marketing, 22 Trend 8 – Cybersecurity entscheidet über
Digital Transformation & Cybersecurity, TÜV Rheinland. Erfolg in der digitalen Wirtschaft
C Y B ERS EC U R I T Y T R EN D S 2 019 3
Grußwort
Liebe Leserinnen, liebe Leser,
bei der Fortsetzung unserer bewährten Cybersecurity Trends zeigte sich deutlich, dass sich auch die Ereignisse des
Jahres 2018 als große Herausforderung für jeden erwiesen, der sich mit Cybersecurity befasst. Zwar blieben verheerende
Attacken mit weitreichenden Folgen und breiter öffentlicher Diskussion, wie die WannaCry- und NotPetya-Angriffe aus dem
Jahr 2017, aus, doch zeigten zahlreiche kleinere Vorfälle – von der Öffentlichkeit weitgehend unbeachtet – deutlich, dass die
Umsetzung von Cybersecurity und Datenschutz nach wie vor ein schwieriges und heikles Unterfangen ist.
So konnten wir Anfang 2018 eine völlig neue Angriffsmethodik genauestens verfolgen. Diese konzentrierte sich auf die
entdeckten Sicherheitslücken – genannt „Meltdown“ und „Spectre“ – in der Architektur vieler moderner Mikroprozessoren.
Es könnte Jahre dauern, ehe diese Lücken geschlossen werden. Im weiteren Verlauf des Jahres sorgten die Attacken mit
der Erpressersoftware „Ransomware“ auf die Stadt Atlanta sowie die Häfen von San Diego und Barcelona für Aufmerksam-
keit. Ein beunruhigendes Zeichen dafür, dass Cyberkriminelle nun auch die für die Wirtschaft unverzichtbare Infrastruktur
ins Visier nehmen.
Das Jahr 2018 ist ein Beleg dafür, dass beim Datenschutz weiterhin großer Handlungsbedarf erforderlich ist. Der Daten-
skandal um Facebook und Cambridge Analytica, die Datenschutzverletzung bei rund 500 Millionen Kunden von Marriot
International sowie der Anfang 2019 bekannt gewordene Diebstahl großer Mengen personenbezogener Daten von deut-
schen Politikern und Prominenten sind dafür die bekanntesten Beispiele. Die jüngste Entdeckung großer gestohlener
Datensammlungen mit den Namen „Collection #1“ bis „Collection #5“ macht deutlich, dass Cyberkriminelle in der Lage
sind, tausende kleine und unbeachtete Datenschutzverletzungen zu nutzen, um aus diesen große, sensible Datensätze zu
generieren.
Vor diesem Hintergrund stellt die digitale Transformation zur „Industrie 4.0“ für Unternehmen und Organisationen eine
Herausforderung historischen Ausmaßes dar. Es gibt eine Vielzahl an Risiken, die auch nach dem begrüßenswerten Inkraft-
treten der neuen EU-Datenschutz-Grundverordnung im Mai 2018 bestehen und beachtet werden müssen.
In unseren Trends 2019 untersuchen wir, wie sich die Cyberkriminalität auf die Operational Technology (OT) in der Industrie
sowie das Internet of Things (IoT) auswirkt. Wir analysieren zudem, welchen Einfluss sie auf den anhaltenden Fachkräfte-
mangel und das Management von Unternehmen hat. Des Weiteren beleuchten wir Methoden wie das zielgerichtete Red
Teaming, agile Sicherheit, Automatisierung, lernfähige Systeme und Big-Data-Analysen, die vermehrt in den Fokus der
Cybersecurity rücken.
Wir bei TÜV Rheinland sind überzeugt, dass existierende sowie zukünftige
Probleme und Herausforderungen bei Cybersecurity und Datenschutz gemeistert
werden können – auch wenn sie mitunter noch so überwältigend erscheinen.
Dazu bedarf es entschlossenen Handelns und des unbedingten Willens, in das
dringend benötigte Fachwissen zu investieren. Wir werden unsere Kunden auf
diesem Weg unbeirrbar unterstützen und gemeinsam große Fortschritte erzielen.
BJÖRN HAAN, GESCHÄFTSFÜHRER IM GESCHÄFTSFELD
CY B E R S E C U R I T Y D E U T S C H L A N D, T Ü V R H E I N L A N D
C Y B ERS EC U R I T Y T R EN D S 2 019 4
Zusammenfassung
Cybersecurity und Datenschutz in einer
zunehmend digitalen Welt.
T R E N D 1 : M A N A G E M E N T H AT D I E B E D E U T U N G Standards existieren. Verwirrend für so manches Unterneh-
DER CYBERSECURIT Y ERK ANNT men, das bei der Suche nach geeigneten Standards viel Zeit
Trotz aller Warnungen wurde Cybersecurity lange Zeit nicht aufwenden muss. Das gilt besonders für global agierende
als Geschäftsrisiko, sondern als IT-Problem betrachtet. Erst Unternehmen, die auf einen nachvollziehbaren Weg bei der
die Auswirkungen des NotPetya-Angriffs im Jahr 2017 än- Etablierung von Sicherheitsstandards angewiesen sind,
derten diese Sichtweise, da mehrere große Unternehmen um Konformität in allen Prozessen zu gewährleisten. Die
infolge des Angriffs starke Verluste vermeldeten. Berich- Existenz von zu vielen, mitunter konkurrierenden Standards
ten zufolge kostete die Attacke den Transportgiganten ist in dieser Hinsicht nicht zielführend.
Maersk und FedEx, das Werbeunternehmen WPP und das
Haushaltswarenunternehmen Reckitt Benckiser mehre- TR END 4: DSGVO AL S WENDEPUNK T BEIM
re hundert Millionen Euro, was NotPetya zum teuersten D AT E N S C H U T Z
Cyberangriff der Geschichte macht. Beinahe schlagartig Schon wenige Monate nach Inkrafttreten der Daten-
wurde aus einem hypothetischen Problem ein anerkanntes schutz-Grundverordnung der EU (DSGVO) im Mai 2018
Geschäftsrisiko. Diese Erkenntnis und ein verstärktes Pro- wurden erste Gerichtsurteile bekannt. Darunter eine
blembewusstsein beim Datenschutz führen dazu, dass das Geldbuße in Höhe von 50.000.000 Euro, die einem großen
Management der Cybersecurity und die Verantwortlichkei- Suchmaschinenbetreiber von Frankreichs Datenschutzbe-
ten für diese Herausforderung neu bewertet werden – die hörde CNIL auferlegt wurde, weil dieser seine Nutzer nicht
Führungsebenen der Unternehmen sind gefordert. klar und verständlich über die Nutzung ihrer persönlichen
Daten informiere. Obwohl die tatsächliche DSGVO-Um-
TREND 2: INDUSTRIELLE CYBERSECURIT Y UNTER setzung bzw. Strafverfolgung nur langsam anläuft und die
D E M N I V E A U A L L G E M E I N E R I T- S TA N D A R D S ersten verhängten Geldbußen eher niedrig waren, steht
OT-Systeme ermöglichen es, Computerprozesse durch die fest, dass die DSGVO den Datenschutz nicht nur in der EU,
direkte Steuerung und Überwachung physischer Geräte sondern weltweit maßgeblich beeinflussen wird. Für die
wie Elektromotoren, Ventile oder Relais zu erkennen und meisten Branchen wird es preiswerter sein, ihre Produkte
zu verändern. Die Cybersecurity dieser oft sicherheitskriti- und Dienstleistungen so zu entwickeln und zu gestalten,
schen Systeme, die u. a. von Energieversorgungsunterneh- dass sie den höchsten weltweiten Standards entsprechen,
men, Wasserbetrieben und Industrie verwendet werden, anstatt sich auf regionale Regelungen zu beschränken.
wurde lange vernachlässigt. Gleichgültigkeit und der daraus
resultierende Unwille zu entsprechenden Investitionen T R E N D 5: A KU T E R FAC H K R Ä F T E M A N GE L I N DE R
prägten das Bild – bei der Cybersecurity fielen OT-Systeme CYBERSECURIT Y
im Vergleich zu allgemeinen IT-Standards zurück. Aufgrund Die Bedeutung von Cybersecurity hat zugenommen. Es
neuer Technologien und geopolitischer Spannungen ist gibt jedoch nicht genügend Fachpersonal, um den Be-
ein grundlegendes Umdenken erforderlich. Es sollte alles darf zu decken. Bis zum Jahr 2020 könnten weltweit
Erdenkliche unternommen werden, um diese Systeme vor 1,5 Millionen Fachkräfte fehlen – bis 2021 könnte sich diese
den Attacken Cyberkrimineller zu schützen und sie in dieser Zahl Schätzungen zufolge mehr als verdoppeln. Bei einem
Beziehung auf den Stand aktueller Sicherheitsstandards zu so extremen Fachkräftemangel treten häufig Marktverzer-
bringen. rungen auf: Während größere, finanzstarke Unternehmen
und Dienstleister in der Lage sind, kompetente Mitarbeiter
T R E N D 3 : V I E L Z A H L A N S TA N D A R D S A L S H E R A U S - zu rekrutieren, haben kleinere Unternehmen in einigen
F O R D E R U N G F Ü R I O T- C Y B E R S E C U R I T Y Branchen hier das Nachsehen. Dies macht die Cybersecu-
Weltweit erarbeiten Normenorganisationen und Indust- rity nicht nur zwangsläufig teurer, sondern wirkt sich auch
riezweige Sicherheits- und Datenschutzstandards für die auf die Sicherheit von Lieferketten aus, in denen große und
jeweiligen Entwicklungsstufen von IoT und OT. Dieses Be- kleinere Unternehmen wirtschaftlich miteinander verbun-
streben mit besten Absichten führt jedoch auch dazu, dass den sind. Aus diesem Grund ist die IT-Sicherheit für alle
inzwischen unzählige regionale und branchenspezifische Stakeholder von großer Bedeutung und sollte daher auch
C Y B ERS EC U R I T Y T R EN D S 2 019 5
für alle zugänglich sein. Wenn der akute Fachkräftemangel einzelner Komponenten, beispielsweise Anwendungen, Ge-
nicht behoben werden kann, stehen wir bei der Cyberse- räte oder Infrastrukturen, analysieren, ist das Red Teaming
curity zukünftig vor noch größeren Herausforderungen als ein ganzheitlicher Ansatz. Dieser berücksichtigt auch
ohnehin schon. umfassendere Themen wie Social Engineering, Hijacking
von Social Media, den physischen Zutritt zu Gebäuden
T R E N D 6: SOA R- PR I NZ I P B E I GE FA H R E N A BW E H R VON oder auch eigene Mitarbeiter mit böswilligen Absichten. Im
ENTSCHEIDENDER BEDEUTUNG Gegensatz zu herkömmlichen Tests versucht Red Teaming
Das Prinzip „Sicherheitsorchestrierung, Automatisierung zu verstehen, wie diese Faktoren interagieren und betrach-
und Reaktion“ (SOAR) hat das Potenzial, Vorfälle schneller tet sie nicht als eine Reihe separater Ebenen. So dient Red
zu erkennen, auf diese zu reagieren und somit die Auswir- Teaming zugleich der Analyse und Optimierung von An-
kungen eines Cyberangriffs zu minimieren. Größter Vorteil griffserkennung und -abwehr. In diesem Zuge sind zugleich
sind dabei die automatisierten Workflows zur Eingrenzung agile Sicherheitstests, die bereits während der Entwicklung
von Bedrohungen, die entscheidend für den Umgang mit einer Software möglichst viele Schwachstellen erkennen
sich schnell ausbreitender schädlicher Malware sind. Wei- sollen, von großer Bedeutung.
tere Vorteile bieten standardisierte Prozesse zur Unter-
suchung von Cyberangriffen, eine schnelle Priorisierung TREND 8: CYBERSECURIT Y ENTSCHEIDET ÜBER ER-
und Reaktion, die Möglichkeit der proaktiven Suche nach F O L G I N D E R D I G I TA L E N W I R T S C H A F T
Bedrohungen sowie die Verbesserung der Qualität und Die moderne Welt entwickelt sich rasant zu einer digita-
Effizienz von Erkennungs- und Reaktionsprozessen. Die len, wissensbasierten „Industrie 4.0“-Wirtschaft. Dieser
Implementierung dieser neuen automatisierten Prozesse Wandel hat eine ähnliche Bedeutung wie die industrielle
erfordert jedoch Investitionen und Planung seitens des Revolution im 18. Jahrhundert. Die grundlegende Heraus-
Unternehmens. Und das zu einer Zeit, in der entsprechende forderung dieses Prozesses besteht darin, zu wissen, wie
Lösungen wie Security Information & Event Management seine Sicherheit gewährleistet werden kann, woher die
(SIEM) noch in den Kinderschuhen stecken. Ressourcen dafür kommen sollen und welche globalen
Standards erforderlich sind. Nur so lässt sich die Entwick-
T R E N D 7 : R E D -T E A M -T E S T S U N D A G I L E S I C H E R H E I T lung so reibungslos wie möglich gestalten. Die Fähigkeit,
GEWINNEN AN BEDEUTUNG diese Herausforderungen zu meistern, entscheidet über
Red Teaming entstammt den sogenannten Penetrations- den Erfolg von Volkswirtschaften, Wirtschaftssektoren und
tests. Beim Red Teaming wird simuliert, wie ein Angreifer vielleicht sogar von politischen Systemen. So ist es mög-
unter realen Bedingungen in ein Unternehmen eindringen lich, dass diese Entwicklung für viele große Organisationen
und Zugang zu Ressourcen erlangen kann. Während her- auf die einfachen Szenarien Erfolg oder Misserfolg hinaus-
kömmliche Penetrationstests jedoch die Schwachstellen läuft – einen Mittelweg wird es für viele nicht geben.
C Y B ERS EC U R I T Y T R EN D S 2 019 6 Trend 1 – Management hat die Bedeutung der Cybersecurity erkannt Trotz aller Warnungen wurde Cybersecurity lange Zeit nicht als Geschäftsrisiko, sondern als IT-Problem betrachtet. Erst die Auswirkungen des NotPetya-Angriffs im Jahr 20171 änderten diese Sichtweise, da mehrere große Unternehmen infolge des Angriffs starke Verluste2 vermeldeten. Berichten zufolge koste- te die Attacke den Transportgiganten Maersk und FedEx, das Werbeunternehmen WPP und das Haushaltswarenunterneh- men Reckitt Benckiser mehrere hundert Millionen Euro, was NotPetya zum teuersten Cyberangriff der Geschichte macht. Beinahe schlagartig wurde aus einem hypothetischen Problem ein anerkanntes Geschäftsrisiko. Diese Erkenntnis und ein ver- stärktes Problembewusstsein beim Datenschutz führen dazu, dass das Management der Cybersecurity und die Verantwort- lichkeiten für diese Herausforderung neu bewertet werden – die Führungsebenen der Unternehmen sind gefordert.
C Y B ERS EC U R I T Y T R EN D S 2 019 7
C Y B E R S E C U R I T Y E R H Ä LT O F T M A L S H Ö C H S T E schützen sich Unternehmen mit einer innovativen Cyber-
P R I O R I TÄT security-Kultur nicht nur effizienter, sondern sind in ihrer
Cybersecurity-Risiken wurden in eine Liste von Problemen Handlungsweise auch schneller und flexibler als die Konkur-
aufgenommen, die sich im Zusammenhang mit der digita- renz. Der Erfolg ist jenen Unternehmen gewiss, die in der
len Transformation und den frühen Phasen der daten- und Lage sind, Veränderungen zu bewältigen und sie sogar zu
automationsgesteuerten digitalisierten Wirtschaft der ihrem Vorteil zu nutzen.
„Industrie 4.0“ stellen. Offensichtlich ist die IT-Sicherheit
ein immenses Hindernis für die erfolgreiche Teilhabe an der C H I E F I N F O R M AT I O N S E C U R I T Y O F F I C E R V O N
„Industrie 4.0“ – nicht zuletzt messbar an realen finanzi- E L E M E N TA R E R B E D E U T U N G
ellen Verlusten. So ist es nicht verwunderlich, dass die Ein Chief Information Security Officer (CISO) ist für Unter-
Organisation der Cybersecurity in vielen Führungsebenen nehmen mit einer etablierten und starken Cybersecurity
ganz oben auf der To-do-Liste steht. Die Art und Weise, in der Regel unverzichtbar. Er ist Mitglied der Geschäfts-
wie diese in die Beschlussfassung einer Geschäftsleitung leitung und erstattet der Abteilung Risikomanagement
integriert ist, gibt Aufschluss über die Reife eines Unter- Bericht. Der CISO spielt vor allem dann eine wesentliche
nehmens. Rolle, wenn es darum geht, Geschäftsziele mit den immer
komplexeren und unvorhersehbaren Cybersecurity-Risi-
CYBERSECU R IT Y AL S WE T TBE WER BSVOR TEIL ken zu verknüpfen. Denn diesen Aspekt innerhalb einer
Die Häufung folgenschwerer Cyberangriffe macht die Geschäftsstrategie sollten Geschäftsleitungen nicht dem
Cybersecurity zu einem Faktor, der selbst auf etablierte, Zufall überlassen. Mit einem CISO können Sie stattdessen
erfolgreiche und erfahrene Unternehmen enormen Druck auf Fachwissen zurückgreifen, das sowohl Technik als auch
ausübt. Diejenigen, die diesem Geschäftsrisiko schon in der Management eines potenziellen Risikos versteht. Der CISO
Geschäftsleitung begegnen, haben es leichter, ein sicheres bietet Fachwissen, das für die Lösung eines solchen Prob-
und nachhaltiges Wachstum zu generieren. Gleichermaßen lems meist zwingend erforderlich ist.
C Y B ERS EC U R I T Y T R EN D S 2 019 8
I N V E S T I T I O N S KO S T E N B R E M S E N D E N F O R T S C H R I T T Jahr 2013 und die auf Sony im darauffolgenden Jahr. Nach
Vielen Unternehmen fällt es immer noch schwer, Investitio- der Attacke auf Equifax im Jahr 2017 scheinen die Forde-
nen in die Cybersecurity im Zusammenhang mit Rentabilität rungen nach der persönlichen Verantwortungsübernahme
(ROI) zu sehen. Selbst wenn diese als Risikosenkung aus- von Führungskräften wieder lauter geworden zu sein. Ein
gedrückt wird. Um dies zu ändern, muss Cybersecurity als Zeichen für die sich ändernde Kultur der Rechenschafts-
Innovation verstanden werden. Und eben nicht nur als eine pflicht. Denn nun müssen die oberen Führungsebenen
Kontrollaufgabe der IT, die somit auch besser der IT-Ab- Probleme erklären, die möglicherweise mehrere Ebenen
teilung überlassen werden sollte. Unterdessen müssen unterhalb ihrer Position aufgetreten sind. Immer häufiger
Cybersecurity-Experten Strategien entwickeln, wie sie den muss die Geschäftsführung belegen, dass sie Investitionen
kontinuierlichen Wandel unterstützen und geschäftliches getätigt und Entscheidungsstrukturen geschaffen hat, die
Wachstum durch Innovation vorantreiben können. Durch die es den Fachkräften in einzelnen Abteilungen ermöglicht,
Ausrichtung der Cybersecurity-Strategie in Verbindung mit Daten so zu verwalten, dass Risiken gemindert sowie ge-
der Geschäftsstrategie ist die Geschäftsleitung in der Lage, eignete Reaktionssysteme für den Fall einer Datenschutz-
die Notwendigkeit der Bereitstellung von Mitteln zu erken- verletzung oder eines Angriffs entwickelt werden konnten.
nen, um ein schnelles, innovatives und sicheres Wachstum In Addition mit dem steigenden Druck durch die strenger
des Unternehmens zu gewährleisten. werdenden Datenschutzbestimmungen wird deutlich, dass
Cyberangriffe schon heute definieren, welche Anforderun-
FÜHRUNGSEBENEN STEHEN VERMEHRT IN DER gen kompetentes Management erfüllen muss.
VER ANT WORTUNG
Die Ansicht, dass CEOs und Führungskräfte persönlich für
Cyberangriffe verantwortlich gemacht werden sollten, ist
1 The Untold Story of NotPetya, Wired Magazine, 9 September 2018
kein neues Phänomen. Man denke nur an die Folgen der 2 Manufacturers Remain Slow to Recognize Cybersecurity Risks,
Angriffe auf die US-amerikanische Handelskette Target im New York Times, 21 November 2018
EXPERTE – WOLFGANG KIENER
Wolfgang Kiener ist weltweit für die
strategische Dienstleistungsentwick-
lung im Bereich Threat Management
verantwortlich. Mit mehr als 15 Jahren
Berufserfahrung in internationalen
Großkonzernen wie Siemens, T-Sys-
tems, Verizon und CSC verfügt er über
umfangreiche Erfahrungen in der Ent-
wicklung innovativer Cybersecurity-
Dienstleistungen unter Berücksichti-
gung technologischer und kommer-
WOLFGANG KIENER
zieller Gesichtspunkte.
Global Head, Advanced Threat Center
of Excellence, TÜV Rheinland
C Y B ERS EC U R I T Y T R EN D S 2 019 9 Trend 2 – Industrielle Cybersecurity unter dem Niveau allgemeiner IT-Standards OT-Systeme ermöglichen es, Computerprozesse durch die direkte Steuerung und Überwachung physischer Geräte wie Elektromotoren, Ventile oder Relais zu erkennen und zu ver- ändern. Die Cybersecurity dieser oft sicherheitskritischen Systeme, die u. a. von Energieversorgungsunternehmen, Wasserbetrieben und Industrie verwendet werden, wurde lange vernachlässigt. Gleichgültigkeit und der daraus resul- tierende Unwille zu entsprechenden Investitionen prägten das Bild – bei der Cybersecurity fielen OT-Systeme im Ver- gleich zu allgemeinen IT-Standards zurück. Aufgrund neuer Technologien und geopolitischer Spannungen ist ein grund- legendes Umdenken erforderlich. Es sollte alles Erdenkliche unternommen werden, um diese Systeme vor den Attacken Cyberkrimineller zu schützen und sie in dieser Beziehung auf den Stand aktueller Sicherheitsstandards zu bringen. A N G R I F F E A U F S I C H E R H E I T S K R I T I S C H E O T- S Y S T E M E M O T I VAT I O N F Ü R W E I T E R E A N G R I F F E HABEN BEGONNEN Da fast immer mehrere Cyberkriminelle an ähnlichen Der Triton-Malware-Angriff1 aus dem Jahr 2017 war der Angriffen arbeiten, ist es wahrscheinlich, dass der Einsatz erste öffentlich dokumentierte Cyberangriff auf indus- und der Beinaheerfolg von Triton den Auftakt zu weiteren trielle Steuerungssysteme (Industrial Control Systems, schwerwiegenden Zwischenfällen darstellt. Die Schwach- ICS). Es war der erste Versuch, die Funktionsweise eines stellen, die bei solchen Angriffen ausgenutzt werden, Sicherheitssystems (Safety Instrumented System, SIS) zu bestehen wahrscheinlich schon seit Jahrzehnten. Die akute stören, das in einer Industrieanlage zur Notabschaltung Bedrohung entsteht jedoch dadurch, dass diese Syste- von Industrieprozessen im Fall von Feuer oder Explosionen me erst in letzter Zeit aus einer Reihe von betrieblichen eingesetzt wurde. Dieser Vorfall markierte nicht nur einen Gründen ans Internet angeschlossen wurden. Dies schafft Wendepunkt in der Beschaffenheit von Cyberangriffen. neue Risiken, die erst jetzt langsam verstanden werden. Ein Er war auch Hinweis darauf, dass sich Angreifer nun auch Großteil dieser Risiken wurde unter anderem durch standar- sicherheitskritische Systeme zum Ziel nehmen. Zudem disierte IT-Komponenten und -Systeme geschaffen, die ihre wurde deutlich, dass das Angriffsframework, auf dem Tri- eigenen Schwachstellen aufweisen. ton basiert, mit großer Sicherheit auch anderen potenziellen Angreifern zur Verfügung steht.
C Y B ERS EC U R I T Y T R EN D S 2 019 10
E R F O L G R E I C H E R A N G R I F F A U F O T O D E R I C S H ÄT T E sicherheitskritische Systeme managen, nicht in Cyberse-
P O L I T I S C H E KO N S EQ U E N Z E N curity investieren, und daraus Schwachstellen resultieren.
Sollte ein Angriff ein wichtiges Wirtschaftsgut beschädigen Solange entsprechende Strafen ausbleiben, besteht die
oder zerstören, wäre der Druck auf private Unternehmen Gefahr, dass verantwortliche Manager auf Vorfälle jeglicher
und Regierungen groß – Veränderungen wären die zwin- Art mit Gleichgültigkeit reagieren. Die aktuellen Rechts-
gende Folge. Bisher wurden entsprechende Attacken ent- vorschriften zu Sicherheit und Gesundheitsschutz sind
weder als theoretisches Szenario oder als Ereignis angese- so gestaltet, dass ein Angreifer aus der Ferne möglichst
hen, das im Verantwortungsbereich einzelner Unternehmen keinen schwerwiegenden Zwischenfall herbeiführen kann.
liegt. Was dabei fatalerweise nicht berücksichtigt wird: Die Der gleiche Standard sollte für die Cybersecurity von OT
neue Welle der Cyber-Angriffe auf OT- und ICS-Systeme und ICS gelten. Dabei sollte berücksichtigt werden, dass
zielt vom Wesen her auf die Zerstörung ganzer Branchen, Unternehmen, die nicht über die notwendigen Ressourcen
Volkswirtschaften und politischer Systeme ab. Dies macht verfügen, um in Cybersecurity zu investieren, staatliche
verstärktes Mitwirken von Regulierungsbehörden und Anreize bzw. Unterstützung benötigen könnten.
Politikern erforderlich, um auch politische Rückschläge zu
vermeiden. O T- R I S I K E N M Ü S S E N B E S S E R V E R S TA N D E N W E R D E N
Organisationen müssen das Risiko ihrer OT- und ICS-Sys-
VER PFLI C HTENDE VORSC HR IF TEN FEHLEN teme, insbesondere ihrer sicherheitskritischen Systeme,
Gemäß der EU-Richtlinie für Netz- und Informationssys- unbedingt bewerten. Dazu sollte in einem angemessenen
teme (NIS) müssen die Mitgliedsstaaten Systeme identi- Rahmen eine kombinierte Überprüfung der technischen
fizieren und schützen, die für ihre nationale Infrastruktur und geschäftlichen OT-Cybersecurity-Risiken der Orga-
von entscheidender Bedeutung sind. In diesem Zusam- nisation durchgeführt werden. Darüber hinaus muss ein
menhang muss ein Computer Security Incident Response verhältnismäßiges und angemessenes Korrekturprogramm
Team (CSIRT) installiert werden, das im Falle eines Angriffs entwickelt werden, das die sicherheitskritischen Aspekte
Maßnahmen zum Schutz dieser Systeme einleitet. Viele bestimmter OT-Systeme berücksichtigt. Die Schulung der
ähnliche Regelungen sind jedoch in ihrer Wirkung limitiert, gesamten Belegschaft, ob Führungskräfte, Mitarbeiter in
da sie weitgehend lediglich beratenden Charakter haben. der Produktion sowie IT- und Sicherheitsfachleute, ist dabei
Sie definieren, was Organisationen tun sollten, und nicht, ein wichtiger Baustein. Schließlich müssen Organisationen
was sie tun müssen. sicherstellen, dass auch die Lieferketten den Anforderun-
gen an die Cybersecurity gerecht werden und geeignete
HÄRTERE STRAFEN WÜRDEN ZU HÖHEREN INVESTITI- Mechanismen zur vertraglichen Durchsetzung der Konfor-
ONEN FÜHREN mität entwickeln.
Eine Teillösung zeichnet sich bereits ab. Zunehmend sollen
bei der Durchsetzung der Rechtsvorschriften härtere
Geldbußen und sogar Gefängnisstrafen für Führungskräfte 1 Nozomi Networks, Black Hat presentation Understanding Triton,
verhängt werden. Vor allem dann, wenn Unternehmen, die the First SIS Cyberattack, August 2018
E X P E R T E – N I G E L S TA N L E Y
Nigel Stanley ist Spezialist für Cyber-
security und Geschäftsrisiken mit fast
30 Jahren Erfahrung in der IT-Bran-
che. Als anerkannter Vordenker
und Fachexperte ist er in der Lage,
komplexe Cybersecurity-Projekte in
kleinen, mittleren und großen Unter-
nehmen umzusetzen. Er ist aner-
kannter Autor zu Themen der Daten-
bank- und Entwicklungstechnologie
und ist regelmäßiger Referent auf
N I G E L S TA N L E Y
internationalen Veranstaltungen und
Global CTO, Industrial Security Center Konferenzen.
of Excellence, TÜV RheinlandC Y B ERS EC U R I T Y T R EN D S 2 019 11 Trend 3 – Vielzahl an Standards als Heraus- forderung für IoT-Cybersecurity Weltweit erarbeiten Normenorganisationen und Industrie- zweige Sicherheits- und Datenschutzstandards für die je- weiligen Entwicklungsstufen von IoT und OT. Dieses Be- streben mit besten Absichten führt jedoch auch dazu, dass inzwischen unzählige regionale und branchenspezifische Standards existieren. Verwirrend für so manches Unterneh- men, das bei der Suche nach geeigneten Standards viel Zeit aufwenden muss. Das gilt besonders für global agierende Unternehmen, die auf einen nachvollziehbaren Weg bei der Etablierung von Sicherheitsstandards angewiesen sind, um Konformität in allen Prozessen zu gewährleisten. Die Existenz von zu vielen, mitunter konkurrierenden Standards ist in die- ser Hinsicht nicht zielführend.
C Y B ERS EC U R I T Y T R EN D S 2 019 12
E N T W I C K L U N G V O N I O T- S TA N D A R D S I S T G R U N D - IOT WIRD ZU GENERELLEM SICHERHEITSPROBLEM
S ÄT Z L I C H K O M P L E X Mangelnde IoT-Sicherheit ist weit verbreitet. Vor allem Ver-
Die Lösung zur Verbesserung der IoT-Sicherheit sollte brauchergeräte gefährden aufgrund von Schwachstellen die
darin bestehen, Standards zu entwickeln, die von allen Datensicherheit und den Datenschutz. Komplexere Beispie-
Herstellern auf Architekturebene übernommen werden le wie die VPN-Filter-Router Malware1 zeigen, dass sich
können. Dies könnte ein geeigneter Ansatz für Verbraucher- dieser Trend noch verschärfen kann, bevor eine Verbesse-
geräte sein, die einander sehr ähnlich sind. Für industrielle rung eintritt. Zugleich steigt jedoch das Bewusstsein, dass
OT-Anwendungen, bei denen die optionale, individuelle diese Problematik im industriellen Kontext ernst genug sein
Anpassung von Geräten an verschiedene Anwendungen kann, um physische Geräte in einer Weise zu beeinträchti-
eine Rolle spielt, stößt dieser Ansatz jedoch mitunter an gen, dass dies auch für Menschen eine Gefahr darstellen
seine Grenzen. Problematisch wird es, wenn Sicherheit und kann. Es erfordert nur eine entsprechende Motivation, um
Designflexibilität im Konflikt zueinander stehen und den Ein- aus einem theoretischen Szenario ein reales Problem zu
satz so verlangsamen. Letztendlich müssen die Standards machen. Sei es geschäftliche Konkurrenz, Cybererpressung
für industrielle IoT-Sektoren angepasst werden. So erfor- oder geopolitische Rivalität.
dert beispielsweise die Automobilindustrie andere Stan-
dards als ICS. Diese Anpassungen brauchen Zeit, weshalb INDUSTRIE BENÖTIGT ANREIZE FÜR INVESTITIONEN
der Fortschritt hier nur in Jahren gemessen werden kann. Es wäre wünschenswert, wenn Regierungen bereits heute
stärker bei Verstößen und Sicherheitsvorfällen einbezogen
I N D U S T R I E S O L LT E R E G U L I E R U N G V O R A N T R E I B E N würden. Sie sollten Anreize für IoT-Hersteller schaffen, die
Die Sorge um den Zustand der Sicherheit von IoT und OT sie dazu bewegen, die IoT-Sicherheit ernster zu nehmen.
ist auf Regierungsebene angekommen. Der Druck hin- Es wäre ebenso sinnvoll, globale Normungsgremien wie die
sichtlich einer stärkeren regulatorischen Kontrolle wächst. International Electrotechnical Commission (IEC) stärker mit
Dadurch besteht jedoch die Möglichkeit, dass sich die einzubeziehen. Nachweislich ebneten diese auch den Weg
Entwicklung an regionalen Standards orientiert, die die für vergangene Innovationswellen, wie beispielsweise bei
Vorgaben in den USA, in der EU oder Asien erfüllen. Sicher- der Stromerzeugung und -übertragung. Es ist jedoch noch
lich eine kurzfristige Lösung. Langfristig würden so jedoch nicht klar, ob es einen ausreichenden Konsens gibt, um die-
höhere Kosten und größere Verwirrung entstehen. So sen Ansatz gegenwärtig umzusetzen. Daher wird die Indus-
könnte es für Organisationen schwieriger sein, die Risiken trie vorerst vermutlich auf die Weiterentwicklung bewährter
zu verstehen, die mit der Erweiterung von miteinander ver- Verfahren zurückgreifen müssen, wie sie beispielsweise
bundenen Geräten einhergehen. Auch könnte der weltweite von privaten Organisationen wie dem Open Web Applicati-
Handel dieser Geräte, die für gesunde Innovationen wichtig on Security Project (OWASP) betrieben werden.
sind, durch diese regionalen Regulierungen blockiert oder
eingeschränkt werden. Vor diesem Hintergrund könnten
regionale Standards eher Hindernis statt Wegbereiter sein. 1 New Router Malware with Destructive Capabilities, Symantec, May 2018
E X P E R T E – N AT H A N I E L C O L E
Mit mehr als 15 Jahren Berufserfahrung im Bereich Cy-
bersecurity verfügt Nathaniel Cole über ein umfassendes
Repertoire an Empfehlungen zur Beseitigung von Schwach-
stellen und zum Schutz von anfälligen Systemen. Er setzt
sich für die Implementierung von Sicherheitskonzepten in
verschiedenen Branchen ein, darunter im IoT, in der Ferti-
gungsautomatisierung und der Robotertechnik. Als Experte
für die Prüfung von Geräten, einschließlich Robotersyste-
men sowie medizinischer und kabelloser Geräte, kennt er
die Auswirkungen von Sicherheit auf deren Benutzerfreund-
lichkeit, Integrität und Sicherheit.
N AT H A N I E L C O L E
Global Head, Cybersecurity Testing Center
of Excellence, TÜV RheinlandC Y B ERS EC U R I T Y T R EN D S 2 019 13 Trend 4 – DSGVO als Wendepunkt beim Datenschutz Schon wenige Monate nach Inkrafttreten der Datenschutz- Grundverordnung der EU (DSGVO) im Mai 2018 wurden erste Gerichtsurteile bekannt. Darunter eine Geldbuße in Höhe von 50.000.000 Euro, die einem großen Suchmaschinenbetreiber von Frankreichs Datenschutzbehörde CNIL auferlegt wurde, weil dieser seine Nutzer nicht klar und verständlich über die Nutzung ihrer persönlichen Daten informiere. Obwohl die tat- sächliche DSGVO-Umsetzung bzw. Strafverfolgung nur lang- sam anläuft und die ersten verhängten Geldbußen eher nie- drig waren, steht fest, dass die DSGVO den Datenschutz nicht nur in der EU, sondern weltweit maßgeblich beeinflussen wird. Für die meisten Branchen wird es preiswerter sein, ihre Produkte und Dienstleistungen so zu entwickeln und zu ge- stalten, dass sie den höchsten weltweiten Standards entspre- chen, anstatt sich auf regionale Regelungen zu beschränken. DAS IOT AL S WI C HTIGES TESTFELD FÜ R DI E DSGVO V E R B R A U C H E R F Ü R D AT E N S C H U T Z G R U N D S ÄT Z E S E N - Die Konsequenzen der DSGVO werden unter anderem SIBILISIEREN allmählich beim IoT realisiert, das häufig von Industrieunter- Es gibt vermehrt neue IoT-Geräte, die für ein Jahrzehnt nehmen aufgegriffen wird, die nur geringe oder gar keine oder länger aktiv bleiben werden. Darunter intelligente Kenntnisse bei der traditionellen IT-Sicherheit haben. Hier Energiezähler, Smart-TVs, private Sicherheitssysteme, hat die DSGVO beispielsweise zur Folge, dass sich die Kos- IoT-fähige Breitbandrouter und intelligente Lautsprecher, ten für die Entwicklung von Geräten erhöhen werden. Die- aber auch IoT-Konnektivität für vernetzte Fahrzeuge. Diese se schlagen sich im Verkaufspreis nieder, wobei sich jedoch werden in der Regel als ein technologisches Upgrade von Verbraucher gewohnheitsbedingt meist für das günstigste bisher „dummen“ Geräten verstanden. Oftmals ist es Produkt entscheiden. Dies führt zu einem Konflikt zwi- jedoch nur ein Trend, die alten Geräte mit Sensoren zur schen Forderungen nach besserem Datenschutz und mehr Erfassung von Daten auszustatten. Ein Hauptproblem: Die Sicherheit und der Schwierigkeit, die Verbraucher davon zu Auswirkungen auf den Datenschutz sind für Verbraucher überzeugen, für diese Produkte mehr zu zahlen. Dies gilt weitgehend unsichtbar. Sie wissen nicht, wie Informationen insbesondere für die wachsende Zahl von Geräten auf dem erfasst werden, und können somit auch nicht die damit Markt, die möglicherweise mit besseren Datenschutz- und verbundenen Risiken kennen. Daher ist es unzureichend, Sicherheitskontrollsystemen nachgerüstet werden müssen. Geräte einfach nur für einen besseren Datenschutz zu Denn für Entwickler könnte es problematisch werden, die regulieren, während das Verständnis der Datenschutzgrund- damit verbundenen Kosten zu decken. sätze bei Verbrauchern weltweit nach wie vor gering ist.
C Y B ERS EC U R I T Y T R EN D S 2 019 14
Letzteres muss verbessert werden. Schließlich stellen das die technische Umsetzung, sondern auch auf die Erfassung
Feedback und das Verständnis seitens der Verbraucher ei- und Verarbeitung von Informationen. Von der Industrie er-
nen wichtigen geschäftlichen Druck dar, der derzeit jedoch fordert dies Investitionen in Forschung, Produktentwicklung
noch nicht spürbar ist. und sogar Marketing. Unternehmen müssen überlegen, wie
sich der Datenschutz auf die von ihnen verkauften Produk-
D E R D AT E N S C H U T Z B R A U C H T M E H R I N V E S T I T I O N E N te während ihres gesamten Lebenszyklus auswirkt. Diese
Das IoT in und außerhalb der EU muss besser reguliert und Überlegungen müssen in die jeweiligen Geschäftsmodelle
effektiver akkreditiert werden. Es muss eine Instanz geben, einfließen. Im Gegenzug müssen Aufsichtsbehörden in
die prüft, wie Geräte funktionieren und wie ihr Design den erforderliche Ressourcen investieren, um den Privatsektor
Datenschutz beeinflussen kann. Im Idealfall hat dies zur mittels Prüfungen, Akkreditierungen und Compliance zur
Folge, dass die Funktionen für jedes Gerät und für jede Rechenschaft ziehen zu können.
Dienstleistung klar sind. Und zwar nicht nur in Bezug auf
EXPERTE – UDO SCALLA
Nach seiner Tätigkeit in leitenden Positionen in der CE- und ICT-Branche
(Deutsche Telekom/T-Systems/Technisat) konzentriert sich Udo Scalla
derzeit auf IoT-Cybersecurity, Datenschutz/Ethik und die Auswirkungen der
DSGVO der EU. 2015 war er Mitbegründer der CorDev GmbH, die 2016
vom Bundesministerium für Wirtschaft mit dem ersten Preis für das beste
Start-Up-Unternehmen in der Smart-Home-Branche ausgezeichnet wurde.
UDO SCALLA
Global Head, IoT Privacy Center
of Excellence, TÜV RheinlandC Y B ERS EC U R I T Y T R EN D S 2 019 15 Trend 5 – Akuter Fachkräftemangel in der Cybersecurity Die Bedeutung von Cybersecurity hat zugenommen. Es gibt jedoch nicht genügend Fachkräfte, um den Bedarf zu decken. Bis zum Jahr 2020 könnten weltweit 1,5 Millionen IT-Sicher- heitsexperten fehlen – bis 2021 könnte sich diese Zahl Schät- zungen zufolge mehr als verdoppeln. Bei einem so extremen Fachkräftemangel treten häufig Marktverzerrungen auf: Wäh- rend größere, finanzstarke Unternehmen und Dienstleister in der Lage sind, kompetente Mitarbeiter zu rekrutieren, haben kleinere Unternehmen in einigen Branchen hier das Nach- sehen. Dies macht die Cybersecurity nicht nur zwangsläufig teurer, sondern wirkt sich auch auf die Sicherheit von Liefer- ketten aus, in denen große und kleinere Unternehmen wirt- schaftlich miteinander verbunden sind. Aus diesem Grund ist die Cybersecurity für alle Stakeholder von großer Bedeu- tung und sollte auch für alle zugänglich sein. Wenn der akute Fachkräftemangel nicht behoben werden kann, stehen wir bei der Cybersecurity zukünftig vor noch größeren Heraus- forderungen.
C Y B ERS EC U R I T Y T R EN D S 2 019 16
V E R SC H Ä R F T E R M A N GE L A N FAC H K R Ä F T E N – ZU M FAC H K R Ä F T E M A N GE L T R I FF T B ESON DE R S K LE I N E
SCHLECHTEN ZEITPUNKT U N D M I T T E L S TÄ N D I S C H E U N T E R N E H M E N ( K M U )
Durch die rasante Entwicklung des IoT, die Digitalisierung Größere Unternehmen verfügen über Ressourcen, um
der Wirtschaft und das Wachstum der industriellen Auto- Fachkräfte bei der Cybersecurity zu rekrutieren. Bei
matisierung steigt die Zahl der Geräte, die als potenzielle kleineren Unternehmen, darunter viele, die sich innerhalb
Angriffsziele für Hacker fungieren. Gleichzeitig gibt es zu wichtiger Lieferketten befinden, ist dies nicht der Fall. Dies
wenige qualifizierte Mitarbeiter, die für den Schutz verant- wird zum Problem für ganze Branchen. Denn die zahlrei-
wortlich zeichnen. Ironischerweise gilt dies jedoch nicht chen kleineren Unternehmen, von denen große Konzerne
für Cyberkriminelle, die offensichtlich die notwendigen abhängig sind, können die wachsenden Anforderungen an
fähigen Kräfte finden, um ihre immer innovativeren Angriffe die IT-Sicherheit und den Datenschutz aufgrund fehlender
auszuführen. Es ist diese Asymmetrie der Kompetenz, die Ressourcen oft nicht adäquat umsetzen. Zudem befinden
der Cyberkriminalität zum Erfolg verhilft. Um es mit einem sich einige dieser Unternehmen möglicherweise in Län-
erfahrenen Angreifer aufzunehmen, wird ein Vielfaches an dern, die den örtlich geltenden Vorschriften nicht unterlie-
Fachkräften in mehreren Organisationen benötigt. Leider gen. Anbieter aus dem Managed-Security-Service-Provider
wissen die Angreifer um ihren Vorteil und vertrauen darauf, (MSSP)-Sektor könnten eine Lösung auch für KMUs sein.
dass das Kräfteverhältnis zu ihren Gunsten ausfällt. Jedoch sind viele MSSPs auf größere Unternehmen ausge-
richtet und verstehen nicht unbedingt immer die Problem-
stellungen in kleineren Unternehmen.C Y B ERS EC U R I T Y T R EN D S 2 019 17
I N D U S T R I E 4 . 0 A U F C Y B E R S E C U R I T Y S TA R K A N G E - den Innovationen von Cyberkriminellen Schritt zu halten. So
WIESEN bräuchten die Angreifer Spezialisten mit neuen Fähigkeiten,
Die Transformation der Industrie in den kommenden zehn die nur schwer zu finden sind.
Jahren wird davon abhängen, die notwendige Fachkom-
petenz zu finden, um Produktions-Know-how mit Cyber- B E S T E H E N D E R E K R U T I E R U N G S A N S ÄT Z E M Ü S S E N
security-Konzepten zu verknüpfen, die ihren Ursprung in Ü BER DAC HT W ER DEN
der IT haben. Allerdings sind industrielle Cybersecurity in Universitäten und Berufsausbildungsprogramme in einigen
Produktionsumgebungen und IT separate Fachgebiete, was Ländern sind eine mögliche Quelle für qualifiziertes Perso-
es noch schwieriger macht, Experten zu finden, die sich in nal. Ein längerfristiger Ansatz wäre es jedoch, wenn Unter-
beiden Bereichen auskennen. Wenn der Mangel an spezia- nehmen das Abwerben der Mitarbeiter von Konkurrenten
lisierten Fachkräften nicht behoben wird, werden Angreifer oder Sektoren einstellen und stattdessen in Programme zur
Produktionssysteme unweigerlich als Ziel wählen. internen Entwicklung von Fachkräften investieren. Ebenfalls
könnte es förderlich sein, nicht nur Kandidaten mit be-
A U T O M AT I S I E R U N G A L L E I N I S T N I C H T D I E A N T W O R T stimmten formalen Qualifikationen oder Erfahrungen anzu-
Die Automatisierung der manuellen Analyse von Bedro- werben, sondern auch Talente mit den unterschiedlichsten
hungen wäre eine Möglichkeit zur Überbrückung des Hintergründen in Betracht zu ziehen. In dieser Hinsicht ist
Fachkräftemangels. Eine Methode, bei der Personal nur bei es wichtig, den Beruf für ein breiteres Spektrum attraktiv
Bedarf eingreift. Dies wäre zwar ein wirkungsvolles Mittel zu machen. So sind bei der Cybersecurity beispielswei-
zur Verteidigung gegen Cyberangriffe, könnte zugleich aber se Frauen deutlich unterrepräsentiert. Die bestehenden
auch den Bedarf an Cybersecurity-Fachkräften vergrößern. Rekrutierungsansätze müssen dringend überdacht werden
Insbesondere bei der künstlichen Intelligenz, lernfähigen – der sich verschärfende Fachkräftemangel ist eindeutiger
Systemen, Forensik und Reaktion. Im besten Fall könnten Beweis, dass Veränderungen notwendig sind.
Unternehmen durch Automatisierung in der Lage sein, mit
EXPERTE – BJÖRN HAAN
Björn Haan verfügt über 23 Jahre Berufserfahrung in
internationalen Großunternehmen, was seine unternehme-
rischen Kompetenzen nachhaltig geprägt hat. Er begann
seine Karriere 1994 als Unternehmensberater bei der
Ploenzke AG und wechselte dann 1999 zu IBM. Dort war
er im Zusammenhang mit IT-Strategie und -Kosten sowie
Geschäftswert als leitender Manager für verschiedene
nationale und internationale Bereiche verantwortlich.
Zuletzt war er mehr als fünf Jahre bei IBM im Bereich
Cybersecurity in Westeuropa tätig.
Seit 2011 ist Björn Haan für das Geschäftsfeld Cyber-
security in Deutschland bei TÜV Rheinland verantwortlich.
BJÖRN HAAN
Managing Director of Cybersecurity,
TÜV RheinlandC Y B ERS EC U R I T Y T R EN D S 2 019 18 Trend 6 – SOAR-Prinzip bei Gefahrenabwehr von entscheidender Bedeutung Das Prinzip „Sicherheitsorchestrierung, Automatisierung und Reaktion“ (SOAR) hat das Potenzial, Vorfälle schneller zu erkennen, auf diese zu reagieren und somit die Auswirkungen eines Cyberangriffs zu minimieren. Größter Vorteil sind dabei die automatisierten Workflows zur Eingrenzung von Bedro- hungen, die entscheidend für den Umgang mit sich schnell ausbreitender schädlicher Malware sind. Weitere Vorteile bieten standardisierte Prozesse zur Untersuchung von Cyber- angriffen, eine schnelle Priorisierung und Reaktion, die Mög- lichkeit der proaktiven Suche nach Bedrohungen sowie die Verbesserung der Qualität und Effizienz von Erkennungs- und Reaktionsprozessen. Die Implementierung dieser neuen auto- matisierten Prozesse erfordert jedoch Investitionen und Pla- nung seitens des Unternehmens. Und das zu einer Zeit, in der entsprechende Lösungen wie Security Information & Event Management (SIEM) noch in den Kinderschuhen stecken. S TÄ N D I G E E N T W I C K L U N G D E R C Y B E R A N G R I F F E in der Vergangenheit, Expansion von Angriffsflächen (IoT, T R E I B T A U T O M AT I S I E R U N G V O R A N Cloud, Mobile und Social Media) sowie die Weiterentwick- Im vergangenen Jahr ereigneten sich Cybervorfälle am lung der von den Angreifern verwendeten Tools und Metho- Fließband. Darunter schwere Datenschutzverletzungen, die den. So entwickeln Angreifer fortwährend neue Methoden, Infiltration kritischer Systeme und sogar die Cybererpres- sobald die Tools, die sie zur Unterstützung ihrer Angriffe sung kommunaler Infrastrukturen. Die Hauptgründe für die verwenden, zum Standard werden. Leider sind viele Un- zunehmenden Attacken sind chronische Unterinvestitionen ternehmen nicht in der Lage, diese Angriffe schnell genug
C Y B ERS EC U R I T Y T R EN D S 2 019 19
zu erkennen und entsprechende Maßnahmen einzuleiten, A U C H A N G R E I F E R S E T Z E N A U T O M AT I S I E R U N G E I N
was die Auswirkungen auf die Geschäftstätigkeit signifikant Seit geraumer Zeit bedienen sich auch Angreifer der
reduzieren würde. Automatisierung – ein Trend, der rasant wächst. Zuletzt
sind Entwicklungen bei Malware-Skripts zu beobachten,
E R G Ä N Z U N G S TAT T G A N Z H E I T L I C H E R L Ö S U N G die Schwachstellen erkennen und ausnutzen. Nach der
SIEM entwickelt sich in Richtung Big-Data-Analyse mit Infiltration führen sie zudem eine Reihe von Aktionen aus
lernfähigen Systemen. Diese Entwicklung findet bei den (Privileg-Eskalation, laterale Bewegung, Umgehung von
Anbietern in unterschiedlichem Tempo statt. Unterdessen Schutzsystemen) und wenden dabei häufig in schneller
gibt es in Organisationen verschiedene Ansätze, die das Folge mehrere Taktiken und Methoden an. Zukünftig ist mit
traditionelle SIEM ergänzen oder durch moderne Big-Da- Automatisierung über den gesamten Lebenszyklus des An-
ta-Analyselösungen für verhaltensbasierte Bedrohungser- griffs und einer Integration lernfähiger Systeme zu rechnen.
kennung ersetzen. Um die Vorteile von SOAR aber nutzen
zu können, müssen Organisationen über ein hinreichend MENSCHLICHE INTERVENTION BLEIBT WESENTLICHER
etabliertes Sicherheitsprogramm verfügen. Derzeit werden B E S TA N D T E I L D E R C Y B E R A B W E H R
aber viele Sicherheitsprodukte, insbesondere SIEM und Die zunehmende Automatisierung ist kein Allheilmittel.
Endpoint-Lösungen, um Automatisierungs- und Orchestrie- Tieferliegende Probleme, wie der Fachkräftemangel könn-
rungsfunktionen ergänzt. So konzentrieren sich Unter- ten durch sie – durch Entwicklung und Anwendung dieser
nehmen möglicherweise zunächst auf die begrenzten Technologien – sogar kurzfristig zu einer stärkeren Nachfra-
Fähigkeiten innerhalb eines einzelnen Produkts, bevor sie ge führen. Die wichtigsten Entscheidungen in den Security
in ganzheitliche Lösungen investieren. Operations Centern (SOCs) müssen aus verschiedenen be-
trieblichen, regulatorischen und juristischen Gründen wei-
V O R K O N F I G U R I E R T E K O M P L E T T L Ö S U N G E N F U N K- terhin von Menschen getroffen werden. Automatisierung
T I O N I E R E N N U R S E LT E N bedeutet aber, dass diese Entscheidungen nun schneller,
SOAR ist eine relativ neue und aufstrebende Technologie auf Grundlage einer größeren Datenbasis und so mit einer
zur Integration bestehender und zukünftiger Technologien größeren Gewissheit getroffen werden können. Um einem
durch präzise definierte Prozesse. Daher werden vorkon- breiteren Spektrum von Organisationen Zugriff zu diesen
figurierte Komplettlösungen nur selten funktionieren. Der Fachkenntnissen zu ermöglichen, muss es erschwingliche
Erfolg ist davon abhängig, ob die richtigen Daten einge- Anbieter von Managed Services geben, die in der digitalen
bracht werden, um fundierte Entscheidungen zu treffen. neuen Welt florieren werden. Die gute Nachricht ist, dass
Diese Entscheidungen sind die Basis, um stabile, formali- die Bedrohungen und Risiken zwar zunehmen, die Branche
sierte Prozesse auszuführen und die richtigen Technologien sich jedoch anpasst, innoviert und Cybersecurity-Lösungen
zu integrieren. Diese Komponenten sind von Unternehmen entwickelt. TÜV Rheinland stellt vermehrt bei Organisatio-
zu Unternehmen sehr unterschiedlich und erfordern ein nen fest, dass erhebliche Mittel investiert werden, um sich
umfangreiches Know-how, um erfolgreiche SOAR-Lösun- und ihre Kunden zu schützen. Messbare Erfolge bei der
gen zu erstellen, zu testen und zu managen. Die richtigen, Erkennung und der schnellen Abwehr komplexer Bedrohun-
grundlegenden Sicherheitstechnologien sind dabei für gen nehmen zu.
Organisationen obligatorisch, um fundierte Entscheidungen
zur Automatisierung von Prozessen treffen zu können.
EXPERTE – BRIAN NOLAN
Brian Nolan ist eine leitende Führungskraft auf dem Gebiet der Cybersecurity.
Er hat mehr als 20 Jahre Berufserfahrung in den Bereichen Informations-
sicherheit und Risikomanagement. In den letzten 14 Jahren hatte er Füh-
rungspositionen auf dem Gebiet der Managementberatung und technischen
Dienstleistungen inne und war maßgeblich daran beteiligt, große Organisa-
tionen in verschiedenen Branchen bei der Bewertung, beim Aufbau und bei
der Optimierung aller Aspekte ihrer Informationssicherheits-Programme zu
unterstützen. BRIAN NOLAN
Global CTO, Advanced Threat Center
of Excellence, TÜV RheinlandC Y B ERS EC U R I T Y T R EN D S 2 019 20 Trend 7 – Red-Team-Tests und agile Sicher- heit gewinnen an Bedeutung Red Teaming entstammt den sogenannten Penetrationstests. Beim Red Teaming wird simuliert, wie ein Angreifer unter rea- len Bedingungen in ein Unternehmen eindringen und Zugang zu Ressourcen erlangen kann. Während herkömmliche Pene- trationstests jedoch die Schwachstellen einzelner Komponen- ten, beispielsweise Anwendungen, Geräte, oder Infrastruk- turen, analysieren, ist das Red Teaming ein ganzheitlicher Ansatz. Dieser berücksichtigt auch umfassendere Themen wie Social Engineering, Hijacking von Social Media, den phy- sischen Zutritt zu Gebäuden oder auch eigene Mitarbeiter mit böswilligen Absichten. Im Gegensatz zu herkömmlichen Tests versucht Red Teaming zu verstehen, wie diese Faktoren interagieren und betrachtet sie nicht als eine Reihe separater Ebenen. So dient Red Teaming zugleich der Analyse und Opti- mierung von Angriffserkennung und -abwehr. In diesem Zuge sind zugleich agile Sicherheitstests, die bereits während der Entwicklung einer Software möglichst viele Schwachstellen erkennen sollen, von großer Bedeutung. VOR TEILE DES R ED TE AMINGS WER DEN NI C HT ÜBER- Red-Team-Tests außerhalb der USA wenig Beachtung. A L L G E S C H ÄT Z T So liegt die Akzeptanz von Red Teaming im Mainstream Ein Hauptziel des Angriffs eines Red Teams ist es, die auch in Europa etwa zwei bis drei Jahre zurück. In diesen Leistung der Verteidiger, des Blue Teams, zu optimieren. Regionen werden Red-Team-Tests immer noch als eine Im Gegensatz zu klassischen Penetrationstests (Pentes- spezielle Form des Pentestings betrachtet. Unternehmen, ting) arbeiten beim Red Teaming Angreifer und Verteidiger die nach einem höheren, nachhaltigen Sicherheitsstatus eng zusammen. Wird eine Schwachstelle gefunden und streben, sollten es jedoch als eine eigenständige Methode ausgenutzt, so wird das Blue Team informiert und kann in Betracht ziehen. In Hinblick auf die stetige Zunahme von seine Angriffserkennungs- und reaktionsprozesse sofort gezielten Angriffen, wird das Interesse an Red-Team-Tests gezielt verbessern. Trotz dieses potenziellen Nutzens finden voraussichtlich auch außerhalb der USA zunehmen.
C Y B ERS EC U R I T Y T R EN D S 2 019 21
F R A G M E N T I E R T E C Y B E R S E C U R I T Y- A B W E H R I S T teams Sicherheitstests bereits als Teil des Entwicklungs-
P R O B L E M AT I S C H zyklus in die Software integrieren müssen. Die zugrunde-
IT-Abteilungen konzentrieren sich traditionell auf eine Art liegende Logik ist einfach: Das frühzeitiges Beseitigen von
der Abwehr, bei der Cybersecurity in einzelne Proble- Schwachstellen ist sowohl einfacher als auch kostengünsti-
me aufgeschlüsselt wird, die jeweils von spezialisierten ger und bietet langfristig eine höhere Sicherheit. In diesem
Fachleuten zu lösen sind – ein wesentlicher Schwachpunkt agilen Entwicklungsprozess ist kontinuierliches Code-Tes-
aktueller Sicherheitsansätze. Zu oft gibt es keinen spezi- ten mit automatisierten, aber auch manuellen Verfahren
ellen Beauftragten, der die Verantwortung für alle Sicher- erforderlich. Dieses Verfahren führt dazu, dass Sicherheits-
heitsaspekte, einschließlich physischer Sicherheit und tests die Entwicklungszyklen nicht nur ergänzen, sondern
Mitarbeiterverhalten, übernimmt. Ein strukturelles Problem, diese auch verändern. Einschränkend gilt dabei jedoch,
das die Abwehrprozesse beeinträchtigt. Statt Probleme zu dass Sicherheitstests nicht immer richtig bewertet und ver-
verstehen und zu erkennen, wie sich Schwachstellen über- standen werden. So werden agile Sicherheitstests im Jahr
schneiden und interagieren, werden Probleme tendenziell 2019 interne und externe Entwicklungsteams vor kulturelle
einzeln gelöst. Angreifer profitieren von dieser fragmentier- und technologische Herausforderungen stellen.
ten Abwehr.
POSITIVE AUSWIR KUNGEN DU RC H DSGVO
M I T T E L Z U R I M P L E M E N T I E R U N G V O N R E D -T E A M - Die Einführung der DSGVO und das damit verbundene
TESTS FEHLEN Risiko großer und öffentlicher Geldbußen werden die
Trotz des wachsenden Interesses an Red-Team-Tests, ist Führungsebene von Organisationen motivieren, die Be-
die Finanzierung bei einer traditionellen Kosten-Nutzen-Ana- wertung ihrer Sicherheit und ihrer Reaktion auf Bedrohun-
lyse häufig schwer zu rechtfertigen – selbst von finanziell gen zu überdenken. Sie werden diese Thematik von der
gut ausgestatteten Organisationen. In manchen Fällen se- Abteilungs- oder Anwendungsebene auf die organisatori-
hen IT-Abteilungen das Red Teaming möglicherweise auch sche Ebene verlagern. Im Einzelnen heißt es in Artikel 32
als eine Bedrohung ihrer eigenen Rolle. Oder sie sehen es (Abschnitt 1), dass Organisationen über „ein Verfahren zur
als untergeordnetes Instrument zu herkömmlichen Cyber- regelmäßigen Überprüfung, Bewertung und Evaluierung
security-Abwehrmaßnahmen. Zudem gibt es Unklarheiten der Wirksamkeit der technischen und organisatorischen
über den Unterschied zwischen Red-Team-Tests und her- Maßnahmen zur Gewährleistung der Sicherheit der Ver-
kömmlichen Penetrationstests. Letztere werden von vielen arbeitung“ verfügen sollten. Durch die Geschäftsleitung
Organisationen bereits regelmäßig durchgeführt. beauftragte Red-Team-Tests bieten einen Weg, diese Vor-
gaben zu erreichen und Widerstände innerhalb der Organi-
AG I L E S I C H E R H E I T W I R D E RWAC H S E N sation abzubauen. Im Gegensatz zu einem herkömmlichen
Sicherheitstests sind am Ende des Softwareentwicklungs- Penetrationstest bieten Red-Team-Tests die Möglichkeit,
prozesses anzusiedeln. Diese traditionelle Vorstellung Risiken zielgerichtet zu erkennen und Angriffserkennung
weicht verstärkt dem neuen Verständnis, dass Software- und -abwehr entsprechend zu verbessern.
E XPER TE – DANI EL HAMBU RG
Prof. Daniel Hamburg hat in Elektrotechnik promoviert und hat mehr als 10
Jahre Berufserfahrung im Bereich Informationssicherheit. Seit 8 Jahren ist
er für die Testdienstleistungen bei TÜV Rheinland verantwortlich. Sein Team
führt technische Sicherheitsanalysen von Anwendungen, Infrastrukturen und
eingebetteten Systemen durch, einschließlich IoT-Geräten und Fahrzeugtei-
len. Er ist Professor für IT-Sicherheit an der Fachhochschule Dortmund.
DANIEL HAMBURG
Regional Segment Manager, Cybersecurity Testing,
TÜV RheinlandSie können auch lesen
