KAPSCH CYBER SECURITY REPORT 2021 - BEDROHUNGEN, INCIDENTS, LÖSUNGEN KAPSCH BUSINESSCOM
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Kapsch BusinessCom Kapsch Cyber Security Report 2021 Bedrohungen, Incidents, Lösungen
Vorwort
Cyber Security geht jeden an
Sie halten den neuen Kapsch-Report zur Lage der Cyber Security in Österreich in Händen. Noch vor zehn
Jahren galt es als unwahrscheinlich, Cyberkriminalität zum Opfer zu fallen, 2021 hingegen ist es unmög-
lich, sich in der digitalen Welt zu bewegen, ohne damit in Berührung zu kommen. Mit der Vernetzung von
immer mehr Endgeräten wird Sicherheit zu einer globalen Herausforderung.
Eine KFV-Studie ergibt, dass bereits 85 % der Österreicherinnen und Österreicher privat von Viren,
Trojanern & Co. betroffen waren. Zur Anzeige gebracht wird aber nur knapp die Hälfte aller Fälle. Anders
ist es bei Angriffen auf Unternehmen – es vergeht kaum eine Woche ohne einen Fall von Cyberkriminalität
in den Medien. Jedes vierte österreichische Unternehmen ist oder war schon einmal von einem Angriff
betroffen, auch öffentliche Einrichtungen bleiben nicht verschont.
Besonders gefährdet sind kleine und mittelgroße Unternehmen – die Stütze der österreichischen Wirt-
schaft – allein 2020 waren 80 % der österreichischen KMU von Angriffen betroffen. 39 % davon mit einem
finanziellen Schaden von bis zu 150.000 Euro. Das entspricht einer Steigerung von 5 % im Vergleich zum
Vorjahr.
Einen ganz neuen, unerwartet herausfordernden Aspekt im Kontext mit IT-Sicherheit stellen die aktuelle
Corona-Pandemie und ihre Folgen dar: Homeoffice und Videoconferencing über schlecht abgesicherte
Verbindungen zu Unternehmensnetzwerken laden Cyberkriminelle geradezu ein. Hier ist besonderes
Augenmerk gefragt, alles in allem wird die Lage nicht einfacher.
Zu bewältigen ist diese Komplexität nur mit einer ganzheitlichen Sicherheitsstrategie. Die Cyber-Security-
Experten von Kapsch setzen dabei auf das Vier-Phasen-Modell: Prevent – Protect – Detect – Respond.
Das eigene Cyber Defense Center überwacht und analysiert die Kunden-Netzwerke 24/7. Durch mehr als
100 Security Audits, die unsere Spezialisten jährlich bei unseren Kunden durchführen, werden Schwach-
stellen frühzeitig erkannt und behoben.
Wir sind davon überzeugt: Cyber Security geht jeden an. Deshalb wollen wir mit diesem Kapsch Cyber
Security Report unseren Leserinnen und Lesern den Blick für IT-, Netzwerk- und Datensicherheit schärfen.
Ihr
Jochen Borenich, Mitglied des Vorstands
Kapsch BusinessCom AG
Kapsch Cyber Security Report 2021 | 2
Inhalt
Aktuelle Schwachstellen und Bedrohungen 6
Incidents 7
Wie sieht ein typischer Angriff aus? 8
Wer hilft im Angriffsfall? 9
Strategien und Lösungen 10
NIS-Gesetz und Know-how-Richtlinie 11
Die Top 5 der Cyber-Security-Trends 2021 12
Einfallsvektor Passwort-Sicherheit 14
Kapsch Red Teaming 16
Wo lebenslanges Lernen nicht nur ein Slogan ist – Cyber Security! 18
3 | Kapsch Cyber Security Report 2021
Der
Kapsch Cyber Security
Report trägt auch 2021 wieder der
weltweit wachsenden Gefahr durch
Cyberkriminalität Rechnung.
Der Fokus auf den zentraleuropäischen Raum, aber auch die
Berücksichtigung der Pandemiefolgen für die IT-Sicherheit machen
diesen Bericht zu einem wichtigen Instrument für die strategische Ein-
schätzung aktueller Bedrohungsszenarien.
Mit der zunehmenden Digitalisierung, etwa in der Fertigungsindustrie und
Automatisierung, werden auch die Methoden der Cyberkriminellen immer
ausgeklügelter und die eingesetzten Technologien immer komplexer. Eine pande-
miebedingte neue Herausforderung ist der verstärkte Einsatz von Remote Working
in Arbeitsprozessen: Homeoffice und Videoconferencing über private Rechner
bieten eine Vielzahl von Angriffsflächen auf Unternehmensnetzwerke. Arbeitsfähigkeit,
Vertraulichkeit, Verfügbarkeit und Integrität von Unternehmen, Behörden und Institu-
tionen müssen zu jedem Zeitpunkt gesichert sein. VPN-Lösungen, eine eindeutige
Verifizierung und Anti-Phishing-Maßnahmen bieten hier nachhaltige Antworten.
Der Cyber Security Report 2021 bringt das Thema IT-Sicherheit mit Zahlen und
Fakten und anhand von aktuellen Fallbeispielen auf den Punkt: Schwachstellen,
Bedrohungsszenarien, Angriffsmethoden und deren Konsequenzen,
Gegenstrategien und Security-Lösungen. Auch Inhalte und Auswirkun-
gen im Zusammenhang mit dem NIS-Gesetz werden
selbstverständlich thematisiert.
Eines steht fest: Cyberkriminalität lässt sich auch 2021
und in Zukunft nur mit ganzheitlichen und
strukturierten IT-Security-Strategien
wirksam bekämpfen.
Aktuelle Schwachstellen
und Bedrohungen
Das Kapsch Security Audit & Assessment Team führt Security Audits für Unternehmen jeder Größenord-
nung durch. Die folgenden Zahlen und Beobachtungen sind jene, die im Zuge der Auditdurchführungen
im Jahr 2020, bereinigt auf den österreichischen Standort, beobachtet werden konnten. Die Ergebnisse
stammen aus Unternehmen der Branchen Industry, Public, Commercial, Health and Social Care sowie
Utility Provider.
Zwei Drittel aller Die folgende Grafik zeigt die Verteilung der identifizierten Schwachstellen, bzw. potenzielle Einfallswege in
Schwachs tellen Unternehmensnetzwerke für das vergangene Jahr. Obwohl der Trend von 2019, dass Awareness-Trainings
in drei Themen- ihre Wirkung zeigen, auch 2020 weiter zu beobachten war, bleibt das Thema Social Engineering (Phishing-
bereichen E-Mails mit u. a. Verschlüsselungstrojanern im Gepäck) mit 23 % weiterhin eines der Top-Einfallstore in
Unternehmensnetzwerke. Auch der Cybercrime-Report 2020 des BKA belegt, dass Endbenutzer dank
Awareness Maßnahmen zwar vorsichtiger werden, jedoch die Anzahl an Phishing-Kampagnen weiter
zunimmt. Damit gab es 2020 wieder mehr Sicherheitszwischenfälle in diesem Bereich als 2019. Mit 22 %
weiterhin konstant hoch bleiben Schwachstellen im Zusammenhang mit Web-Anwendungen (inkl. deren
Komponenten wie Webserver, CMS-Frameworks, Authentication Provider, Anwendungslogik etc.). Neben
den bekannten Schwachstellen im Infrastruktur- und Architektur-Umfeld (z. B. fehlende Netzwerksegmen-
tierung, keine Festplattenverschlüsselung, keine 2-Faktor-Authentifizierung etc.) erweitern die Themen
Cloud-Containerlösungen, DevOps und Microservices diesen Bereich um neue Herausforderungen.
8%
Software-Schwachstellen
23 %
Social Engineering
5%
Fehlkonfigurationen
22 %
Web-Anwendungen
10 %
Rechteverwaltung
Übersicht 22 %
Infrastruktur-Architektur
Schwachstellen/ 10 %
PW-Management
Einfallstore 2020
Um den Anforderungen immer kürzerer Go-to-Market-Zeiten gerecht zu werden, verlangen agile
Methoden die Entwicklung von Microservices. Um diesen eine skalierbare Infrastruktur zugrunde legen
zu können, entstehen neue Eco Systeme rund um Containerlösungen, deren Deployment und deren
Verwaltung. In sogenannten Service Meshes wird das Zusammenspiel von Microservices punkto Traffic
Management, Monitoring und nicht zuletzt Security in Form einer erlaubten Kommunikationsmatrix orga-
nisiert. Mit Kubernetes (automatisierte Bereitstellung von Containeranwendungen) und Istio
(Service-Mesh-Verwaltung) sind zwei bekannte Vertreter dieser Entwicklung genannt. Aus Sicherheits-
überlegungen heraus ergeben sich hier neue zu beachtende Infrastruktur/Architektur-Herausforderungen,
die zukünftig noch mehr an Relevanz gewinnen werden.
2018 2019 2020
25 %
20 %
15 %
10 %
Anteilsmäßige
Entwicklung 5%
pro Kategorie 0%
von 2018 bis 2020 Social Engineering Infrastruktur-Architektur Rechteverwaltung Software-Schwachstellen
Web-Anwendungen PW-Management Fehlkonfigurationen
5 | Kapsch Cyber Security Report 2021Incidents
Das Team des Cyber Defense Centers (CDC) überwacht kontinuierlich die Infrastruktur für Unternehmen. Kapsch Cyber
Dabei kommt es zu einer proaktiven Analyse von Security Events und einem reaktiven Emergency Res- Defense Center
ponse Service im Falle eines Vorfalles. (CDC)
Trendanalyse der Security Incidents
Mit Hilfe der Incident-Auswertung des CDC der letzten Jahre ist ein Trend in verschiedenen Bereichen festzu-
stellen. Die nachfolgende Statistik zeigt, welche Gruppen von Incidents in den letzten Jahren aufgetreten sind.
Trends 2019 2020
35 %
30 %
25 %
20 %
15 %
10 %
5%
0%
Mining Worms Other Ransomware Attempted Credential Theft Exploit Kits Trojan
Breaches
Mining: z. B. Malware die Cryptominer verbreitet
Worms: automatisch replizierende Malware, die meist nicht auf eine Remote-Übernahme des Systems abzielt
Other: Angriffe die nicht in die anderen Kategorien fallen (z. B. DoS)
Ransomware: Cryptolocker
Attempted Breaches: zielgerichtete Angriffe, die Soft- bzw. Hardware-Schwachstellen ausnützen
Credential Theft: z. B. Phishing, Password Reuse, Credential Dumping
Exploit Kits: z. B. Exploits, die beim Surfen automatisch ausgeführt werden (z. B. Drive-by-Angriffe)
Trojaner: z. B. Spyware, die ein System für eine Remote-Übernahme kompromittieren. Meistens nicht selbstreplizierend.
Ein Trendrückgang von Ransomware wird prognostiziert. Diese Annahme ist darin begründet, dass der Rückgang von
Start des Ransomware-Trends auf WannaCry bzw. die bekannte EternalBlue-Schwachstelle zurückzu- Ransomware
führen ist. Nachdem diese immer weniger ausnutzbar ist, kann angenommen werden, dass der Ransom-
ware-Trend zurückgeht. Tatsächlich konnte das CDC verzeichnen, dass die Ransomware Incidents nun
weniger breitflächig angelegt sind (z. B. WannaCry), dafür gezielter und vielfältiger (z. B. DoppelPaymer).
Auch eine Entwicklung bei Credential Theft ist zu verzeichnen. Der Umstand, dass der Markt Richtung
Cloud (z. B. O365) weiter fortschreitet, ist der primäre Grund für den Anstieg in diesem Bereich.
Dabei versuchen Angreifer mittels Phishing die Benutzercredentials abzugreifen, um anschließend auf
Cloud-Services zuzugreifen. Andere Möglichkeiten, Cloud-Services zu kompromittieren, gestalten sich
als schwieriger. Es wird prognostiziert, dass dieser Trend aufgrund des Cloud-Fortschritts auch 2021
anhalten wird.
Ein weiterer Trend Richtung Trojaner-Malware ist vor allem seit 2020 erkennbar. In diesem Jahr kam es
zu vielen Varianten des berüchtigten Banking-Trojaners Emotet. Die „Trojan“-Gruppe hängt stark mit der
„Credential Theft“-Gruppe zusammen, da der Eintrittsvektor von Emotet und vielen anderen Trojanern
meist mittels Phishing stattfindet. Ein anderer öfters erkannter und namhafter (vor allem im Banking-
Bereich) ist Trickbot. Die Vielfalt bei diesen Angriffen wächst und nachdem es einen solchen finanziellen
Angriffsvektor in jedem Unternehmen gibt, ist anzunehmen, dass dieser Trend nicht abreißen wird.
Kapsch Cyber Security Report 2021 | 6Wie sieht ein typischer Angriff aus?
Bereits 2001 erfolgte mit dem „Code Red“-Wurm ein Angriff gegen den MS IIS, der ohne eine Datei
„fileless“ auskam und direkt im Arbeitsspeicher (in-memory) ausgeführt wurde. Heute erfahren In-
Memory-Angriffe eine Renaissance, um den initialen Weg der Erstinfektion (Dropper) und die eigentliche
Schadsoftware (Malware) zu trennen. Dropper können somit schnell ausgetauscht werden, ohne die
eigentliche Schadsoftware jedes Mal neu zu entwickeln:
Spam/Phishing-Mail
oder Ansurfen einer
bösartigen Website
Herunterladen eines Erstellen oder Nachladen In-Memory-Ausführung
Droppers von bösartigem Code der Malware
Auf einem ersten Weg wird ein kleines Stück Software (Dropper) auf dem Zielsystem zur Ausführung gebracht.
Dies kann über den Besuch einer präparierten Website erfolgen oder über eine E-Mail mit einem bösartigen
Anhang. Der Fall des zuletzt sehr aktiven Trojaners Emotet zeigt, wie sich dieser initiale Weg über die Zeit
auch ändern kann. Emotet ist bereits mittels JavaScript, mittels Makros und mittels Links erfolgreich auf
Zielsystemen ausgeführt worden.
Nach der erfolgten Erstausführung wird die eigentliche Schadsoftware von einem C&C-Server nachgeladen.
Dies erfolgt in der Regel bereits verschlüsselt und gelangt nur im Arbeitsspeicher zur Ausführung. Dadurch
werden zu diesem Zeitpunkt bereits alle Sicherheitslösungen umgangen, die auf die Analyse des Netzwerk-
verkehrs bzw. auf das Triggern durch eine Dateisystemaktivität angewiesen sind.
Die Aufteilung in diese beiden (oder mittels „Stage 1 bis Stage x“-Dropper in beliebig viele) Stufen ermöglicht
es, dass bereits vorhandene Schadsoftware (da bereits verschlüsselt und im Arbeitsspeicher vor vielen AVs
versteckt) weiterverwendet werden kann. Auch dafür ist Emotet, der bereits als Banking-Trojaner, als Spam-
Schleuder und als Verschlüsselungstrojaner aufgetreten ist, ein gutes Beispiel.
Zur Abwehr solcher Angriffe bedarf es einer generellen Security-Hygiene, um die initiale Ausführung des
Droppers möglichst zu verhindern. Darüber hinaus kann Advanced Malware Protection auf den Endpoints
dazu dienen, ungewollte Prozessaktivitäten bezüglich Laufzeit zu erkennen und zu blockieren. In den Fällen,
in denen es trotz allem zur Ausführung kommt, kann ein Security Operation Center helfen, den Ausbruch zeit-
nah zu detektieren, um rasch Gegenmaßnahmen einzuleiten, bevor es zu einem größeren Schaden kommt.
7 | Kapsch Cyber Security Report 2021Wer hilft im Angriffsfall?
Das Security Operation Center (SOC) ist in den letzten Jahren in aller CISO Munde. Leider kommen das
Erkennen von Angriffen, Analysen und Reaktionen auf Sicherheitsvorfälle oft zu kurz, da sich in vielen
Unternehmen das SOC zusätzlich mit operativen Aufgaben auseinandersetzen muss oder lediglich eine
zentrale Überwachung von IT-Infrastruktur und -Ressourcen sowie Daten darstellt.
Der Fokus eines SOCs sollte vor allem auf einer proaktiven Risikoidentifikation auf dem Erkennen von
Sicherheitsvorfällen liegen. Ein vom Bereich IT Operation abgehobenes SOC optimiert und automatisiert
sinnvoll Aufgaben, um schneller auf Sicherheitsvorfälle reagieren zu können.
Cyber Defense Center – das advanced SOC
Ein Cyber Defense Center (CDC), die Kommandobrücke der Cyber Security, setzt neben hochspeziali-
sierten Forensik-Analysten zusätzlich noch Threat-Intelligence-Analysten ein, um Methoden von Attacken
oder Infiltrationen durch Hacker auf vier unterschiedlichen Ebenen (taktisch, technisch, operativ und
strategisch) proaktiv zu erkennen. Diese systematische und automatisierte Erfassung, Auswertung und
Verwendung von Bedrohungsinformationen zur Erkennung von Angriffen, gekoppelt mit dem Wissen
eines Red Teams (Penetration Tester oder White Hat Hacker), machen ein SOC zu einem CDC.
Unternehmen setzten 2020 vermehrt auf Outsourcing der Angriffsbekämpfung. Kapsch hat diesen Trend
bereits 2016 erkannt und das Cyber Defense Center gegründet.
Die Dwell Time beschreibt das jeweilige Zeitfenster, in dem ein Angreifer in einer IT-Infrastruktur agieren
kann, bevor dieser Angriff erkannt wird.
2019 lag die Dwell Time eines Security-
Dwell Time Angriffs im Durchschnitt bei 66 Tagen,
das sind 66 Tage, in denen sich ein
Angreifer unbemerkt in einem Netzwerk
Without SOC aufhalten und Schaden anrichten kann.
Das Team des Kapsch Cyber Defense
With SOC
Centers überwachte über sehr lange
Zeiträume kontinuierlich die Infrastruktur
0 10 20 30 40 50 60 70 für Unternehmen, dadurch konnte die
Dwell Time in diesen Unternehmen auf
wenige Minuten bis wenige Tage redu-
ziert werden.
Der Stellenwert von Informationssicherheit in Betrieben und Institutionen wächst ständig. Die Kun-
den erwarten sich vermehrt einen sorgfältigen Umgang mit ihren Daten und einen Datenschutz, der
dem Stand der Technik entspricht. Egal welche Sicherheitsbedrohungen zukünftig auf uns zukom-
men werden, es ist wichtig, proaktiv in die Sicherheit zu investieren, um dafür gerüstet zu sein.
Thomas Wenninger (Agile Operations, DevOps bei Miba AG) erklärt die ISO-27001-Zertifizierung als
wesentliche Hilfe, um dieses Ziel zu erreichen, und zwar nicht nur, um das Sicherheitsbewusstsein
der eigenen Mitarbeiter zu steigern, sondern auch, um im internationalen Vergleich ein positives
Vorbild zu sein.
Kapsch Cyber Security Report 2021 | 8Strategien und Lösungen
Ganzheitliche Cyberkriminellen Angriffen kann man nur mit strukturierten und ganzheitlichen Strategien wirksam
Strategien begegnen. Alle sicherheitsrelevanten Aspekte und Zugriffsorte müssen im Rahmen einer solchen
Security-Strategie berücksichtigt und integriert werden.
Dazu gehören:
Aufdecken von Schwachstellen
Identifizierung von Ablauf- und Strukturproblemen
Aufdecken und Analyse von Angriffsmustern
Proaktive und präventive Maßnahmen
Sicherung von Beweismaterial
Abwehr- und Verteidigungslösungen
Aufbau nachhaltiger Schutzmechanismen
Mit Security Audits und Managed Defense Services verfolgt und unterstützt Kapsch BusinessCom
diese strategischen Ziele seit vielen Jahren und bietet mit intelligenten, vorausschauenden Security-
Lösungen die richtigen Antworten auf eine wachsende Cyberkriminalität.
Aufdecken von Schwachstellen und Die Klassiker unter den Security-Lösungen,
Ablauf- und Strukturproblemen von der Firewall bis zur Encryption
Network Security
Security Audit
nt
Content Security
Security-Architektur-Review Pr
ve o APT Solutions
IT-Risiko-Management
Application Security
ISMS-Aufbau
Pre
te
Cloud Security
ct
Kapsch
Security
Strategy
Res
Unterstützung bei der Bekämpfung Security Monitoring
t
on
ec
von Angriffen
t Compromise Assessment
p
d De
Cyber Defense Center Vulnerability Management
Incident Response (Readiness) Threat Intelligence
Forensische Analyse Credential Monitoring
Konkrete Leistungen, die nach Erkennen von vorhandenen
einem Angriff wichtig werden Systeminfektionen
9 | Kapsch Cyber Security Report 2021NIS-Gesetz und Know-how-Richtlinie
Die Umsetzung der NIS-Richtlinie ist mit dem NIS-Gesetz und dessen zugehörigen Verordnungen (NISV NIS-Gesetz
und QuaSteV) mittlerweile auch in Österreich in Fahrt gekommen. Bescheide an betroffene Anbieter forciert
wesentlicher Dienste sind bereits in großer Anzahl ergangen und qualifizierte Stellen (NISG-Prüfstellen) Bewusstsein
sind ernannt. Kapsch ist eine solche qualifizierte Stelle im Sinne des NISG, die per Bescheid vollum-
fänglich alle Sicherheitskategorien (technisch und organisatorisch) prüfen kann. Wir stehen Ihnen gerne
beratend zur Verfügung, damit Sie rechtzeitig alle Sicherheitsanforderungen erfüllt wissen.
Fast zeitgleich, aber medial weniger begleitet, ist mit dem Gesetz gegen den unlauteren Wettbewerb
(UWG) eine weitere EU-Richtlinie, umgangssprachlich Know-how-Richtlinie genannt, umgesetzt worden.
Die im Langnamen „Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäfts-
informationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und
Offenlegung“ bezeichnete Richtlinie regelt den Schutz von Geschäftsgeheimnissen. Sie bringt allerdings
auch Erfordernisse für Unternehmen mit sich, damit eine Information überhaupt als Geschäftsgeheimnis
betrachtet werden kann. Dafür ist laut dieser Regelung nämlich für den ordnungsgemäßen Schutz mittels
technischer, organisatorischer und vertraglicher Maßnahmen zu sorgen. Wer seine Ansprüche nicht
gefährden möchte, muss daher für die Umsetzung dieser Schutzmaßnahmen sorgen.
Auf der einen Seite wächst dank dem rasanten technologischen Fortschritt die Sicherheit. Auf der
anderen Seite jedoch auch die Bedrohung eben ebenjener. Ransomware und Phishing sind dabei
zwei Bedrohungen, die sich stetig ausbreiten und eine verstärkte Aufmerksamkeit von Unternehmen
verlangen. Vor allem durch die ständige Anbindung an das Internet via LTE und 5G bieten sich
Cyberkriminellen unzählige Möglichkeiten, auf unsere mobilen Endgeräte zuzugreifen.
Wir verzeichnen pro Tag rund 1,5 Millionen erfolglose Angriffe auf unsere Systeme. Was bedrohlich
klingt, ist für uns sogar von Nutzen. Denn jeder dieser individuellen Angriffsversuche hilft uns, neue
Sicherheitskonzepte zu entwickeln, um unser System und das unserer Kunden noch sicherer zu
machen. Unsere Microsoft Digital Crimes Unit verhindert durch die Unterstützung von künstlicher
Intelligenz und maschinellem Lernen monatlich sogar über 5 Milliarden Malware-Angriffe. Das Team
arbeitet weltweit auch mit Strafverfolgungsbehörden zusammen, um Kunden und Partner bestmög-
lich vor Cyberangriffen zu schützen.
Harald Leitenmüller, Chief Technology Officer bei Microsoft Österreich
Kapsch Cyber Security Report 2021 | 10Die Top 5 der Cyber-Security-Trends 2021 1 Individualisierung der Malware Wir werden heuer mit einer neuen Nummer 1 in Österreich konfrontiert: Malware wird persönlich. Im ver- gangenen Jahr waren die Angriffe in dieser Kategorie noch sehr breit gestreut und ineffizient. Wir sehen im Darknet einen erneuten Anstieg an kommerziell verfügbarer Exploit Kits am Markt, welche zu noch gezielteren Malware-Angriffen führen. Erste Kunden sind bereits mit Erpressung konfrontiert – daraus folgen entweder Lösegeldforderungen oder – wie im Fall des Bundesministeriums für Europa, Integration und Äußeres – wochenlange Kämpfe mit den Angreifern. 2 Cloud Hijacking Viele Unternehmen in Österreich sind gerade dabei, Workload in die Cloud zu verschieben – speziell in der Form von Containervirtualisierungslösungen wie Kubernetes oder Docker. Der Fachkräftemangel wirkt sich besonders stark auf die Security dieser neuen Trendthemen aus, denn Konfigurationsfehler sind die häufigste Ursache für Datenverlust in der Cloud. Wir erwarten heuer einen drastischen Anstieg an Datenlecks – speziell im Cloudbereich, da viele Kunden in Österreich nicht nur wie bisher auf einen Cloudanbieter setzen, sondern die Vorteile verschiedener Anbieter nutzen. Der Betrieb einer Multicloud- Umgebung erfordert aufgrund der höheren Komplexität auch höheres Know-how im Bereich Security. 3 Security wird CEO-Thema Standen CISOs (Chief Information Security Officers) in den letzten Jahren noch im Schatten ihrer CEOs, so rückt das Thema Security immer mehr in den CEO-Bereich vor und wird zur Chefsache. Die letzten Security Breaches mit den darauf folgenden Kündigungswellen in der Führungsebene haben einen Wandel in der Awareness der CEOs in Bezug auf das Thema Security gebracht. Manche Kunden hatten 2019 noch auf Cyber-Security-Risikoversicherungen gehofft, seit dem Fall Mondelez (Milka, Toblerone etc.) vs. Zurich Versicherung mit einem Streitwert von 100 Millionen US-Dollar ist diese Rück- versicherungsvariante keine Alternative mehr. 4 Datendiebstahl und Manipulation In unserem Ranking heuer weit abgeschlagen, aber immer noch im Trend: Datendiebstahl und Manipu- lation. Datendiebstahl wird immer häufiger und betrifft sowohl Einzelpersonen als auch Unternehmen. Für 2021 sehen wir, dass durch CEO-Fraud, aber auch durch Fehlkonfigurationen – bedingt durch den Fachkräftemangel – immer mehr Fälle von Datendiebstahl auftreten werden. Der SolarWinds-Hack hat gezeigt, dass „spezialisierte Angreifer-Gruppen“ nicht nur auf ausgefeilte Methoden setzen, sondern in späteren Phasen auch gängige Hackerwekzeuge wie Trojaner benutzen, um an Software und Passwörter zu gelangen. Eine Reihe von namhaften Unternehmen und mehr als ein Dutzend US-Behörden waren davon betroffen! Ein weiterer Zwischenfall der jüngeren Vergangenheit rund um eine Sicherheitslücke im MS Exchange Dienst („Hafnium“) zeigt abermals, wie zeitkritisch die rasche und richtige Reaktion sein muss um größeren Schaden abzuwehren. 5 IoT- und OT-Security 5G ist nun in Österreich angekommen – der Zuwachs an Bandbreite macht aus IoT-Geräten eine poten- zielle Plattform für Malware- und DDoS-Angriffen. Wir sehen für 2021 auch die zunehmende Verschmelzung von IoT mit der OT (Operational Technology), also den Einzug der IoT-Geräte in eine vormals isolierte Industriesteuerungswelt.
Die Maßnahmen 1 Security at DevSecOps Speed Die Summe der Maßnahmen entscheidet darüber, ob man einen personalisierten Angriff übersteht oder nicht. Man benötigt eine Mischung aus sinnvollen Investitionen (z. B. Advanced Malware Protection oder XDR-Lösungen), vorbereiteten Maßnahmen (z. B. Red vs. Blue Teaming Sessions), wodurch die Mitarbeiter auf die Bedrohungslage vorbereitet werden, sowie einer durchgängigen Cyber-Hygiene – einer gepflegte Systemlandschaft ohne Patchlücken. Viele Unternehmen setzen hier auch auf externe Hilfe, wie auf das Kapsch CDC, um den Securityreifegrad zu erhöhen. 2 Cloud- und Container-Security-Lösungen Alle gängigen Securityhersteller haben mittlerweile durch den Kauf von Start-ups Lösungen für Cloud und Container Security in petto. Sofern Sie sich in nur einer Cloud fortbewegen, sind die Aufgaben dieser Lösung, wie z. B. das Erkennen von Fehlkonfigurationen oder Impossible Travels, noch mit den Bordmitteln des Cloudanbieters möglich. In Multicloud-Umgebungen können diese Anforderungen nur mit CASB- oder Cloud-native-Security-Lösungen umgesetzt werden. 3 Awareness und Security Roadmap Wenn Sie von Ihrem CEO 2021 zum Thema Security angesprochen werden sollten, so sollten Sie bereits eine Security Roadmap vorbereitet haben. Security-Architektur-Reviews erfassen durch strukturierte Interviews die Security-Blind-Spots Ihres Unternehmens und bewerten diese hinsichtlich Kritikalität und Umsetzbarkeit. Schaffen Sie Awareness für Security-Themen – wenn notwendig, auch mit Guerilla- Marketing-Taktiken (z. B. der Thermengutschein vom Betriebsrat mit Word-Makro). 4 Multifactor-Authentication-Lösungen sowie Red Teaming Der Großteil der Unternehmen wird 2021 seine Passwort-Komplexitätsregeln überarbeiten müssen. Regelmäßige Passwortänderungszyklen und komplexe Anforderungen haben dazu geführt, dass viele Mitarbeiter immer wieder dieselben Textbausteine für ihre Passwörter verwenden (z. B. Monat, Zweck etc.). Multifactor-Authentication-Lösungen integrieren Sensoren oder USB/NFC-Security-Keys in den Anmeldeprozess (z. B. Windows Hello) und verhindern dadurch Datendiebstahl durch gespeicherte Browserpasswörter etc. Stellen Sie Ihre IT mit einem unangekündigten Red-Teaming-Angriff auf die Probe und üben Sie die Notfallmaßnahmen für Datendiebstahl. 5 Device Fingerprinting und Enforcement Der wichtigste Punkt bei IoT-Geräten ist, diese überhaupt als IoT-Gerät im Netzwerk ausfindig zu machen. Device-Fingerprinting-Lösungen können diese Geräte an ihrem Trafficverhalten erkennen, klassifizieren und geeignete Maßnahmen zur Absicherung dieser Geräte empfehlen. Das sind z. B. die vom Hersteller empfohlene Firewallkonfiguration dieser Geräte, passende IPS-Signaturen oder auch eine mögliche Mikrosegmentierungsvorlage.
Einfallsvektor Passwort-Sicherheit
Kaum ein Thema beschäftigt österreichische Unternehmen so sehr wie der Umgang mit Passwörtern
und dass die Auswahl von „sicheren“ Passwörtern oftmals die letzte Hürde einer Kompromittierung
darstellt. Die Sicherheit soll dabei durch bekannte Vorgaben unterstützt werden, wie das periodische
Ändern von Passwörtern (z. B. alle 60 Tage) oder die inhaltliche Bestimmung hinsichtlich Komplexität
(Klein-, Großbuchstaben, Sonderzeichen) und Länge.
Diese Richtlinien-Mentalität besteht seit Anbeginn der Authentifizierung mit Passwörtern und wurde viele
Erkennung Jahre hinweg gelebt und forciert.
schwacher 2017 war eine Wende zu dieser allgemeinen Einstellung erkennbar: Durch die jahrzehntelange Erfahrung,
Sicherheits- dass Benutzer bei der Wahl ihrer Passwörter auf schwache Muster zurückfallen oder öffentlich bekannte
praktiken im Passwörter nutzen, sprach sich das amerikanische NIST für einen neuen Ansatz bezüglich der Authentifi-
österreichischen zierung mit Passwörtern aus:
Umfeld Passwörter sollten zwar einer gewissen Länge entsprechen, jedoch sollte auf etwaige Komplexitätsan-
forderungen verzichtet werden. Mit dem Verzicht auf alte Gewohnheiten sollten künftig Passwörter dahin-
gehend geprüft werden, ob sie bereits öffentlich bekannt sind bzw. über schwache Passwortmuster oder
Inhalte einer Blacklist aufweisen.
Außerdem sollte auf die Anforderung der periodischen Passwortänderung verzichtet und Passwörter
sollten nur mehr im Verdachtsfall gesperrt werden.
Neben Konzer- Doch bedarf es vor der Umsetzung der neuen Empfehlungen möglicherweise einer Anpassung der
nen wie Face- eingesetzten Systeme. Mit der Azure-Cloud verbundene Verzeichnisdienste können die Blacklist-
book, LinkedIn Funktionalität mit wenigen Mausklicks adaptieren. On-Premises-Umgebungen jedoch können dabei
und Twitter auf kommerzielle Software auf den Servern angewiesen sein. Diese Softwareprodukte benötigen meist
sind auch eine aktive Internetverbindung, erlauben meist wenig Einblicke in die Funktionsweise, sind nicht an die
österreichische Unternehmen angepasst und erfordern ein enormes Vertrauen in den jeweiligen Softwarehersteller. Will
Institutionen wie man diesen Schritt nicht gehen, kann mit Open-Source-Software die Funktionalität in Windows-Server-
Cybasar.at, systemen implementiert werden, jedoch kann dies einen erhöhten zeitlichen Aufwand zur Folge haben.
A1 oder die
Bibliothek Wien Entschließt sich eine IT-Abteilung zur eigenständigen Durchführung der Passwort-Prüfungen, muss
von Daten-Leaks neben dem Aufwand auch das Thema Datenschutz berücksichtigt werden, da zwischen den erfolgreich
betroffen angegriffenen Passwörtern und den jeweils betroffenen Benutzern eine Verbindung hergestellt werden
kann.
Um die Passwort-Sicherheit eines Unternehmens gegen etwaige Angriffe wappnen zu können, ist die
Erstellung einer eigenen Prüfmethodik unerlässlich. Die Anforderungen von CISOs, Datenschutzbeauf-
tragten und Admins wurden seitens Kapsch im Rahmen einer Serviceerweiterung näher betrachtet und
in das neue Audit-Modul „Passwort-Audit“ integriert. Dieses lässt sich in folgende Phasen gliedern:
Vorbereitung: Es werden öffentliche Daten-Leaks gesammelt, die enthaltenen Zugangsdaten in einer
zentralen Datenbank aggregiert und mit Informationen von Services wie Have-I-Been-Pwned kombiniert.
Bei einer geplanten Passwortüberprüfung wird aktiv nach spezifischen Informationen über das Kunden-
unternehmen gesucht und für eine Prüfung vorbereitet.
Durchführung: Es werden die NT-Hashes aus dem Active Directory exportiert. Dabei erlangen die Prüfer
nur Einsicht in die NT-Hashes, sodass kein Rückschluss auf etwaige Konten erfolgen kann. Eine ver-
knüpfte Liste von NT-Hashes und Benutzernamen bleibt für spätere Zwecke auf dem Ursprungsserver.
Die zu prüfenden NT-Hashes werden entweder auf einem eigens konzipierten Prüfsystem lokal oder in
den gesicherten Räumlichkeiten von Kapsch mit hybriden Passwort-Angriffen geprüft.
13 | Kapsch Cyber Security Report 2021Auswertung: Nach der Durchführung können manuell und automatisch identifizierte Aussagen bezüglich
der Passwortverwendung innerhalb des geprüften Unternehmens ausgesprochen werden. Unter
anderem, wie viele NT-Hashes in die Klartextform gebracht werden konnten oder etwa wie viele der
genutzten NT-Hashes öffentlich bekannt sind. Neben der Statistik erlaubt die manuelle Analyse der
Prüfer auch eine Einsicht, wie sich die gewonnenen Passwörter inhaltlich gestalten, beispielsweise:
Werden unternehmensspezifische Inhalte genutzt? Nutzen die Mitarbeiter Passwörter wie Jahreszeit +
Sonderzeichen?
Zusammen mit der Statistik wird die Liste der betroffenen NT-Hashes gesichert auf das ursprüngliche
Serversystem übertragen, auf dem sich die Zuordnung der Benutzer anhand der NT-Hashes durchfüh-
ren lässt. IT-Admins können im Anschluss die Betroffenen über die Sachlage informieren und weitere
Schritte zur Absicherung einleiten.
Durch die regelmäßige Überprüfung der genutzten Passwörter kann der Nutzung schwacher oder öffent-
lich bekannter Passwörter und somit der nächsten Kompromittierung vorgebeugt werden.
Dateneinsicht der Prüfer
Permanent Kurzfristig vor Ort
Muster schwacher Statistiken NT-Hash-Werte Schwache Betroffene
Passwörter des Unternehmens Passwörter NT-Hash-Werte
Dateneinsicht der Ansprechperson
Permanent
Betroffene Betroffene NT-Hashwerte Statistiken Muster schwacher
Benutzer NT-Hash-Werte personenverknüpft Passwörter
Mehrstufiger Sicherheitsansatz nötig
In der heutigen Welt der ständigen, neuartigen Bedrohungen wird ein mehrstufiger Sicherheitsan-
satz immer wichtiger. Dieser besteht vor allem aus fünf Komponenten: 1) Eine erweiterte Technologie
zur Erkennung und Abwehr von Malware kann unbekannte Dateien nachverfolgen, bekannte
Schadprogramme blockieren und ihre Ausführung auf Endpunkten oder Netzwerkgeräten stop-
pen. 2) Netzwerksicherheitslösungen hindern schädliche Dateien daran, über das Internet in das
Unternehmen einzudringen oder sich innerhalb des Netzwerks auszubreiten. 3) Webscanning an
einem Secure Web Gateway oder Secure Internet Gateway vermeidet, dass unaufmerksame Nutzer
schädliche Domänen, IP-Adressen oder URLs öffnen. 4) E-Mail-Sicherheitstechnologie blockiert
schädliche Nachrichten, entfernt Spam und scannt alle Komponenten einer Mail auf mögliche
Gefahren. 5) Fortschrittliche Malware-Erkennung und Schutztechnologie kann die Ausführung von
Malware auf Endpunkten verhindern und dabei helfen, infizierte Endgeräte zu isolieren.
Torsten Harengel, Head of Cyber Security bei Cisco Deutschland
Kapsch Cyber Security Report 2021 | 14Kapsch Red Teaming
Unternehmen müssen sich heutzutage mehr denn je mit rapide anwachsenden Sicherheitsherausfor-
derungen auseinandersetzen. Der Allianz Risk Barometer listete 2019 erstmals Cybervorfälle gleichauf
mit Betriebsunterbrechungen als weltweit größtes Risiko für Unternehmen. Microsoft schätzt die
durchschnittlichen Kosten von IT-Sicherheitsvorfällen pro Unternehmen auf 13,5 Millionen Euro. Neben
klassischen Penetrationstests bieten Red-Team-Übungen eine hervorragende Ergänzung zur Verbesse-
rung der Unternehmenssicherheit.
Red Teaming bei Kapsch
Red-Team-Übungen nehmen durch interaktive und zielorientierte Angriffssimulationen die gesamten
Sicherheitsvorkehrungen eines Unternehmens unter realen Bedingungen unter die Lupe.
In der Rolle eines fiktiven Angreifers versucht das Kapsch Red Team durch Zuhilfenahme unterschied-
lichster Methoden und Techniken das Zielunternehmen zu kompromittieren, um vorab vereinbarte Ziele
zu erreichen.
Bis auf einen kleinen Personenkreis seitens des Kunden werden keine weiteren Mitarbeiter über den
Test informiert und Schutzsysteme bleiben aktiv. Ziel der Übung aus Sicht des beauftragenden Unter-
nehmens ist die zeitnahe Erkennung und Behebung der Angriffe. Dies bietet neben dem Training für den
Ernstfall die Möglichkeit zur Evaluierung der Funktionstüchtigkeit sämtlicher Maßnahmen, der Erkennung
von Limitierungen und der besseren Abschätzung etwaiger Auswirkungen von Angriffen.
Das vorrangige Ziel der Übungen aus Sicht des Kapsch Red Teams ist das Erfüllen von vorab verein-
barten operativen Zielen. Diese hängen stark von der Branche des Unternehmens ab. Ziele können
in allgemeine Kategorien wie operationelle oder strategische Risiken eingeteilt werden. Zielvorgaben
können beispielsweise der Zugriff auf die Kundendatenbanken, das Stehlen von kritischen Dokumenten,
das Auslesen des E-Mail-Postfachs der Geschäftsleitung oder der Zugriff auf das SWIFT-Transaktions-
netzwerk sein. Dieser zielorientierte Ansatz garantiert die hohe Realitätsnähe der Angriffssimulation.
Während des Red Teamings werden vier Sicherheitsebenen getestet. Neben der technischen sind insbe-
sondere die menschliche, die organisatorische sowie die physische Ebene von besonderer Bedeutung.
Bei herkömmlichen Tests werden diese Ebenen jeweils getrennt voneinander überprüft, während beim
Red Teaming eine gesamtheitliche Betrachtung stattfindet.
Bei Red-Team-Simulationen werden die Angriffsziele vom Red Team selbst ausgewählt, wodurch auto-
matisch der Fokus der Überprüfung auf jenen Systemen liegt, welche auch von tatsächlichen Angreifern
zuerst attackiert werden. Die Angriffssimulationen finden über mehrere Monate hinweg statt, damit der
betroffene Personenkreis etwaige Angriffszeitpunkte nicht vorhersehen kann. Weiters erlaubt dies den
zeitnahen Einsatz von hochaktuellen Sicherheitslücken. Auch das Durchführen von Angriffen außerhalb
der regulären Geschäftszeiten ist typisch für Red Teaming.
Nach Abschluss der Angriffssimulationen werden sämtliche ausgenutzten Schwachstellen im Endbericht
mit maßgeschneiderten Empfehlungen dokumentiert. Insbesondere die anschließende enge Kooperation
mit dem Blue Team des beauftragenden Unternehmens ist von besonderer Bedeutung, um Erkenntnisse
auf beiden Seiten abzugleichen. Hierbei wird festgestellt, warum gewisse Angriffe nicht erkannt wurden
und wo blinde Flecken sowie Verbesserungspotenzial existieren.
15 | Kapsch Cyber Security Report 2021Für wen eignen sich Red-Team-Simulationen?
Unternehmen der Finanzbranche nahmen mit der Veröffentlichung des TIBER-EU Frameworks im
europäischen Raum eine Vorreiterrolle beim Red Teaming ein, jedoch wird die Durchführung solcher
Übungen allen Unternehmen mit erhöhten Schutzanforderungen empfohlen. Mit der Einführung der
österreichischen NIS-Richtlinie wird dieser Prüfansatz insbesondere Betreibern von kritischer Infrastruk-
tur nahegelegt.
Grundsätzlich sollte ein Unternehmen, das Red-Team-Übungen in Auftrag geben möchte, bereits ein
gewisses Basissicherheitsniveau aufweisen. Wurden noch keine Sicherheitsüberprüfungen der extern
erreichbaren Webauftritte oder des internen Netzwerkes durchgeführt, so wird empfohlen, dies noch
vor einem möglichen Red Teaming nachzuholen. Des Weiteren sollte das Unternehmen bereits über die
Möglichkeit verfügen, Angriffe zu erkennen, da dies schließlich im Zuge der Angriffssimulation überprüft
wird.
Vorteile durch das Kapsch Red Team
Red-Team-Simulationen gelten als die Königsdisziplin unter den Sicherheitsüberprüfungen. Dies ist dar-
auf zurückzuführen, dass Angriffe ein hohes Maß an Wissen, Kompetenz und Erfahrung in den einzelnen
Bereichen erfordern, um eine Vielfalt von Angriffen sowie aktuelle Angriffstrends simulieren zu können.
Das Kapsch Red Team kann hierbei auf die langjährige Erfahrung seiner Mitarbeiter zurückgreifen, die
fortlaufend durch Weiterbildungen gefördert werden.
Ein weiterer Vorteil ist die enge Zusammenarbeit mit dem Kapsch Cyber Defence Center (CDC). Das
Kapsch CDC ist ein Blue-Team-Service für Kunden, welches unternehmensübergreifend tagtäglich
Erfahrungen mit der Abwehr von Cyberangriffen sammelt und somit über eine hohe Kompetenz in
diesem Umfeld verfügt. Im Kapsch CDC werden Entwicklungen und Angriffstechniken, die aktuell von
realen Angreifern eingesetzt werden, erkannt, analysiert und dokumentiert.
Insbesondere der interdisziplinäre Wissensaustausch beider Teams gewährleistet, dass sowohl das
Kapsch Red Team als auch das Kapsch CDC in ihren jeweiligen Bereichen federführend sind.
Als Sicherheitsverantwortliche waren wir in der Vergangenheit oft die Verwalter und nur selten die
Gestalter. Mit der zunehmenden Digitalisierung unserer Gesellschaft und den damit verbundenen
Herausforderungen bezüglich Vertrauen und Datenschutz steht Cybersicherheit plötzlich als ein zent-
raler Differenzierungsfaktor für viele Geschäftsmodelle der Zukunft da. Ja, die Bedrohungslandschaft
wächst immer exponentiell. Erfolgreiche CISOs von morgen sind aber diejenigen, die sich nicht nur
auf Bedrohungen fokussieren, sondern das Thema Cybersicherheit aktiv auf den Geschäftserfolg von
morgen ausrichten. Für die Agenda 2025 bieten sich für die CISOs zwei große Megatrends an, um
diesen Sprung zu schaffen: a) zum einen die Multicloud-Nutzung, resultierend aus der Einführung
von DevOps-Prozessen, zum anderen IoT und die rasante Vernetzung von physischen Geräten und
Maschinen. CISOs sollten bereits heute ihre Sicherheitsorganisation und -technologien so aufstellen,
dass diese sich flexibel und ohne zusätzliche Kosten den Bedürfnissen der Geschäftsbereiche in
einer Multicloud Umgebung anpassen, sowie bei der Sicherheitsarchitektur und Anschaffung von
neuen Sicherheitstechnologien konsequent davon ausgehen, dass jedes einzelne Gerät, Service oder
Produkt mit dem Internet verbunden sein wird (Stichwort Zero Trust Network).
Sergej Epp, Chief Security Officer (CSO) bei Palo Alto Networks
Kapsch Cyber Security Report 2021 | 16Wo lebenslanges Lernen nicht nur ein
Slogan ist – Cyber Security!
„I cannot get the technical security people I need.”1 Diese Antwort gab Lt. Gen. Charles Croom, Com-
mander der Joint Task Force - Global Network Operations, am 28. Mai 2008 dem Center for Strategic
and International Studies (CSIS) auf die Frage, was er als das kritischste Problem bei der Bewältigung
der stetig wachsenden Cyber-Bedrohung sehen würde.
Heute, knapp 12 Jahre später, hat sich, betrachtet man diesbezügliche Studien und
Jobangebotsseiten, wahrnehmbar nichts an der Allgemeingültigkeit dieses Aus-
spruchs geändert.
Das bestätigt beispielsweise die aktuelle Studie von Forbes2, in der über 200 CISOs
in Nordamerika, Europa und Asien darüber befragt wurden, welche Security-Initiative
für sie im kommenden Jahr die höchste Priorität hätte. Die Top-Antwort mit 14 %
war „Einstellung von mehr Cyber-Security-Mitarbeitern“, gefolgt von „Bildung einer
Sicherheitskultur“ und „bessere Sicherheitsschulung der Mitarbeiter“.
Leider dürfte sich laut einer Studie3 der Herjavec Group, die 3,5 Millionen offene
Cyber-Security Stellen weltweit für 2021 voraussagt, dieses Ansinnen als recht
schwierig erweisen.
Aus diesem Arbeitskräftemangel heraus resultieren unterbesetzte und überbelastete Teams, wie die
Studie „CISOs´ Toughest Dilemma: Prevention Is Faulty, yet Investigation Is a Burden“4 von Bitdefender
aus dem Jahr 2018 bestätigte. 69 % der in der Studie befragten CISOs gaben an, dass ihr Team nicht
ausreichend besetzt wäre und 72 % berichteten über Arbeitsüberlastung ihrer Mitarbeiter. Die Einstellung
neuer Mitarbeiter würde sich nicht nur aufgrund geringer Bewerberzahlen als schwierig gestalten –
60 % der befragten CISOs gaben an, dass Bewerber überdies oft nicht ausreichend ausgebildet waren.
Auch wenn offensichtlich die Aussage von Lt. Gen. Croom heute noch gültig ist und wir einen großen
Mangel an gut ausgebildeten Arbeitskräften im Bereich Cyber Security haben, hat sich gerade hin-
sichtlich der Ausbildung im letzten Jahrzehnt sehr viel getan, um den in der zuletzt erwähnten Studie
angesprochenen Skill Gap zu schließen.
Zwar bieten Universitäten und Fachhochschulen ein vielfältiges Spektrum an Bachelor- und Masteraus-
bildungen im Bereich Informatik und Security an, leider müssen jedoch aufgrund fehlender öffentlich
finanzierter Studienplätze gerade im Fachhochschulsektor immer wieder viele Bewerber abgelehnt
werden – trotz Fachkräftemangel.
Um diesem Dilemma entgegenzuwirken, startete die Fachhochschule Technikum Wien in Zusammen-
arbeit und mit Unterstützung der Industrie, unter anderem auch der Kapsch Group, eine Crowdfunding-
Kampagne zur Finanzierung technischer Studienplätze. Ein innovativer Ansatz, um den Skill Gap
möglichst klein zu halten oder ganz zu tilgen, war der Start eines dualen Studiums im Informatik-Bereich
an der Fachhochschule Technikum Wien.
„Dual studieren bedeutet, dass Teile der Ausbildung in einem Unternehmen stattfinden. Somit wird
die an Fachhochschulen sehr praxisnahe Ausbildung noch durch eine relevante, mehrere Semester
dauernde facheinschlägige berufliche Tätigkeit in einem Firmenumfeld verstärkt. Unternehmen haben
dadurch die Chance, mögliche zukünftige Mitarbeiter schon während der Ausbildung begleiten zu kön-
nen, und diese dann ihren individuellen Stärken entsprechend einsetzen zu können“, erklärt FH-Prof.
Dipl.-Ing. Dr. techn. Harald Wahl, Studiengangsleiter des dualen Bachelorstudiengangs Informatik.
1
K. EVANS and F. REEDER, „A human capital crisis in cybersecurity: Technical proficiency matters“, 2010.
2
Forbes Insights/Fortinet, „Making Tough Choices: How CISOs Manage Escalating Threats And Limited Resources“ , 2019.
3
Herjavec Group, „2019/2020 Cybersecurity Jobs Report“, 2019.
4
Bitdefender, „CISOs´ Toughest Dilemma: Prevention Is Faulty, yet Investigation Is a Burden“, 2018.
17 | Kapsch Cyber Security Report 2021Auch im Masterstudiengang IT-Security an der Fachhochschule Technikum Wien hat sich viel getan.
Neben der kontinuierlichen Adaption des Curriculums und der Lehrinhalte wurden, um sich an die
sich Anforderungen anzupassen, neben den Basislehrveranstaltungen im Bereich der technischen
und organisatorischen Sicherheit Spezialisierungsrichtungen – sogenannte „Karrierepfade“ – ins
Leben gerufen. Diese bieten eine zielgerichtete und praxisorientierte Ausbildung, die es Studieren-
den ermöglichen soll, ohne lange Transition rasch und produktiv einsatzbereit zu sein.
Derzeit stehen die Karrierepfade „Security Manager“, „Security Consultant“ und „Technical Security
Expert“ mit Fächern wie ITIL, Krisenmanagement und Forensik (Security Consultant), Risikoanalyse,
Identity Management und SOC/SIEM (Security Manager) oder Whitehat Hacking, Security Architek-
turen mit Firewalltechniken und Web Application Security (Technical Security Expert) zur Auswahl.
Den Erfolg dieser äußerst praxisorientierten Ausbildung konnten Studierende der Fachhochschule
Technikum Wien anschaulich beweisen, als sie im Frühjahr 2019 beim „Locked Shields Partner Run“
auf Anhieb bei ihrer erstmaligen Teilnahme Platz 2 belegten.
Zusammengefasst sei betont: Eine solide technische Ausbildung ermöglicht den Absolventen, auch
komplexe technische Zusammenhänge zu verstehen, ist aber natürlich nur der Beginn einer Karriere
im Cyber Security Bereich, ein ausgezeichnetes Fundament, auf das man aufbauen kann. Kontinu-
ierliche Weiterbildung ist gerade in diesem Arbeitsumfeld unumgänglich und der Nachweis durch
Zertifikate wie CISSP, CISA und CISM (um nur einige relevante und anerkannte zu nennen) bzw. die
vielen Produktzertifizierungen sind ein Must-have zur Sicherheit der Arbeitszukunft, aber auch ein
Beitrag zur Sicherheit der Gesellschaft.
Christian Kaufmann
Studiengangsleiter Master IT-Security, FH Technikum Wien
Seit 2019 sind in Europa 5G-Netzwerke von Telekommunikationsunternehmen für Kunden verfügbar.
5G-Netzwerke stehen seitdem nicht nur im Fokus von Telekommunikationsunternehmen, sondern
auch von Regierungen.
Innerhalb der EU haben sich die Europäische Kommission und die EU-Cybersicherheitsagentur
intensiv mit dem Thema Cybersicherheit in 5G-Netzen beschäftigt. Auf Initiative der Europäischen
Kommission entstand in den EU-Mitgliedstaaten in Zusammenarbeit von Regulierungsbehörden
und Telekommunikationsunternehmen ein umfangreicher Bericht zur Risikobewertung in Bezug
auf Cybersicherheit in 5G-Netzwerken. Im Bericht gibt es zwei markante Themenblöcke: Auf der
einen Seite die Technik, welche die innovativen Anwendungsszenarien von 5G, Enhanced Mobile
Broadband, Massive IoT und Ultra-reliable and Low Latency sowie 5G-Campus-Netzwerke und
Network Slicing, ermöglicht, auf der anderen Seite die Hersteller, die für den Aufbau und den Betrieb
von 5G-Netzwerken mit verantwortlich sind. Diese zwei Themen sind mit ihrer Komplexität eine
Herausforderung und von entscheidender Bedeutung für die Sicherheit von 5G-Netzen.
Behörden, Telekommunikationsunternehmen und Hersteller werden 2021 weitere Maßnahmen
setzen und dafür sorgen, dass 5G-Netzwerke in Europa für alle Teilnehmer sicher sind.
Oliver Landsmann, Head of Security & Technical Compliance bei Hutchison Drei Austria GmbH
Kapsch Cyber Security Report 2021 | 18Kapsch BusinessCom
Kapsch BusinessCom ist Österreichs führender ICT-Lösungs- und Serviceprovider
sowie Digitalisierungspartner. Die BusinessCom verknüpft Innovationskraft, zertifizier-
te Technologiekompetenz und Branchen-Know-how als Consulter und Business Engi-
neer. In der DACH-Region, Rumänien und Tschechien entwickelt das Unternehmen
End-to-End neue Geschäftsmodelle mit seinen Kunden: Connectivity, IoT-Plattformen,
individuelle AI-Anwendungen und Software-Applikationen. Das Kapsch Cyber Defen-
se Center sorgt dabei für den Schutz aller Daten. Der Digitalisierungspartner begleitet
seine Kunden bei ihrer Cloud Transformation Journey wie bei der Entwicklung von
Smart Spaces und Smart Offices. Die Basis dafür bildet die langjährige Erfahrung
als Marktführer für Netzwerklösungen, Collaboration, Datacenter-Infrastruktur sowie
Security und Managed Services, kombiniert mit den Technologien internationaler
Hersteller wie Cisco, Microsoft und HPE.
Ein Unternehmen der Kapsch-Gruppe.
www.kapsch.net
PROS-CyberSecurityReport2021
Herausgeber und Gesamtverantwortung: Kapsch BusinessCom AG, Wienerbergstraße 53, 1120 Wien.
Copyright 2021 by Kapsch BusinessCom.
Alle Fotos iStock oder Kapsch.
Kapsch BusinessCom AG | Wienerbergstraße 53 | 1120 Wien | Österreich | T +43 50 811-0 | kbc.office@kapsch.net | www.kapsch.netSie können auch lesen
