IT-Sicherheit in Zeiten der Digitalen Transformation

Dies ist der zweite Teil unserer Serie “Digitalisierung 2021”. In den anderen Artikeln haben wir uns mit der Digitalisierung in den Bereichen Vertrieb, Marketing, Logistik, Finanzwesen, Einkauf, Produktion und Controlling befasst. In diesem Artikel geht es um die Digitalisierung der IT-Sicherheit.

‍

Erinnern Sie sich noch? 2015 wurde der Bundestag von Cyber-Kriminellen angegriffen. 2017 überfiel die Erpresser-Software (engl. Ransomware) WannaCry mehr als 100.000 Computer in 150 Ländern und legte diese lahm. Autofabriken konnten nicht mehr produzieren und in Krankenhäusern standen Computer und Kernspintomografen still. Doch der gefährlichste Cyberangriff der Welt geschah 2010, als der Computerwurm Stuxnet zum Einsatz kam und die Steuerung und Motoren von Siemens-Industrieanlagen manipulieren konnte. Das war ein gezielter Angriff auf Uran-Zentrifugen in Anreicherungsanlagen und auf das iranische Atomprogramm, was infolgedessen um Jahre zurückgeworfen wurde.

Das hört sich alles weit weg an? Laut einer Bitkom Umfrage sind drei von vier Unternehmen von 2017 bis 2019 Opfer von Industriespionage, Datendiebstahl und Sabotage geworden. Hauptzielgruppe? Organisationen mit bis zu 99 Mitarbeiter:innen, denen oftmals die entsprechenden Ressourcen fehlen, um sich gegen diese Angriffe zu schützen.

Grundlage der digitalen Transformation

Im Zuge der digitalen Transformation werden Computern mehr Aufgaben zugewiesen und sie werden miteinander verknüpft. Das bietet entsprechend mehr potenzielle Angriffsfläche und birgt das Risiko von verheerenden Folgen bei gezielten Cyberattacken. Aktuell werden bereits zwei von drei Unternehmen angegriffen. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) spricht sogar von Cyber-Sicherheit als Wettbewerbsvorteil in der Digitalisierung und hat eine gleichnamige Broschüre dazu herausgebracht.

Prävention reicht heute nicht mehr aus. Angriffe müssen heutzutage rasch entdeckt werden, um den Schaden zu begrenzen und die Ursachen zu beseitigen. Gleichzeitig ermöglicht und beschleunigt Sicherheit die Digitalisierung und digitale Wachstumsstrategien.

Lesen Sie im Folgenden, auf welche Dinge man sein Augenmerk legen sollte, um diese Basis zu schaffen.

Herausforderungen der Digitalisierung an die  Cybersecurity

Im Zuge der von Covid-19 beschleunigten Digitalisierung und der Akzeptanz des Homeoffices verschwinden die physikalischen Grenzen eines jeden Unternehmens zusehends. Das stellt eine weitere Herausforderung an die IT-Sicherheit dar, die schon mit der zunehmenden Vernetzung von immer mehr Computern strapaziert ist, die wiederum immer mehr Aufgaben autonom ausführen können.

Folgende Punkte sind kritische Aspekte und beliebte Einfallstore für Angreifer:innen.

1. Cloud Security

Die Cloud hat einiges zu bieten. Da wären zum einen der globale Zugriff rund um die Uhr, unerlässlich für Teams und Projekte, die an unterschiedlichen Standorten arbeiten. Oder für einzelne Mitarbeiter:innen zu Hause. Vollständige Infrastrukturen lassen sich hier virtuell umsetzen. Die Vorteile in Bezug auf Dynamik, Flexibilität und Skalierbarkeit sind signifikant. Und beim Thema Daten-Backup kann man sich hier entspannt zurücklehnen - beim Thema Sicherheit allerdings nicht.

Ganzheitlicher Ansatz‍

Wie bei der IT-Sicherheit im Ganzen muss auch die Cloud Security holistisch betrachtet werden. Insbesondere wenn Multi-Cloud-Umgebungen genutzt werden, also die Verwendung von mehreren Cloud-Diensten und Anbietern.

Im Falle der Softwareentwicklung mit DevOps (DevOps steht für “Development” und “Operations“ und verbindet die vormals getrennten Bereiche Entwicklung und Betrieb) greift hier der DevSecOps Ansatz, der die Sicherheit von Anfang an ganzheitlich in den gesamten Prozess verankert.

Cloud-Konfiguration

Fehlerquelle Mensch - Gartner gibt an, dass nicht der Cloud-Anbieter, sondern der Nutzer oder die Nutzerin in den meisten Fällen bei der Konfiguration versagt und somit Geschäftsgeheimnisse, geistiges Eigentum und sensible Informationen preisgibt. Sowohl auf die Zugriffskontrolle als auch auf die Zugriffsverwaltung ist peinlichst genau zu achten bei der Konfiguration der Cloud.

APIs

Eine weitere beliebte Schwachstelle sind unsichere Programmierschnittstellen, APIs (Application programming interface) genannt. Interessierte Leser:inne finden hier die OWASP API Security Top 10 Liste, eine weitverbreitete Liste der zehn wichtigsten Schwachstellen in Webapplikationen. 

Systemschwachstellen

Nicht zuletzt ist auch der Cloud-Anbieter selbst angreifbar. Deswegen müssen neben sicheren Anwendungen auch eine regelmäßige Schwachstellen- und Sicherheitsüberprüfung beim Anbieter stattfinden.

‍

2. Authentifizierung und Identity & Access Management (IAM) 

Der Schutz der  Identitäten steht ebenfalls ganz oben auf der Sicherheitsagenda. Die klassische Kombination aus Benutzername und Passwort ist heutzutage nicht mehr ausreichend als Zugriffsschutz. Zusätzlich sollte eine Zwei-Faktor-Authentifizierung verwendet werden, also den Identitätsnachweis eines Nutzers oder einer Nutzerin mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten. Beispiele dafür wären die Bankkarte plus PIN für Geldautomaten, Sicherheits-Token plus Zugangscode in Gebäuden oder eben Benutzername/Passwort auf dem PC plus Sicherheitscode aus einer Authentifizierungs-App auf dem Smartphone.

Weiterhin geht es beim Identitäts- und Zugriffsmanagement (Identity & Access Management, kurz IAM) um die Definition und Verwaltung der Rollen als auch Zugriffsrechte einzelner Netzwerknutzer. Jede:r Mitarbeiter:in bekommt eine digitale Identität, die gepflegt, geändert und überwacht werden muss. Dabei sollte es niemals eine Identität geben, die auf alles zugreifen kann.

‍

3. Endpoint Security 

Die sog. Endpoint Security hat viele Namen - Endpunktsicherheit, Endgerätesicherheit, Endpoint Protection oder Endpunktschutz. Hierbei geht es um die Sicherung von Endpunkten oder auch Geräte der Endbenutzer:innen. Also zum Beispiel PCs, Notebooks, Smartphones und Tablets. Auch diese bieten Zugang zum Unternehmensnetzwerk und sind daher potenzielle Einfallstore für Kriminelle. Wie es der Name verrät, schützt die Endpoint Security Endpunkte vor Angriffen und dient dazu, wichtige Datenschutz- und Compliance-Vorgaben einzuhalten. Auch organisatorische Maßnahmen wie Sensibilisierungsmaßnahmen oder Schulungen der Mitarbeitenden über den Umgang mit Endgeräten und externen Datenträgern gehören dazu.

Das System der Endgerätesicherheit ist eine Software und Plattform, die den gesamten Netzwerkverkehr zwischen den Endpunkten und dem Netzwerk analysiert, überwacht und schützt. Systemadministratoren bietet diese Plattform eine zentrale Konsole mit der sie frühzeitig Angriffe oder verdächtige Aktivitäten entdecken können. Außerdem haben sie auch direkten Zugriff auf die Endgeräte, wenn diese entsprechend konfiguriert worden sind.

Methoden wie sichere virtualisierte Surfumgebungen oder E-Mail-Gateways zur Blockierung von Phishing- und Betrugs-Versuchen gegenüber Mitarbeitenden (Social Engineering, siehe unten) helfen, Cyberattacken abzuwenden.

4. Social Engineering - der Mensch als Schwachstelle

Schauen wir uns das Social Engineering ein wenig genauer an. Als Social Engineering gilt die psychologische Manipulation von Menschen und ist oftmals der Start einer Cyberattacke. Der Angreifer oder die Angreiferin gewinnt Informationen, bringt jemanden dazu einen Link zu klicken oder erhält sogar Zugang zu einem vermeintlich sicheren IT-System. Doch wie ist das möglich? - Beim Social Engineering werden menschliche Eigenschaften und Emotionen wie Hilfsbereitschaft, Vertrauen, Angst, Gier, Rage oder Respekt vor Autoritäten ausgenutzt, damit die gewünschte Aktion vom Opfer schließlich ausgeführt wird. “Das zentrale Merkmal von Angriffen mithilfe von Social Engineering besteht in der Täuschung über die Identität und die Absicht des Täters.”, ist die Aussage des BSI (Bundesamt für Sicherheit in der Informationstechnik) dazu.

Ein Endpoint Security System ist eine wirkungsvolle Maßnahme gegen das Social Engineering, da E-Mail Gateways auf der einen Seite betrügerische E-Mails filtern, und auf der anderen Seite Mitarbeitende entsprechend Sicherheitsrisiken geschult werden.

Eine Sensibilisierung Ihrer Mitarbeitenden ist in jedem Falle unerlässlich. Dazu gehört auch welche Informationen diese in sozialen Medien veröffentlichen, was sowohl den beruflichen als auch den privaten Bereich umfasst.

Die beliebtesten Social Engineering-Methoden sind das Phishing (Massenbetrugsversuch) und das Spear-Phishing (Strategischer Betrugsversuch). In beiden Fällen werden E-Mails verschickt, die über die Identität hinwegtäuschen und eine Absicht des Täters oder der Täterin enthält. Während  Phishing E-Mails meistens einfach als solche zu erkennen sind, kann die Variante des Spear-Phishings auch sehr vorsichtige und kritische Mitarbeiter:innen täuschen. Es könnte im Vorfeld zu solch einer E-Mail ein Vertrauen zu einem einzelnen Mitarbeitenden über Wochen aufgebaut worden sein, bevor es zum Angriff kommt.

Für einen schnellen Einstieg schauen Sie sich das Video “In 3 Sekunden mehr E-Mail-Sicherheit” an, welches das BSI zur Verfügung stellt.

Digitalisierung der IT-Sicherheit

Und wie sieht das mit der Digitalisierung in der IT-Sicherheit selber aus? Die IT ist naturgemäß von Hause aus digitalisiert. Trotzdem gibt es auch hier Innovationen, die die Digitalisierung vorantreiben. Beim Thema Cybersicherheit stehen zwei Bereiche im Mittelpunkt, die oftmals sehr eng miteinander verdrahtet sind: Automation und Künstliche Intelligenz (KI).

Bei der Digitalisierung der IT-Sicherheit wird Künstliche Intelligenz einsetzt, um Anomalien aufzudecken. Kommt dieser etwas verdächtig vor, setzt die dafür vorgesehene Automation ein und diese handelt entsprechend bestimmter Regeln oder dem Wissensstand der KI. Der Sicherheitsadministrator bekommt hier final nur noch den Bericht zu sehen. Dadurch geht die Arbeitslast auf die Maschine über, ein Mensch wäre leicht überfordert - denn die Anzahl der Angriffe steigt täglich, genauso wie ihre Komplexität und Raffinesse.

IT-Sicherheit in der Industrie 4.0 

Wie wir eingangs kennengelernt haben, können Angriffe auf vernetzte Systeme der Industrie 4.0 Menschenleben real bedrohen – wie just im September 2020 bei einem versehentlichen Hackerangriff auf einen Uniklinik-Server in Düsseldorf, dessen eigentliches Ziel die Hochschule war.

Risiko Smart Factory

Der Bereich der Industrie 4.0 mit ihren Smart Factories und dem Internet der Dinge (IdD, engl. IoT, Internet of Things) ist besonders gefährdet. Das liegt zum einen daran,  das IdD-Geräte eine mangelnde oder fehlende Cybersicherheit aufweisen. Und auf der anderen Seite treffen hier Geschäftsprozesse auf Produktionsprozesse. IT trifft auf OT, Information Technology meets Operational Technology. Die OT umfasst den Betrieb von physikalischen Prozessen und den zu ihrer Durchführung verwendeten Maschinen. Diese Schnittpunkte bieten abermals eine vergrößerte Angriffsfläche für Eindringlinge und müssen vollständig im Unternehmen überwacht werden.

Datensicherheit bekommt Schlüsselrolle

Auch hier ist eine ganzheitliche Strategie unumgänglich und die Sicherheit von IT und OT ist eine Grundvoraussetzung für die Industrie 4.0. Fachleute beklagen allerdings, dass dieses Thema immer noch nicht im Management angekommen ist.  Während die Sicherheit der IT eine Selbstverständlichkeit ist (inzwischen auch integraler Teil in der modernen Softwareentwicklung), ist die Sicherheit der OT ein relativ neuer Bereich. Erschwerender Faktor ist, dass für die Produktion andere Zuständigkeiten gelten und die Verantwortlichen der IT-Sicherheit hier schlicht außen vor bleiben. Datensicherheit muss ein Management-Thema werden.

Wege zur Smart Factory

Eine Smart Factory setzt eine unternehmensübergreifende digitale Kommunikation voraus. Häufig liegen die Geschäftsprozesse jedoch in keiner digitalen Form vor - einerseits ist auch dieser Ansatz relativ neu für das Unternehmen, andererseits geht es hier sowohl um Vertraulichkeiten als auch um Geschäftsgeheimnisse. Ein IT-Security-Auditor hilft, bestehende Informationssysteme zu analysieren und leitet nötige Korrektur- oder Verbesserungsmaßnahmen ein. Betrachtet man den Mittelstand, ist die Digitalisierung der Geschäftsprozesse der erste Schritt. Dabei kann eine durchgängige Prozessbeschreibung, die eine nahtlose Automation ermöglicht, schon herausfordernd genug sein. Eine Schlüsselposition belegt hier der IT Security Engineer, der sich solcher Herausforderungen annimmt. Die Vorzüge zahlen sich auf lange Sicht aus - in Form von automatisierten Prozessen, die ihrerseits weiterhin optimiert werden können, wie die Kommunikation zu Produktion, Vertrieb, Mitarbeitern sowie dem Kunden.

‍

Fazit

Die Digitalisierung hat die Komplexität und die Verwundbarkeit der IT- und OT-Sicherheit deutlich vervielfacht. Eine einfache Lösung gibt es hier nicht. Die einzelnen Komponenten und Systeme allein zu verstehen, ist schon anspruchsvoll, doch im Verbund wird eine fast unüberschaubare Vielschichtigkeit erreicht.

Doch es gibt genauso viele Möglichkeiten, das Risiko der digitalen Transformation einzudämmen. Essentiell ist die holistische Betrachtung des Unternehmens und das Wissen über den gesamten Lebenszyklus von Sicherheitsrisiken, um ein umfassendes Konzept sowie eine Strategie und Implementation zu schaffen. Hier geht es um die Endnutzer:innen und ihre Identitäten, Endpunkte, Fernzugriffe, Cloud-Security, Orte der Datenspeicherung, die Schwachstelle Mensch und die Sensibilisierung der Mitarbeitenden in puncto IT-Security.

Sicherheit im Unternehmensdesign

“Secure by design” oder auch “Security in design” ist ein Begriff aus der Softwareentwicklung, der in Bezug auf Unternehmen bedeutet, dass  die IT-Sicherheit die Basis jeder Entwicklung und der gesamten Digitalisierung bildet. Damit legt man den Grundstein für ein gesunde Cyber Resilience, also die ganzheitliche Strategie zur Stärkung der Widerstandskraft eines Unternehmens gegenüber Cyberangriffen. Man braucht hier eine offene und integrierte IT-Sicherheit, die unternehmensweit agieren kann, um Insellösungen und Lücken in der Strategie zu vermeiden. Ein CISO im Unternehmen bringt die IT-Security automatisch auf die Management-Ebene.

Fehlt diese Position, müssen auch anderen Sicherheitsexperten wie dem IT Security Engineer die entsprechenden Handlungsräume gegeben werden, um eben eine ganzheitliche Strategie umzusetzen und die Sicherheit in die Unternehmenskultur zu verankern.

Dies ist der zweite Teil unserer Serie “Digitalisierung 2021”. Lernen Sie im nächsten Artikel über die Bedeutung der Digitalen Transformation im Bereich Marketing.

Teil 1: Digitalisierung im Vertrieb