Trendreport

IT-Security in Europa: Mit Sicherheit nicht genug

Seite 3 / 3

Experten für Internetsicherheit sind ebenfalls skeptisch. ­Sergej Epp, Chief Security Officer für Zentraleuropa beim amerikanischen Unternehmen Palo Alto Networks, warnt vor der Zunahme an Angriffsflächen dank ständig neuer Geräte, die wir nicht einmal mehr als digital wahrnehmen, sowie der gleichzeitigen Zunahme an Angriffsversuchen. „Jeder kann theoretisch einen Angriff durchführen“, sagt er. „Es reicht, mit dem Internet verbunden zu sein. Sie können aus jeder Ecke der Welt die größten Unternehmen lahmlegen. Dafür brauchen Sie weder Geld noch ausgefeilte Geräte. Sie müssen nur wissen, wie es geht.“ Heutzutage könne man sich über das Internet einen entsprechenden Bildungsstand aneignen.

Bis ein Angriff entdeckt wird, vergehen meist Monate, manchmal Jahre. Auch Bayer gab bekannt, es lasse sich nicht rekonstruieren, wie lange die Hacker im Netz des Unternehmens waren. „Das liegt oft daran, dass die Experten in Firmen nicht die Möglichkeit haben, genug Transparenz zu schaffen“, sagt Epp. ­Regelungen wie das Bundes­datenschutzgesetz (BDSG) würden die Risiken, denen Unternehmen ausgesetzt sind, zu wenig berücksichtigen. Es müsse Ausnahmefälle bei einem Angriffsverdacht geben. Um Angriffsstrategien wirklich zu verstehen, müssten Securityexperten alle Daten analysieren, die auf den Unternehmensservern liegen – auch solche, die sonst zurecht geschützt sind.

EU-Wirtschaft investiert zu wenig

Epp sieht die EU nicht gut aufgestellt. Das hat zum Teil geo­politische Ursachen. Die Länder waren lange Zeit weniger stark unter Beschuss als etwa die Vereinigten Staaten. Diese hätten schon vor Jahren Milliarden in Cyber-Security investiert, sowohl in der Wirtschaft als auch beim Militär. In der EU investierten Politik und Unternehmen zu wenig. Letztere würden noch immer eher reagieren, statt auf präventive Maßnahmen zu setzen. Ein Zertifikat wäre ein Schritt nach vorne. „Die Regulatoren dürfen aber das Thema Cyber-Security nicht wie eine Compliance-Blackbox behandeln und mit einer Checkliste prüfen, welche Features ein Produkt hat und welche nicht“, sagt Epp. „Ähnlich wie bei einem Autocrashtest müssten die Hersteller nachweisen, dass ihr Produkt im Einsatz innerhalb des Gesamtsystems sicher ist – in einer Simulation, in der es realen Angriffen ausgesetzt ist.“ Vorbildlich sei etwa das Framework for Threat intelligence-based Ethical Red Teaming, kurz TIBER-EU, das die Europäische Zentralbank im vergangenen Jahr verabschiedet hat: ein gemeinsamer Rahmen für die Finanzindustrie, um zum Beispiel in sogenannten Cyber Ranges Systeme zu testen und Resilienz aufzubauen.

(Illustration: Hubertus Krohne)

(Illustration: Hubertus Krohne)

In Finnland hat die JAMK University of Applied Sciences ein derartiges Trainingszentrum, JYVSECTEC, aufgebaut. In deren Cyber-Range, einer Art Trainingsplattform, können sich ­Banken, Regierungsorganisationen und Unternehmen unter realen ­Bedingungen mit Attacken auseinandersetzen. Es wird zum Beispiel User-Traffic simuliert. Die finnischen Entwickler stellen ein „Red Team“ zusammen – ­Security ­Experten, die in die Rolle von ­Hackern schlüpfen, also Kriminelle, Hacktivisten oder ­Hacker von Regierungen.

Das Angriffsteam arbeitet mit Tools und Methoden, die im Umlauf sind: DDOS-Angriffe, Botnets, Ransomware, Phishing, Malware, Trojanische Pferde oder „Watering Holes“. Bei dieser Methode beobachten Hacker, welche unsicheren Websites Mitarbeiter eines Unternehmens häufig besuchen, dann infiltrieren sie die Seite und warten auf einen unvorsichtigen Mitarbeiter. Er ist dann die Eintrittskarte zum eigentlichen Ziel. „Es ist wichtig, nicht nur auf technologischer Seite vorbereitet zu sein“, sagt Jani Päijänen, Projektleiter von JYVSECTEC. „Das Management ­sollte beim Training ebenso involviert sein wie Produktion, Vertrieb, PR- oder Personalabteilung – je nach Unternehmen.“

Was typische Schwachstellen sind, möchte Päijänen nicht sagen. Aber allgemein sei die Kommunikation ein Problem – so müssten die Mitarbeiter im Bereich Technik, Management und PR besser zusammenarbeiten – etwa mittels Tools für eine Echtzeitberichterstattung – sodass bei einem Angriff alle jederzeit auf dem gleichen Stand sind und gemeinsame Strategien entwickeln können, wie sie die Situation in der Öffentlichkeit oder mit den Geschäftspartnern kommunizieren. Die Kommunikation ­während eines Angriffs ist ein komplexer Prozess.

Die Forscher kooperieren mit F-Secure, einem finnischen Security­unternehmen, um möglichst alle aktuellen Bedrohungen im Blick zu haben. Päijänen sagt: „Es ist sehr aufwendig, die ­Cyber-Range aktuell zu halten, da immer wieder neue Malware und neue Strategien auftauchen.“ Aber nur so seien die Teilnehmer vorbereitet.

Vor allem auch kleinere Unternehmen profitieren von solchen Übungen, auch sie müssen die Angriffssystematik und die Folgen verstehen. Dabei sind sie bei der Security meist auf externe Firmen angewiesen. Allerdings sind die ökonomischen Rahmenbedin­gungen für Securityunternehmen in der EU nicht besonders gut. „Es ist zu wenig Kapital da, und Securityexperten verdienen in den USA deutlich besser“, sagt Wirtschaftsinfor­matiker Kai Rannenberg von der ­Goethe-Universität. Er koordiniert das EU-Forschungsprojekt ­Cybersec4europe. Das Ziel: eine Securityindustrie in Europa eta­blieren. Die Forscher möchten bei verschiedene Fallbeispielen wie im Banken- und Gesundheits­wesen, Identitätsmanagement oder Smart Cities, Unternehmen mit Securitypartnern verbinden: „Wir können keine Startups fördern, aber die Bedürfnisse der Branchen ermitteln und diese mit Securityexperten zusammenbringen. So können sich Partner­schaften etablieren.“ Die Unternehmen sehen dann vielleicht, dass sie mehr investieren müssen. Immerhin kostet ein gelungener Angriff im Schnitt deutlich mehr als jeglicher Schutz davor – im Schnitt mehr als eine Million Euro.

Dabei ist die Expertise in Europa ja durchaus vorhanden. Auch der Weg, den die ENISA vorgibt, ist grundsätzlich richtig, aber er ist nicht konsequent genug. Europa braucht nicht nur ein gutes Umfeld für die Forschung, sondern auch IT-Security­firmen und die entsprechenden Investitionen – ebenso wie bindende ­Sicherheitsstandards, klare Zuständigkeiten in den Ländern ­sowie ein EU-weites Kompetenzzen­trum mit ausreichendem Budget. Und all das am besten, bevor es zum ersten richtigen Ernstfall kommt.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung