Wir bitten Sie an dieser Stelle um Ihre Einwilligung für verschiedene Zusatzdienste unserer Webseite: Wir möchten die Nutzeraktivität mit Hilfe datenschutzfreundlicher Statistiken verstehen, um unsere Öffentlichkeitsarbeit zu verbessern. Zusätzlich können Sie in die Nutzung eines Videodienstes einwilligen. Nähere Informationen zu allen Diensten finden Sie, wenn Sie die Pfeile rechts aufklappen. Sie können Ihre Einwilligungen jederzeit erteilen oder für die Zukunft widerrufen. Rufen Sie dazu bitte diese Einwilligungsverwaltung über den Link am Ende der Seite erneut auf.
Diese Webseite setzt temporäre Session Cookies. Diese sind technisch notwendig und deshalb nicht abwählbar. Sie dienen ausschließlich dazu, Ihnen die Nutzung der Webseite zu ermöglichen.
Unsere Datenerhebung zu statistischen Zwecken funktioniert so: Ihre Zustimmung vorausgesetzt, leitet ein Skript auf unserer Webseite automatisch Ihre IP-Adresse und den sog. User Agent an die etracker GmbH weiter. Hier wird Ihre IP-Adresse unmittelbar und automatisch gekürzt. Anschließend pseudonymisiert die Software die übermittelten Daten ausschließlich zu dem Zweck, Mehrfachnutzungen in der Sitzung feststellen zu können. Nach Ablauf von 7 Tagen wird jede Zuordnung zur Sitzung gelöscht, und Ihre statistischen Daten liegen gänzlich anonymisiert vor. Etracker ist ein deutsches Unternehmen, und verarbeitet Ihre Daten ausschließlich in unserem Auftrag auf geschützten Servern. An weitere Dritte werden sie nicht übermittelt. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Klimaschutz. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Rufen Sie dazu bitte diese Einwilligungsverwaltung über den Link am Ende der Seite erneut auf.
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Klimaschutz. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Ausführliche Informationen über Ihre Betroffenenrechte und darüber, wie wir Ihre Privatsphäre schützen, entnehmen Sie bitte unserer Datenschutzerklärung.
Einwilligung zum Videodienst JW-Player
Das Ministerium präsentiert seine Arbeit auf dieser Webseite auch in Form von Videos. Diese werden vom deutschen Anbieter TV1 mit Hilfe des JW-Players mit Sitz in den USA ausgeliefert. Bitte willigen Sie in die Übertragung Ihrer IP-Adresse und anderer technischer Daten an den JW-Player ein, und erlauben Sie JW-Player, Cookies auf Ihrem Endgerät zu setzen, wenn Sie unser Video-Angebot nutzen wollen. Verantwortlich für diese Verarbeitung Ihrer Daten ist das Bundesministerium für Wirtschaft und Klimaschutz. Unsere Datenschutzbeauftragte erreichen Sie unter datenschutzbeauftragte@bmwk.bund.de. Als Rechtsgrundlage dient uns Ihre Einwilligung nach § 25 Abs. 1 TTDSG i. V. m. Artikel 6 Abs. 1 lit. a) DSGVO und § 3 Abs. 1 EGovG. Wir haben sichergestellt, dass Sie Ihre Einwilligung jederzeit für die Zukunft widerrufen können. Über die Einwilligungsverwaltung am Ende der Seite können Sie jederzeit steuern, ob Sie den Videodienst JW-Player zur Übertragung freigeben oder nicht.
Cyberkriminalität: „Jede Firma, unabhängig von ihrer Größe, ist ein potenzielles Ziel“
Interview
Einleitung
Von der Alarmanlage zur Firewall – die Meldungen zu Cyberangriffen überschlagen sich. Im Fokus der Berichterstattung stehen dabei oft Großunternehmen, der Mittelstand scheint weniger stark betroffen. Doch stimmt das tatsächlich? Prof. Dr. Langendörfer vom Mittelstand-Digital Zentrum Spreeland (ehemals: Mittelstand 4.0- Kompetenzzentrum Cottbus) antwortet darauf mit einem klaren Nein. Im Interview erklärt der Experte, wie es wirklich um die Bedrohung durch Cyberattacken in kleineren und mittleren Betrieben steht. Außerdem erläutert er, welche Maßnahmen Unternehmen ergreifen können, um sich gegen Cyberangriffe zu wappnen, und welche Rolle KI künftig im Bereich IT-Sicherheit spielen wird.
Herr Prof. Langendörfer, können Sie uns einen Überblick darüber geben, welche Einfallstore im Bereich Cybersecurity aktuell die größten Herausforderungen für Unternehmen darstellen?
Aktuell sind vor allem Phishing und Ransomware die größten Herausforderungen im Bereich Cybersecurity, teilweise auch beides kombiniert. Phishing-Angriffe werden gezielt eingesetzt, um Zugang zu sensiblen Informationen zu erlangen. Mitarbeitende meiner Abteilung am IHP (Innovations for High Performance Microelectronics, Leibniz-Institut für innovative Mikroelektronik, Anm. der Redaktion) haben im Rahmen des Kompetenzzentrums IT-Sicherheit (KITS) einen Phishing Simulator realisiert. Mit diesem können Unternehmen ihre Mitarbeitenden testen. Mit solchen Simulationen gehen jedoch auch rechtliche Probleme einher, unter anderem das Risiko, Persönlichkeitsrechte zu verletzen. Die Umsetzung gestaltete sich hier also komplex. Das Projekt, in dem der Simulator entstand, ist letztlich aber gut angekommen.
Ransomware wird genutzt, um Unternehmen zu erpressen. Dabei sind komplexe Angriffe beispielsweise gegen Industrieanlagen eher selten, da sie sehr viel Geld kosten und nicht so einfach durchzuführen sind wie Angriffe gegen normale IT-Systeme. Nach meiner Einschätzung stellen die Mitarbeitenden das größte Einfallstor für Schadsoftware dar. Mit absoluter Sicherheit lässt sich das jedoch nicht sagen, dazu müsste man die Angriffsvektoren der einzelnen Fälle genauer untersuchen.
Üben für den Ernstfall
Wie ein Cyberangriff in der Praxis ablaufen kann, welche Angriffsarten es gibt und wie im Unternehmen angemessen reagiert und Schaden abgewehrt werden kann, machen zwei Projekte der zu Mittelstand-Digital gehörenden Initiative „IT-Sicherheit in der Wirtschaft“ erlebbar:
Im Projekt ELITE wird eine Demonstrator-Plattform in Form einer mobilen und an unterschiedliche Einsatzszenarien anpassbaren IT-Sicherheits-Umgebung aufgebaut. Interessenten können verschiedene Angriffe in den IT-Sec.PopUp-Labs anhand der Demonstratoren (auf KMU-typischen Arbeitsplätzen mit entsprechender Hard- und Software basierend) miterleben. Dabei werden Gamification-Ansätze eingesetzt, bei denen den zu sensibilisierenden Entscheidern und Beschäftigten KMU-typische Szenarien ihres Arbeitsalltags an mehreren Demonstratoren vorgestellt werden, in denen sie dann das Eintreten diverser IT-Sicherheitsvorfälle erkennen sollen.
Einen Gamification-Ansatz verfolgt auch das Projekt BAKgame, das verschiedene neuartige Schulungskonzepte und Lernspiele entwickelt hat, mit denen kleinen- und mittleren Unternehmen auf spielerische Art und Weise die notwendigen technischen Fähigkeiten zur Absicherung ihrer IT-Infrastruktur vermittelt werden sollen. So schult das Phishing-Quiz etwa dabei, Phishing-Mails zu erkennen oder ermöglicht das Spiel „ThreatAttack“ es etwa, in die Rolle eines Angreifers zu schlüpfen und verschiedene IT-Angriffsarten auf Unternehmen simuliert auszuprobieren.
Was bedeutet das konkret für kleine Unternehmen?
Es ist wichtig zu verstehen, dass jede Firma, unabhängig von ihrer Größe, ein potenzielles Ziel ist. Leider wird oft nur über größere Unternehmen berichtet, die von Cyberangriffen betroffen sind, während kleinere Unternehmen nicht erwähnt werden. Ein gutes Beispiel zur Verdeutlichung, dass es wirklich jeden, auch im Mittelstand, treffen kann, ist der Praxisfall der Firma Schwietzer, die vor einiger Zeit vom damaligen Mittelstand 4.0-Kompetenzzentrum Cottbus im Rahmen einer schwerwiegenden Cyberattacke durch Ransomware unterstützt wurde. Ein Erpressungstrojaner konnte dabei durch einen Mail-Anhang ins System gelangen und sorgte dafür, dass sämtliche Dateien auf dem Netzwerk des Gebäudetechnik-Unternehmens verschlüsselt wurden. Dieses Beispiel zeigt auch, wie so ein Angriff in aller Regel abläuft und welchen Schaden er anrichten kann. Obwohl sich solche Fälle häufen und IT-Sicherheit, laut Umfragen, den Unternehmen am meisten Sorge bereitet, scheint es da eine Art Bewusstseinslücke zu geben.
Wie äußert sich diese Bewusstseinslücke?
Viele Unternehmer denken, dass sie zu klein sind, um angegriffen zu werden. Das ist jedoch ein großer Irrtum, da jeder, der im Internet unterwegs ist, zum Opfer werden kann. Es gibt eben nicht nur gezielte Angriffe auf Großunternehmen, bei denen sich jemand hinsetzt und diesen Angriff auf ein bestimmtes Unternehmen vorbereitet. Eine Spam-Mail für einen Phishing- oder Ransomware-Angriff aufzusetzen, ist vergleichsweise wenig Aufwand, rechnet sich aber für die Kriminellen trotzdem, da die Spam-Mail an Millionen von Unternehmen verschickt wird. Wenn Mitarbeitende zufällig auf den Link in einer solchen E-Mail klicken, ist das Unternehmen schnell infiziert.
Ebenso falsch ist die Annahme vieler KMU, dass sie ohnehin nicht allzu viele wichtige und geheime Daten oder Informationen zu verlieren haben. Es müssen ja keine Industriegeheimnisse sein, die erbeutet werden. Es reicht, wenn ein Unternehmen durch eine Erpressungssoftware nicht mehr an seine Kundendaten kommt. Das kann für das Unternehmen dramatische Folgen bis hin zur Insolvenz haben. Es ist daher wichtig, dass sich Unternehmen, unabhängig von ihrer Größe, bewusstwerden, welche Risiken es gibt und wie sie sich dagegen schützen können.
Welche einfachen Maßnahmen können Unternehmen ergreifen, um ihre Cybersecurity zu verbessern?
Ich würde sagen, dass 80 bis 90 Prozent der schwerwiegenden Probleme mit einfachen Maßnahmen gelöst werden können – das muss dann auch nicht so viel kosten. Zunächst sollten die Unternehmen ihre Mitarbeitenden regelmäßig schulen. Nur den wenigsten ist zum Beispiel klar, dass auch PDFs Schadsoftware enthalten können. Es muss also genug Zeit anberaumt werden, um Mitarbeitenden das notwendige Wissen zu vermitteln.
Auf der technischen Ebene ist ein vernünftiges Rechtemanagement essenziell. Im Fall Schwietzer hatte die Mitarbeiterin, die den infizierten Mailanhang öffnete, Administratorenrechte für das gesamte System. Jeder sollte wirklich nur die Rechte zum Lesen, Schreiben und Ausführen haben, die
er tatsächlich benötigt, einschließlich des Systemadministrators. Hinzu kommen verschiedene regelmäßige Backups – auch an sicheren Orten abseits des IT-Systems. Eine zweite Firewall und eine sinnvolle Konfiguration der Netzwerke sind ebenfalls empfehlenswert, um für mehr Sicherheit zu sorgen.
Unterstützung in Sachen IT-Sicherheit gibt es auch bei uns im Mittelstand-Digital Zentrum Spreeland: Künftig werden wir zum Beispiel Schulungen zum Thema BSI-Grundschutz sowie Planspiele zur Vertiefung der erlernten Kenntnisse anbieten.
Wenn es aber doch einmal zu einem erfolgreichen Angriff kommt – was sollten die Unternehmen als erstes tun?
Was die Reaktion im Falle eines schwerwiegenden Angriffs angeht, scheiden sich die Geister: So früh wie möglich den Stecker zu ziehen, kann zum Beispiel die Ausbreitung des Verschlüsselungstrojaners unterbrechen und Daten retten. Dieses Vorgehen ist allerdings weniger gut für die Forensik, weil mögliche Spuren dadurch verloren gehen können. In einigen Fällen geht der Verschlüsselungsprozess zudem sehr schnell oder bleibt weitgehend unbemerkt – da hat das Herunterfahren nur noch wenig Sinn.
Idealerweise haben sich die Unternehmen natürlich schon zuvor Unterstützung bei einem der Mittelstand-Digital Zentren gesucht und sind dementsprechend gut auf Cyberangriffe vorbereitet. Mit einem Blick auf das Unternehmen und dessen Netzwerk können so Vorkehrungen für den Extremfall getroffen werden. Einige Unternehmen machen diesen Schritt rechtzeitig, auch weil sie zum Teil schon Angriffe erlebt haben. Der wichtigste Schritt bei einem tatsächlichen Angriff ist jedoch, sofort die Ermittlungsbehörden einzuschalten. Sie suchen daraufhin im System nach Spuren, was bei der Wiederherstellung der Betriebsfähigkeit helfen kann.
Wie erkenne ich einen Cyberangriff? Was ist zu tun, wenn der Ernstfall eintritt? Und wie können kleine und mittlere Unternehmen sich gegen Cyberkriminelle schützen? Antworten und kostenfreie und anbieterneutrale Unterstützung in Sachen IT-Sicherheit erhalten KMU bei der Transferstelle Cybersicherheit im Mittelstand, die als zentrale Plattform für Cybersicherheit fungiert und die vorhandenen Angebote bei Mittelstand-Digital bündelt. Hier geht’s zur Seite von IT-Sicherheit in der Wirtschaft.
Die zunehmende Verbreitung von Technologien wie dem Internet der Dinge (IoT) in der Industrie bietet zwar erhebliche Wertschöpfungspotenziale, eröffnet aber auch neue Einfallstore für Cyberkriminelle und Gefahren für Unternehmen. Sind Unternehmen sich dieser Gefahren bewusst?
Auch hier wird das Thema IT-Sicherheit immer noch als zweitrangig angesehen, insbesondere im Bereich der Automatisierungstechnik. Das liegt auch daran, dass die Lebenszyklen von IT- und Automatisierungsgeräten sehr unterschiedlich sind. Während IT-Geräte wie Smartphones in der Regel nach zwei bis fünf Jahren abgeschrieben werden, laufen Automatisierungsanlagen oft mehrere Jahrzehnte. Die älteren Geräte entsprechen dann oft nicht mehr den aktuellen Sicherheitsstandards und werden anfällig für Angriffe.
Hinzu kommt, dass Updates im Automatisierungsbereich nicht so trivial sind wie im IT-Bereich. Neue Updates können die Konfiguration der Software verändern, was wiederum eine neue Zertifizierung erfordert. In der Regel sind Unternehmen auch an den Hersteller gebunden – sprich, sie können sich nicht von jemand anderem ein Update herunterladen, ohne Garantie und Zertifizierung aufs Spiel zu setzen.
Entgegen den Überzeugungen vieler Unternehmen ist es erschreckend einfach, IoT-Geräte zu finden, zum Beispiel mithilfe einer spezifischen Suchmaschine. Ein Werkzeug des Mittelstand-Digital-Zentrums Chemnitz kann auf dieser Basis anzeigen, welche Webcams in welcher Region mit welchen offenen Ports ungeschützt sind. Es ist also wichtig, dass Unternehmen sich dieser Sicherheitsprobleme bewusstwerden und geeignete Maßnahmen ergreifen, um ihre Systeme und Daten zu schützen.
Wie können Unternehmen also ihre IoT-Geräte und Produktionsanlagen besser schützen?
Sogenannte Demilitarized Zone (DMZ) schirmen Produktionsanlagen, IoT-Geräten und den Office-Bereich voneinander sowie von externen Netzwerken ab. Sie helfen, den Datenverkehr zu kontrollieren. Ein weiterer wichtiger Punkt ist die Vermeidung von direktem Zugriff auf die Geräte von außen, insbesondere über die IT-Infrastruktur. IoT-Geräte sind in der Regel ressourcenbeschränkt und können keine Schutzmaßnahmen wie Virenscanner oder Firewalls umsetzen. Eine Schutzumgebung um die Geräte herum kann das Risiko von Angriffen reduzieren.
KI-basierte Anwendungen wie ChatGPT sind zurzeit in aller Munde. Können Sie erläutern, welche Rolle Künstliche Intelligenz künftig beim Thema Cybersecurity spielen wird?
Das ist ein zweischneidiges Schwert. Einerseits können theoretisch Angriffe mithilfe von KI generiert werden, andererseits soll KI gerade beim Erkennen von Angriffen helfen. Hier gibt es bereits erste kommerzielle Werkzeuge, die sogenannte Intrusion Detection Systeme mithilfe von KI realisieren.
Außerdem wird aktuell an KI-Verfahren geforscht, die bei der Erkennung von Angriffen auf Basis von sogenanntem Return Oriented Programming (RoP) unterstützen. Bei diesen Angriffen wird kein herkömmlicher Schadcode übertragen, sondern er baut sich aus Kurzsequenzen zusammen, die im Zielsystem vorhanden sind, was die Erkennung erheblich erschwert. In einem unserer Projekte war es uns bereits möglich, RoP-Angriffe zu erkennen. Solche Lösungen werden aber vermutlich noch einige Zeit in der Forschung und Entwicklung benötigen, bevor sie in der Praxis eingesetzt werden können.
Prof. Dr. Peter Langendörfer war von 2012 bis 2020 Leiter des Fachgebiets für Sicherheit in pervasiven Systemen an der Brandenburgischen Technischen Universität Cottbus-Senftenberg (BTU) und ist Inhaber mehrerer Patente im Bereich IT-Sicherheit.
Seit Juli 2020 ist Leiter des Fachgebiets Drahtlose Systeme an der BTU.
Prof. Dr. Peter Langendörfer ist langjähriger Mitarbeiter des IHP – Leibniz-Institut für innovative Mikroelektronik in Frankfurt (Oder) und leitet seit 2020 die Abteilung Wireless Systems.
Phishing und Ransomware
Bei Phishing-Angriffen (“Password-Fishing”) erhalten User E-Mails, die vermeintlich von bekannten Banken, Internetanbietern oder Dienstleistern stammen. Über Links zu täuschend echten Duplikaten der zugehörigen Websites werden die Betroffenen zur Eingabe sensibler Daten – beispielsweise der Zugangsdaten – aufgefordert. Durch das Öffnen etwaiger Dateianhänge solcher Mails oder durch kompromittierte Websites besteht zudem die Gefahr durch eine Infizierung mit Ransomware, also Schadprogrammen, die daraufhin das System blockieren und/oder Dateien verschlüsseln. Üblicherweise gehen Ransomware-Angriffe mit Lösegeldforderungen einher.