IT-Sicherheitslage in Deutschland
Steiniger Weg
IT-Security-Verantwortliche hatten schon vor Corona kein leichtes Leben. Die Älteren erinnern sich: Schon damals gab’s automatisierte Phishing- und Malware-Kampagnen, Ransomware, gezielte Angriffe, Daten-Leaks, leichtfertige Endanwender und OT-Steuerungsrechner mit Windows 95 v. Chr. Die Pandemie samt Zoom-Boom und Völkerwanderung ins Home-Office hat die Lage nicht eben verbessert. Es gibt also noch viel zu tun, um den Weg in das Postcoronarium verkehrssicher auszuleuchten.
„Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt“, so das BSI anlässlich der Vorstellung seines Lageberichts 2020. Laut dem Bundesamt haben die Unternehmen beim hastigen Umsatteln auf Remote Work manch eine Maßnahme „spontan“ umgesetzt – IT- und Datensicherheit habe dabei nur eine „untergeordnete Rolle“ gespielt. „In der akuten Situation habe ich durchaus Verständnis dafür“, so BSI-Präsident Arne Schönbohm. „Jetzt aber, nachdem sich vieles eingespielt hat, gilt es, dieses ‚neue Normal‘ nachhaltig und sicher zu gestalten. Tun wir dies nicht, dann werden wir die Folgen in einigen Wochen oder Monaten spüren.“ Das BSI warnt vor Angriffen mittels einer Flut von Malware „in immer neuen Varianten und mit teils ausgefeilten Methoden“. Die Anzahl der Schadprogramme übersteige bereits die Milliardengrenze: „Allein im Berichtszeitraum (Juni 2019 bis Mai 2020, d.Red.) sind 117,4 Millionen neue Varianten hinzugekommen, somit etwa 320.000 neue Schadprogramme pro Tag“, rechnet das BSI vor. Weiterhin dominant sei die gefährliche Malware Emotet.
„Die IT-Sicherheitslage in Deutschland ist nach wie vor angespannt“, so auch das Analystenhaus IDC anlässlich des Reports „Cyber Security 2020+“: „Die wachsende Komplexität der IT-Landschaften, die Agilität und Masse der Cyberattacken sowie die steigenden Compliance-Anforderungen lassen sich mit den implementierten, aber offenbar unzulänglichen IT-Security-Ressourcen immer schwerer beherrschen.“ Eine IDC-Umfrage unter 210 „IT- und Fachentscheidern“ aus deutschen Unternehmen mit über 100 Mitarbeitern ergab: Stolze 78 Prozent wurden bereits erfolgreich angegriffen – und die Dunkelziffer lässt sich mit derlei Befragungen natürlich nicht ermitteln. Tja, und dann kam auch noch Corona. 38 Prozent der von IDC Befragten haben anlässlich der Pandemie ihre Investitionen in die Remote-Work-Absicherung erhöht – 14 Prozent hingegen haben sie gesenkt. „Dringliche Investitionen in Backup und Recovery, sicheres Cloud Computing oder stärkeres Identity- und Access-Management stehen weiterhin aus“, rügt das Analystenhaus. Ein Lichtblick: 63 Prozent der Befragten stimmten zu, dass die aktuellen Risiken eine veränderte Security-Architektur erfordern – sprich: Das alte Perimeterdenken ist out.
Ansatzpunkte für mehr Sicherheit
Wo aber ansetzen? Ein Einstiegspunkt könnte das IAM (Identity- und Access-Management) sein – schließlich muss feststehen, dass der Nutzer der ist, der er vorgibt zu sein, sonst helfen die nachfolgenden Sicherheitsmaßnahmen meist wenig. „Als Folgen der Pandemie haben wir zwei Trends beobachtet“, so Götz Walecki vom IAM-Spezialisten Okta. „Im E-Commerce musste man die Infrastruktur für den Massenansturm schnell skalieren, während zugleich die Sicherheit im Fokus stand, um Angriffen wie Phishing und Brute-Force-Identitätsdiebstahl zu begegnen. Deshalb haben wir einen starken Zuwachs gerade im CIAM-Umfeld (Customer IAM, d.Red.) verzeichnet. Im Bereich Workforce wiederum ging es um das Thema Collaboration plus Sicherheit.“ Er betont, mittels Oktas grafischer Orchestration Engine könne auch ein Anwender ohne Programmierkenntnisse per Drag and Drop eigene Customer Identity Workflows für IAM/CIAM erstellen, zudem seien sehr schnelle Integrationen möglich. Andere Experten raten zu mehr Monitoring: „Angesichts der Auswirkungen der Corona-Krise ist es heute wichtig, die Echtzeitüberwachung auf Remote-Arbeitsplätze ausdehnen“, so Forescout-Fachmann Kristian von Mejer. „Man muss den Geräte-status – etwa: firmeneigenes oder Privatgerät? – in Echtzeit klären, um darauf aufbauend den Zugang zum Netzwerk zu erlauben.“
„BYOD (Bring Your Own Device, d.Red.) wird in Deutschland immer unter dem Aspekt einer privat-dienstlichen Doppelnutzung betrachtet“, sagt Tim Berghoff von G Data. „Deshalb haben sich einige Unternehmen hier aus juristischen Gründen – Stichwort: Kundendaten auf Privatgeräten – sehr reserviert verhalten.“ Die Datenschutzhürde lässt sich laut von Mejer aber überwinden: „Hier sind in Corona-Zeiten die Interessengruppen im Unternehmen zusammengerutscht. Die Betriebsräte waren sich des Spagats zwischen Arbeitnehmerrechten und Aufrechterhalten des Betriebs bewusst. Je offener ein Unternehmen Maßnahmen wie maschinenbezogene Überprüfungen für mehr Sicherheit anspricht, desto besser kann man das Thema angehen.“
Ein anderer Hebel setzt beim Endanwender selbst an: „Nahezu 99 Prozent der Malware-Angriffe beginnen mit einer Phishing-Mail, deshalb sollte man das Hauptaugenmerk auf Awareness legen“, meint Stefan Vollmer von TÜV Süd SecIT. Sein Haus arbeite hier mit Gamification, also Trainings mit Spielelementen: „Die Endanwender können spielerisch eigene Entscheidungen treffen und deren Folgen in der Gruppe ausprobieren, um ein besseres Gefühl für die Konsequenzen ihres Handelns zu bekommen.“ Weitere zentrale Baustellen sind laut Vollmer die Cloud-Sicherheit und der Datenschutz: „Bei der Zertifizierung der Cloud-Sicherheit geht es vor allem um zwei Standards: ISO 27017 für SaaS und ISO 27018 für den Datenschutz in der Cloud. Was sicher kommen wird, ist ein reines Datenschutzzertifikat. Die ENISA arbeitet zudem an Zertifizierungen für IoT-Geräte, das geht schnell voran.“
- Steiniger Weg
- Betriebstechnik (OT) im Visier
Lesen Sie mehr zum Thema
