Cyan-CEO von Seth zu Telko-Risiken
TK-Branche im Visier von Angreifern
Neben den alltäglichen IT-Risiken sind Telekommunikationsunternehmen auch noch branchenspezifischen Risiken ausgesetzt. Dazu zählen laut Frank von Seth, CEO des Security-Dienstleisters Cyan, zum einen Cyberangriffe, die sich direkt gegen die TK-Infrastruktur richten, zum anderen indirekte Attacken, die Kunden, Lieferanten oder Geschäftspartner ins Visier nehmen.
„Der potenzielle Effekt auf das eigene Unternehmen wird vor allem im zweiten Szenario noch zu sehr von den Anbietern unterschätzt“, warnt von Seth. „In einem TK-Markt, der zwischen den EU-Staaten komplett unterschiedliche Sicherheitsvorkehrungen pflegt, sehen Cyberkriminelle diese heterogene Sicherheitslage als digitales Einfallstor“. Dies sei den Betreibern aber meist nicht bewusst.
Zudem beeinträchtige der „teils schleppende Übergang“ von 4G auf 5G die Cybersicherheit, so von Seth: „4G hat vor allem auf der Interconnect-Ebene seine Probleme. Die eindeutige Kennung eines Teilnehmers kann beispielsweise nicht verschlüsselt werden. 5G behebt dies und erschwert so auch Man-in-the-Middle-Angriffe.“
Als Teil der Kritis-Landschaft sieht der Cyan-Chef die Telkos einem besonderen Risiko ausgesetzt: „Ich glaube, dass die jüngsten Attacken auf Kritis-Sektoren eine Art Vorgeschmack auf das sein können, was 2023 im Kritis-Bereich noch kommen wird. Die betroffenen Unternehmen, Betreiber und Institutionen müssen sich hier vergegenwärtigen, dass sie zunehmend zum bevorzugten Ziel der Hacker werden.“
Dies gelte auch für kleinere TK-Anbieter – somit auch für jene, die in Deutschland mit weniger als 500.000 versorgten Personen nicht unter die Kritis-Verordnung fallen. „Kleinen Unternehmen, denen möglicherweise Gelder für Investitionen in die IT-Sicherheit fehlen, muss klar sein: Kein Unternehmen ist zu klein, zu unbedeutend oder das Marktumfeld zu spezifisch, als dass es für Cyberkriminelle nicht potenziell attraktiv sein könnte“, mahnt von Seth.
Den größten Nachbesserungsbedarf sieht er branchenübergreifend im Bereich der Supply-Chain-Angriffe, also jener Angriffe, die den Umweg über Schwachstellen bei einem Partner oder Lieferanten nehmen, um in die eigentliche Zielumgebung einzudringen. „Große Unternehmen, egal in welchem Bereich, machen aus meiner Sicht einen Fehler, wenn sie sich ausschließlich auf ihre internen IT-Systeme beschränken“, sagt von Seth. „Sie sind von vielen Komponenten abhängig, die oftmals als fragiles Zusammenspiel für die Bereitstellung von Services notwendig sind.“ Besonders hart fällt sein Urteil über kleinere Organisationen aus: „Kleine Unternehmen übersehen meist schon die Grundlagen von IT-Sicherheit.“ Dies ende in der Regel in einer heterogenen Security-Landschaft, in der Security-Lösungen „nur sehr ineffizient organisiert“ seien.
- TK-Branche im Visier von Angreifern
- Identitätsdiebstahl per SIM-Swapping
Lesen Sie mehr zum Thema
