Als Head of Information Security bei VERBUND, Österreichs größtem Stromerzeuger, ist Walter Fraissler nicht nur ein profunder Experte, wenn es darum geht Unternehmens-Systeme organisatorisch und technisch zu schützen, er ist auch immer dabei, die aktuellen Entwicklungen rund um Cyber-Angriffe und Cybercrime im Auge zu behalten. Als ein fixer Bestandteil der Confare IT-Community war es also naheliegend, Walter im Zuge der Recherche für das kommende Confare #Factsheet zum Thema Cyberresilienz, einige Fragen zur aktuellen Security-Lage, den wichtigsten Trends und wirksame Gegenmaßnahmen zu stellen.
Mit Confare Factsheet Abo stellen Sie sicher, dass Sie unsere aktuellen Publikationen nicht verpassen – Ob Cyber Security, Enterprise Architecture, Data Driven Business oder Work Anywhere – hier kommen die IT-Entscheider aus den Top Unternehmen zu Wort und liefern Meinungen, Erfahrungen und Praxistipps.
Auf welche Typen von Angriffen muss man sich in der IT einstellen?
Wenn wir über verschiedene Typen von Angriffen sprechen, dann biegen wir sehr schnell auf eine technische Spur ab und reden über Malware, Schwachstellen, Ransomware und Zero Day Exploits.
Dabei ist die Intention der Angreifer ein ebenso wichtiger Aspekt, den es zu beachten gilt.
Ist das Ziel ausschließlich ein finanzieller Gewinn, bringt der Täter sein Opfer mit den Angriffen meist in eine Zwangslage. Er verschlüsselt dessen Daten oder zieht sie ab und droht mit einer Veröffentlichung oder Diskreditierung des Opfers mit den erhaltenen Informationen. Diese Angriffe bemerkt man spätestens dann, wenn der Täter seine Forderungen stellt. Sie fallen unter die Kategorie „Ransomware-Angriffe“. Es gibt aber auch Vorgangsweisen, bei denen der Täter nicht auffallen will. Beispielsweise können erbeutete Zugangsdaten oder Kreditkartendaten auch weiterverkauft werden, um sich damit bereichern.
Ist gezielte Spionage die Intention, muss der Angreifer ebenfalls möglichst lange unentdeckt bleiben. Er entwendet Betriebsgeheimnisse wie Preiskalkulationen und Kundenlisten, stiehlt „Intellectual Property“ und Know-how zu technischen Verfahren und Konstruktionen oder sammelt Informationen über staatliche Organisationen. Der Angreifer kann dabei Vorteile für ein anderes Unternehmen lukrieren oder politisch motiviert sein. Der Angriff auf das österreichische Außenministerium vor einem Jahr fällt in diese Kategorie. Charakteristisch dafür ist, dass diese Aktivitäten häufig lange nicht bemerkt werden.
Eine dritte Intention schließlich ist Sabotage. Hier geht es nicht um den eigenen Vorteil des Täters, sondern ausschließlich um die Schädigung des Opfers. Der Täter nutzt dessen IT-Systeme, um Daten zu verfälschen, Geschäftsprozesse zu stören oder im schlimmsten Fall gar in die Steuerung physischer Anlagen einzugreifen. Eines der bekanntesten Beispiele sind mehrere Angriffe auf Teile der ukrainischen Stromversorgung oder iranische Uranzentrifugen – der erste derartige Angriff, der große Bekanntheit erlangt hat.
Physische Auswirkungen – die Einstellung des Fabrikbetriebs oder einer Pipeline – sind häufig aber auch „Nebenwirkungen“ krimineller Aktivitäten. Wenn beispielsweise die Produktionsplanung oder die Kundenfakturierung gestört wird, kann auch das zu einer Einstellung der Produktion führen, ohne dass diese direkt vom Angriff betroffen wäre.
Wo sind Unternehmen besonders angreifbar? Worauf sollte man sein Augenmerk lenken?
Man kann sagen: Existiert im Unternehmen eine Schwachstelle, kann diese auch ausgenutzt werden. Es stellt sich nur die Frage, wer sie zuerst findet – der Angreifer oder die interne Security-Abteilung. Wenn man aber lange genug und gründlich danach sucht, kann jede Schwachstelle gefunden werden. Egal wie vermeintlich gut sie versteckt ist. Konkret gibt es natürlich einige Schwerpunkte, auf die man achten muss.
Als erstes möchte ich den „Faktor Mensch“ erwähnen. Die „Awareness“ bei Mitarbeiter:innen ist ein enorm wichtiger Faktor in der Steigerung der Informationssicherheit. Bei der allergrößten Zahl von (erfolgreichen) Angriffen spielt dieser in irgendeiner Form mit. Die häufigste Angriffsart ist da wohl die „Phishing-Mail“, die heute meist schon extrem professionell gemacht ist – korrekt verfasst, unter Berücksichtigung von Corporate Wording und Design und zielgerichtet mit persönlichem Anschreiben an bestimmte Mitarbeiter:innen. Da kann es dann schon einmal sehr schnell passieren, dass jemand auf einer Website – in gutem Glauben – seine persönlichen Daten eingibt. Damit hat der Täter ein wichtiges Hilfsmittel zum Eindringen in ein Unternehmensnetzwerk. Home-Office und Vorweihnachtszeit sind Top Gelegenheiten für solche Phishing-Angriffe. 
Als zweites muss man natürlich auf die vorhandenen technischen Schwachstellen achten. Vor allem Systeme, die nach außen gerichtet sind, müssen immer auf aktuellem Stand gehalten werden und bekannt gewordene Schwachstellen müssen möglichst rasch geschlossen werden. Die Stichworte hier sind Patch Management und Vulnerability Management. Es geht aber nicht nur um herstellerseitige Schwachstellen. Auch die Konfiguration – und manchmal Fehlkonfiguration – von Systemen ist ein wichtiger Punkt. Genauso wie die Entwicklung von sicherer Software. Es gibt da beispielsweise die berühmten „OWASP Top 10“ – die häufigsten Schwachstellen in Web-Anwendungen. Man sollte meinen, dass diese jeder Entwickler im Kopf hat und diese vermeidet. Leider stellt sich immer wieder heraus, dass dem nicht so ist.
Ein drittes sind die Zugänge von außen in unternehmensinterne Systeme. Diese sind legitim und haben gute Gründe – Stichworte wie Remote Maintenance für Administratoren oder Home und Mobile Office für praktisch alle Gruppen von Mitarbeiter:innen. Die vergangenen 20 Monate haben in vielen Firmen und Organisationen Home Office von der Ausnahme zur Regel gemacht. Nicht bei allen waren bereits die Konzepte und technischen Ressourcen vorhanden, um dies auch „sicher“ umzusetzen.
Was sind die besonderen Qualitäten/Methoden moderner Hacker und Ransomware Angriffe?
Was wir in den letzten wenigen Jahren gesehen haben ist eine enorme Professionalisierung und eigentlich sogar Industrialisierung von Cybercrime. Vor wenigen Jahren hat das Bild vom bösen Hacker, der seinen Hoodie über den Kopf gezogen hat, im Keller sitzt und nächtens in fremden Systemen herumhackt zu großen Teilen noch gestimmt. Demgemäß konnte man beispielsweise Phishing-Mails damals meist sofort aufgrund von zahlreichen Rechtschreib- und Grammatikfehlern erkennen.
Mittlerweile hat sich diese Situation komplett verändert. Was wir beobachten ist, dass sich die Szene des Cyber Crime enorm professionalisiert hat. Es ist geradezu zu einer industriellen Arbeitsteilung gekommen: die Entwickler der Software sind nicht mehr unbedingt diejenigen, die sie auch einsetzen. Sie bieten sie anderen Gruppen zur Nutzung an. „Crime as a Service“ ist mittlerweile zum Schlagwort geworden. Andere Gruppen forschen Daten und Informationen über Unternehmen aus (wie z.B. Accounts und Credentials), die den Zugang zum Unternehmensnetzwerk ermöglichen. Diese nutzen sie dann aber nicht selbst, sondern verkaufen sie an wieder andere Gruppen weiter. Es werden auch Informationen über Unternehmen und deren finanzielle Leistungsfähigkeit ausgeforscht, um die „geeignete“ Höhe des Lösegelds festzulegen. Auf Geldwäsche spezialisierte Gruppen kümmern sich um die Zahlungsabwicklung. Und schließlich gibt es die eigentlichen Angreifer, die die Services der anderen nutzen und damit die Angriffe durchführen. Im Zeitalter von Cloud funktioniert auch das dann natürlich mittels „Pay-per-use“ und „Profit-Sharing“.
Was ist der Unterschied zwischen “Cyber Security” und “Cyber Resilience”?
Mit neuen Begriffen und Buzz Words ist das so eine Sache. Aber bei diesen beiden Begriffen gibt es tatsächlich einen wesentlichen Unterschied. Schauen wir uns einmal an, wie man diese Begriffe definieren kann:
„Cyber Security“ bezeichnet den Schutz von IT-Systemen und Netzwerken vor der Offenlegung von Informationen, dem Diebstahl oder der Beschädigung ihrer Hardware, Software oder Daten sowie vor der Unterbrechung oder Fehlleitung der Services. Es geht also um die Sicherstellung der berühmten „CIA“ der Informationssicherheit (Confidentiality = Vertraulichkeit, Integrität, Availability = Verfügbarkeit).
„Cyber Resilience“ bezeichnet die Fähigkeit einer Organisation, kontinuierlich das geplante Ergebnis (Produkte, Dienstleistungen) zu liefern – trotz des Eintretens von widrigen Cyber-Ereignissen.
Die Cyber Resilience geht also weit über die Cyber Security hinaus. Zwar sind Notfallpläne und Business Continuity Management auch ein wichtiger Bestandteil der Informationssicherheit. Die Resilienz meint aber mehr die Fähigkeit einer gesamten Organisation, mit Notfällen und Krisen umzugehen. Wir haben beispielsweise im Unternehmen seit vielen Jahren ein gut organisiertes Krisenmanagement etabliert, das nicht erst mit Covid aktiv geworden ist. Das Cyber Incident Management gliedert sich nahtlos in das übergeordnete Krisenmanagement ein.
Worauf muss man besonderes Augenmerk richten, um Angriffe frühzeitig zu erkennen?
Zu allererst muss man wissen, was es überhaupt zu beschützen gilt. Eine gute Übersicht über alle Assets, deren Nutzer und eine Einschätzung ihrer Kritikalität sind Grundvoraussetzungen. Die Assets müssen dann laufend überwacht werden. Unmengen von Log-Files und ähnlichem sind das Ergebnis. Daraus kann dann abgeleitet werden, wie sich jedes einzelne System im Normalfall verhält. Zur Erkennung von Abweichungen von diesem Normalzustand gibt es zwei Möglichkeiten, die sich ergänzen.
Die erste Möglichkeit ist, bestimmte Szenarien oder Use Cases zu definieren, die typischen Angriffsmustern entsprechen und zu analysieren, wie sich diese in der Überwachung der Systeme erkennen lassen. Typischerweise werden dafür SIEM-Systeme (Security Information and Event Management) verwendet, die beim Auftreten von solchen Mustern einen „Security Event“ generieren. Wesentlich ist es, diese Use Cases gut an die Landschaft anzupassen: einerseits sollen nicht zu viele „False-positives“ (blinde Alarme) generiert werden, andererseits sollen echte Angriffstätigkeiten auch dann erkannt werden, wenn sie vom Angreifer sehr behutsam durchgeführt werden.
Die zweite Möglichkeit besteht in einem automatisierten Überwachen des gesamten Netzwerks. Die „Network Traffic Analysis“ lernt mit der Zeit, welches Verhalten im Netzwerk „normal“ ist, und welche „Anomalien“ – also Abweichungen vom normalen Verhalten – einen Alarm auslösen.
Welche organisatorischen Maßnahmen braucht es, um Angriffe zu erkennen?
Die besten Systeme und die schärfsten Alarmierungen helfen nicht, wenn nicht auf sie reagiert wird. Wesentlich ist daher die Etablierung von Prozessen, in denen die eingesetzten Systeme auch effektiv genutzt werden. Nur wenige Unternehmen in Österreich werden sich ein umfangreiches Security Operations Center (SOC) leisten können, das mit eigenen Mitarbeiter:innen rund um die Uhr in Betrieb ist. Da sind Lösungen gefragt, wie man Teile dieser Prozesse an einen Managed Security Service Provider auslagern, oder mit diesem eine Partnerschaft eingehen kann.
Und die besten Prozesse und Expert:innen zum Erkennen von Angriffen helfen nicht, wenn man nicht darauf vorbereitet ist, wie man reagiert. Notfallpläne, Security Incident Response Pläne sind daher ebenfalls eine wesentliche organisatorische Maßnahme zur Vorbereitung auf einen Cyber Incident.
Welche Prozesse und Werkzeuge sind entscheidend, um mit wenig Personal die Angriffe abzuwehren?
Es gibt einige schon länger etablierte Technologien wie das erwähnte SIEM oder auch Vulnerability Scans. Viele Technologien, die die Security-Arbeit unterstützen stehen jedoch noch am Anfang ihrer Entwicklung. Gleichzeitig gibt es einen regelrechten Hype mit vielen neuen Entwicklungen von Produkten oder Services. In den nächsten Jahren muss da stark auf die Effizienz geschaut werden, damit auch der Reifegrad im Security-Betrieb weiter gesteigert wird. Automatisierung und Orchestrierung von sich oft wiederholenden Routine-Prozessen wird ein wichtiger Schwerpunkt sein.
Wesentlich ist auch die Entscheidung, welche Leistungen In-house von den eigenen Expert:innen in der Security-Abteilung erbracht werden, und welche Leistungen unter der Nutzung von Skaleneffekten von Dienstleistern zugekauft werden können. Je näher die Prozesse an den spezifischen Geschäftsprozessen eines Unternehmens liegen, desto stärker muss auf eigene Expert:innen gesetzt werden. Die Entscheidung dieser „Fertigungstiefe“, die in der Security-Arbeit benötigt werden, ist von jedem Unternehmen abhängig von seiner Risikobewertung zu treffen.
Zusammenfassend kann man sagen, dass es auf die richtige Kombination und das Zusammenspiel von Technik, Organisationsstrukturen, Prozessen und Expert:innen ankommt, um für die vielfältigen und sich ständig verändernden Risiken der Cyber-Security und aus der Cyber-Kriminalität gut gerüstet zu sein.
Bei allen Anstrengungen sind auch wir permanent auf der Suche nach weiteren Mitarbeiter:innen in der Security-Abteilung – aber auch in benachbarten Gebieten wie IT-Betrieb, Software-Entwicklung, Telekom-Services und ganz speziell in der Operational Technology (OT) in der Erzeugung und Vermarktung von Strom.