Friday, April 12, 2024

WELT SUMMIT: Firmen planen Ernstfall Cyberangriff nicht ausreichend – WELT

- Advertisement -
- Advertisement -

Ende November musste die Universität Duisburg Essen einen Hackerangriff auf ihre IT-Systeme melden: Die Angreifer hatten die komplette IT-Infrastruktur der Universität lahmgelegt, nichts funktionierte mehr: E-Mails kamen nicht mehr an, Telefone standen still, die IT-Dienstleistungen für Forscher und Studierende waren komplett offline.

Der Angriff war typisch für eine Welle von Attacken, die aktuell auch die deutsche Wirtschaft trifft: Erpresser versuchen, die digitale Infrastruktur der Firmen per Angriff lahmzulegen und verlangen Lösegeld. Die Folgen für die Wirtschaft sind gravierend: Eine Umfrage des finnischen Sicherheitsanbieters WithSecureTM unter deutschen IT-Entscheidern ergibt, dass fast die Hälfte der Manager den Ruin ihrer Firmen fürchtet, falls die Angreifer erfolgreich sind.

Sicherheitsexperte Rüdiger Trost von WithSecure Deutschland kommentiert: „IT-Entscheider haben privilegierte Einblicke in den Status quo der Cybersecurity. Wir sehen hier wie bei einem Seismografen, was hinter den Kulissen wirklich los ist. Das Ergebnis ist alarmierend. Es braucht nicht immer TNT wie bei den Nordstream-Pipelines, um Europa zu destabilisieren.“

Lesen Sie mehr über IT-Sicherheit
„Schauen Sie sich sehr genau die E-Mail-Adresse des Absenders an“, lautet der Tipp von Paypal

Bezahldienst

„Wenn Unternehmen wie Lufthansa Menschen dadurch, dass sie die Annahme von Bargeld verweigern, dazu zwingen, Karten oder Apps zu nutzen, schlägt sich das in Statistiken als Zunahme der Anzahl von Kartenzahlungen nieder“, sagt Brett Scott

Digital-Zwang?

Die Täter haben es häufig auf ältere Menschen abgesehen

Spam-Anrufe

Abdelkader Cornelius ist ein Cyber-Jäger, der für Unternehmen die Kommunikation mit Cyber-Erpressern führt und eventuelle Geldübergaben organisiert

Erpressung von Firmen

Hackerangriffe auf Firmen treffen nicht nur die Unternehmen selbst, warnt Trost. Angriffe auf Firmen, die die Versorgung mit Energie, Wasser oder Lebensmitteln sicherstellen, haben das Potenzial, ganze Volkswirtschaften kurzzeitig zu destabilisieren. Für Rolf Schumann, Chief Digital Officer, Schwarz Gruppe, sind Hackerangriffe auf die über 12.000 Lidl-Filialen des Discounters der Alltag.

Advertorial Vermögen sichern

Die Schwarz Gruppe kaufte Ende 2021 die israelische IT-Sicherheitsfirma XM Cyber, ein auf den ersten Blick ungewöhnlicher Einkauf für einen Lebensmittel-Discounter. Doch Schumann sieht den Kauf als eine notwendige Investition in die Versorgungssicherheit deutscher Großstädte: „Wenn man eine Größe hat wie wir, haben Sie einen gewissen Anteil an der Versorgung, den wir sicherstellen müssen“, sagte der Sicherheitsexperte Anfang Dezember auf dem WELT SUMMIT Digital Security. „Wir sehen uns als kritische Infrastruktur.“

Ernstfall testen

Die Schwarz-Gruppe hat deswegen inzwischen Trainings für den Ernstfall, hat Worst-Case-Szenarien für den Ausfall der IT vorbereitet – und testet sich ständig selbst, durch Test-Angriffe auf die eigene IT. „Wir wollen permanent unsere eigene Sicherheit infrage stellen.

„Damit ist die Schwarz-Gruppe vielen Firmen in Deutschland weit voraus. „Mindestens 15 Prozent der IT-Budgets sollten in Sicherheit investiert werden“, kommentierte Iris Plöger, Digitalisierungsexpertin des Bundes der deutschen Industrie, auf dem Gipfel. De facto seien es aktuell aber im Schnitt unter zehn Prozent.

Lesen Sie auch

Attacken auf Infrastruktur

Das Problembewusstsein der Unternehmen sei noch nicht ausgeprägt genug. „Es ist eine Budgetfrage, es ist auch eine Frage, wie viele Fachkräfte ich habe.“ Deswegen seien auch Auflagen zur Cybersicherheit aus der Politik nur begrenzt hilfreich. Viele Firmen seien sich der Bedrohung zwar bewusst, sie seien aber schlicht nicht in der Lage, auf die wachsende Bedrohung adäquat zu reagieren.

Doch diejenigen Unternehmen, die hier an Gehältern oder Investitionen in Software sparen, riskieren den eigenen Bestand. „Die Zahl der Angriffe ist auf einem neuen Allzeithoch“, sagte Paul Kaffsack, Gründer der Münchner Sicherheitsfirma Myra Security.

Lesen Sie auch
Aktivist und „Elfen“-Mitglied Bob Kartous

Cyberangriffe in Tschechien

„Sogenannte Verfügbarkeitsangriffe haben sich von 2021 zu 2022 verdoppelt.“ Sei es aus politischen Gründen, zur Rache oder zur Erpressung, die Attacken nehmen zu – ebenso wie die Zahl möglicher Schwachpunkte in der Firmen-IT, da die Firmen vermehrt auf Home-Office einerseits, auf industrielle Vernetzung andererseits setzen.

„Wir müssen von vornherein Sicherheit by Design einplanen“, sagt Kaffsack. In der Autoindustrie sei es eine Selbstverständlichkeit, den Unfall vorzubereiten und zu testen, Airbags und Crashstrukturen einzuplanen. In der Unternehmens-IT würde dagegen noch zu oft erst im Nachhinein Sicherheitsmerkmale in der Software eingebaut.

Klassische Modelle nicht zeitgemäß

Eine ähnliche Vorsorge für den Crash müsse auch in der IT-Planung der Unternehmen selbstverständlich werden.“ Insbesondere in der Pandemie wurde schnell umgeplant, wurde IT-Sicherheit teilweise auch vernachlässigt – das fällt uns jetzt auf die Füße.“

Wilhelm Dolle, Cybersicherheitschef von KPMG, kommentierte, dass das Problem noch immer unterschätzt wird. „Wird genug getan? Nein.“ Die Vorbereitung auf Angriffe auf die IT sei eine unglamouröse Fleißarbeit. Die Verantwortlichkeit dafür sei oft nicht hoch genug in der Managementstruktur der deutschen Unternehmen angesiedelt.

Lesen Sie auch

Oberster Katastrophenschützer

Klassische IT-Sicherheitsmodelle, bei denen vor allem das Firmennetzwerk gegen Zugriffe von außen abgeschottet wird, seien zudem in Zeiten der Vernetzung und Industrie 4.0 nicht mehr zeitgemäß. „Die Firmen öffnen technisch ihre Perimeter für Zulieferer, für Vernetzung von Fabriken, diese Löcher können Angreifer ausnutzen.“

Deswegen sei die Konzentration auf die Prävention von Angriffen allein nicht ausreichend. „Wir sind noch schlecht darin, rechtzeitig zu merken, dass man erfolgreich angegriffen wurde. Schlecht darin, darauf dann sinnvoll schnell zu reagieren.“ Für die Firmen müsse der erfolgreiche Angriff Teil der Planung werden – inklusive Notfall-Tests, bei denen ohne vorherige Ankündigung ausprobiert wird, ob etwa Back-ups funktionieren, welche Personen im Ernstfall verantwortlich sind, wie lange im Fall der Fälle eine Wiederaufnahme des Geschäftsbetriebs dauert.

Lesen Sie auch
Nach der Sabotage an den Bahnkabeln: Techniker versuchen, den Schaden schnell zu beheben

Anschläge auf Infrastruktur

„Wenn der Fall eingetreten ist, müssen die Pläne bereits da sein“, kommentiert Manuel Höferlin, IT-Experte der FDP-Bundestagsfraktion, auf dem Sicherheitsgipfel. Er fordert: „Wir müssen besser werden in der Resilienz.“ Das gelte insbesondere für die Betreiber kritischer Infrastruktur.

Höferlin regt deswegen ein Cybersicherheitsgesetz 3.0 an, das Betreiber dieser Infrastrukturen zur Vorsorge verpflichtet und unabhängige Stellen zur Beratung der Firmen im Ernstfall schafft. Insbesondere das Bundesamt für Sicherheit in der Informationstechnik, das bislang dem Innenministerium zugeordnet ist, solle künftig unabhängiger agieren können.

Hier können Sie unsere WELT-Podcasts hören
Um eingebettete Inhalte anzuzeigen, ist deine widerrufliche Einwilligung in die Übermittlung und Verarbeitung von personenbezogenen Daten notwendig, da die Anbieter der eingebetteten Inhalte als Drittanbieter diese Einwilligung verlangen [In diesem Zusammenhang können auch Nutzungsprofile (u.a. auf Basis von Cookie-IDs) gebildet und angereichert werden, auch außerhalb des EWR]. Indem du den Schalter auf „an“ stellst, stimmst du diesen (jederzeit widerruflich) zu. Dies umfasst auch deine Einwilligung in die Übermittlung bestimmter personenbezogener Daten in Drittländer, u.a. die USA, nach Art. 49 (1) (a) DSGVO. Mehr Informationen dazu findest du hier. Du kannst deine Einwilligung jederzeit über den Schalter und über Privatsphäre am Seitenende widerrufen.

Weiterlesen…….

- Advertisement -
Latest news

Selbstbestimmungsgesetz: „Ein großes Sicherheitsrisiko und ein großer Fehler“ – Video

Der Bundestag stimmt heute über das Selbstbestimmungsgesetz ab. Trans- und intergeschlechtlichen Menschen soll die Änderung von Namen und Geschlecht erleichtert werden. Das sei...
- Advertisement -

„Palästina-Kongress“ in Berlin – Polizei bereitet sich auf Großeinsatz vor

Die Polizei bereitet sich wegen eines geplanten „Palästina-Kongresses“ auf einen Großeinsatz in Berlin vor. Am Freitag sollen rund 900 Einsatzkräfte eingesetzt werden, wie eine...

Ehepaare sollen Doppelnamen als Familiennamen führen dürfen

Wer seinen Namen etwa bei Heirat oder Adoption ändert, bekommt mehr Entscheidungsfreiheit. Der Bundestag stimmte am Freitag in Berlin mit den Stimmen der Regierungsfraktionen...

WELT-TV-Duell: „Ich ziehe den Hut vor Herrn Voigt, diesen Schritt gegangen zu sein“ – Video

Das TV-Duell zwischen Björn Höcke und Mario Voigt sorgt weiter für Diskussionen. Der Kommunikationsexperte Thorsten Klein findet es richtig, die AfD auch inhaltlich...
Related news

Selbstbestimmungsgesetz: „Ein großes Sicherheitsrisiko und ein großer Fehler“ – Video

Der Bundestag stimmt heute über das Selbstbestimmungsgesetz ab. Trans- und intergeschlechtlichen Menschen soll die Änderung von Namen und Geschlecht erleichtert werden. Das sei...

„Palästina-Kongress“ in Berlin – Polizei bereitet sich auf Großeinsatz vor

Die Polizei bereitet sich wegen eines geplanten „Palästina-Kongresses“ auf einen Großeinsatz in Berlin vor. Am Freitag sollen rund 900 Einsatzkräfte eingesetzt werden, wie eine...

Ehepaare sollen Doppelnamen als Familiennamen führen dürfen

Wer seinen Namen etwa bei Heirat oder Adoption ändert, bekommt mehr Entscheidungsfreiheit. Der Bundestag stimmte am Freitag in Berlin mit den Stimmen der Regierungsfraktionen...

WELT-TV-Duell: „Ich ziehe den Hut vor Herrn Voigt, diesen Schritt gegangen zu sein“ – Video

Das TV-Duell zwischen Björn Höcke und Mario Voigt sorgt weiter für Diskussionen. Der Kommunikationsexperte Thorsten Klein findet es richtig, die AfD auch inhaltlich...
- Advertisement -