IT- und OT-Sicherheit: KRITIS-Anbieter zunehmend im Visier Cyber-Krimineller

Nach wie vor ist Bedrohungslage durch Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden – nicht allein für KRITIS

[datensicherheit.de, 16.02.2023] Betreiber Kritischer Infrastrukturen (KRITIS) sind offensichtlich immer stärker im Visier Cyber-Krimineller. „Mittlerweile geht es den Angreifern nicht allein darum, Geld zu machen. Immer häufiger üben sie Druck auf ihre Opfer aus und drohen, gestohlene Daten zu veröffentlichen oder ohne Wissen der Betroffenen im Darknet anzubieten“, erläutert Lothar Hänsler, „Operating Officer“ bei RADAR Cyber Security, in seiner aktuellen Stellungnahme. In immer mehr Fällen beabsichtigten sie auch, Netzwerksysteme – auch die nationalstaatlichen – empfindlich zu stören. Hänsler sieht einen bedrohlichen Trend, welcher 2023 weiter Fahrt aufnehmen werde.

Foto: RADAR Cyber Security

Lothar Hänsler warnt: Lediglich ein Viertel der öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware!

Europäischer Betreiber kritischer und digitaler Dienste reduzieren allen Cyber-Gefahren zum trotz Budgets für Cyber-Sicherheit

Hänsler führt aus: „Wer sich einmal die Mühe macht und genauer in den aktuellen Investment-Report der Agentur der Europäischen Union für Cyber-Sicherheit – ENISA – schaut, erfährt Erschreckendes über die Nachlässigkeiten europäischer Betreiber kritischer und digitaler Dienste – allen Cyber-Gefahren zum Trotz: Die durchschnittlichen Budgets für IT-Sicherheit haben sich 2022 im Vergleich zum Jahr davor mit 6,7 Prozent noch einmal um ein Prozent verringert.“ Der auf „Cybercrime“ zurückzuführende Gesamtschaden für Unternehmen und Organisationen werde für das Jahr 2022 laut Statista auf eine verheerende Summe von 203 Milliarden Euro allein in Deutschland geschätzt. Finanzsektor und Gesundheitswesen seien nach wie vor die Bereiche mit den höchsten Kosten für Zwischenfälle.

„Und es geht noch schlimmer: Lediglich ein Viertel (27%) der befragten öffentlichen Arbeitsverwaltungen im Gesundheitssektor verfügt über ein spezielles Programm zur Abwehr von Ransomware“, berichtet Hänsler. Zudem hätten vier von zehn (40%) der befragten Behörden kein sogenanntes Awareness-Programm zur Sensibilisierung ihrer Mitarbeitenr parat. Hänsler betont: „Und nach wie vor ist die sich ständig verändernde Bedrohungslage um Ransomware und E-Mail eine der größten Gefahren für Unternehmen und Behörden.“

KRITIS-Betreiber sollten insbesondere 2023 gegenwärtige Bedrohungslage ernst nehmen

„Nicht nur als Folge des russischen Angriffskriegs auf die Ukraine sollten viele KRITIS-Betreiber 2023 die gegenwärtige Bedrohungslage ernst nehmen“, so Hänsler. Cyber-Angriffe seien mittlerweile ein Mittel der politischen Auseinandersetzung. Die behördlichen IT-Systeme würden aller Voraussicht nach künftig vermehrt DDoS-Attacken verzeichnen. Organisationen, Unternehmen und Behörden sollten daher ihr Hauptaugenmerk auf die E-Mail-Security lenken und auf ein dreiteiliges Maßnahmenpaket setzen – bestehend aus Technologie, Personal und Prozessen.

IT-Infrastrukturen müssten konsequent resistenter werden.„Zero-Trust-Netzwerke, die Absicherung von Remote-Zugängen sowie der Einsatz von ,Endpoint Detection and Response’ (EDR) werden künftig unverzichtbar sein“. Da das Industrielle Internet der Dinge (kurz: IIoT) immer mehr im Fokus von Hackern liege, sei es außerdem ratsam, IT- und OT-Security sicher zu verbinden. Äußerst wichtig sei es auch, sich auf die Aufklärung und Sensibilisierung der Mitarbeiter zu konzentrieren. „Das hilft aber effektiv nur weiter, wenn es sich um eine kontinuierliche Bewusstseinskampagne handelt“, unterstreicht Hänsler.

Die ganzheitliche und konsolidierte Betrachtung des Sicherheitsaspekts werde – zusammen mit Risikomanagement – immer notwendiger. Noch betreibe knapp über ein Drittel der europäischen KRITIS-Unternehmen und Anbieter digitaler Services kein „Security Operation Center“ (SOC). „Im Energiesektor es weniger als jeder Dritte der europäischen KRITIS-Betreiber, der seine OT-Prozesse von einem SOC überwachen lässt.“

Nicht nur bei KRITIS-Betreibern: Cyber-Sicherheit muss strategisches Thema werden!

Zwar könne ein „Chief Information Security Officer“ (CISO) mit dem richtigen Einsatz der Produkte, Prozesse und Mitarbeiter viel Schaden abwenden. Ein gelungener Ransomware-Angriff, verbunden mit der Verschlüsselung kritischer Informationen, habe jedoch eine gesamtgeschäftliche Auswirkung. „Die Entscheidung, ob im Ernstfall Lösegeld gezahlt werden soll, ist eine wirtschaftliche Entscheidung. Sie obliegt nicht allein dem CISO.“

Die Vorbereitung auf etwaige Cyber-Angriffe, unterstützt durch Trainings wie zum Beispiel „Table-Top-Übungen“, sei ein Schlüsselelement der Geschäftskontinuität. Zudem würden Geschäftsführungen durch den Zeit- und Entscheidungsdruck anfälliger für die Erpressung. Auch hierbei gelte es gegenzusteuern. „Eine starke Cyber-Resilienz ist daher längst nicht mehr alleinige Aufgabe der IT-Abteilung – sondern muss ein strategisches Thema sein, mit dem sich das Management seine Handlungsfähigkeit sichert.“

Um sich zu schützen, reiche eine Maßnahme allein nicht aus. Doch mit einem mehrschichtigen Sicherheitsansatz aus kontinuierlichen Mitarbeitertrainings, robusten Prozessen zur Sicherung der Geschäftskontinuität, europäischer Erkennungstechnologie und professioneller Unterstützung durch Security-Personal ließen sich die Risiken minimieren. Hänsler rät abschließend: „Vorbereitete, resiliente Organisationen können verdächtige Vorgänge richtig einordnen und entsprechend darauf reagieren, bevor der große Schaden eintritt – auch im neuen Jahr 2023.“

Weitere Informationen zum Thema:

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

datensicherheit.de, 07.07.2022
IoT: Cyber-Sicherheit muss über klassische Endpunkte hinausgehen / Bitdefender liefert Argumente für einen Sicherheitsweitblick auf das Internet der Dinge (IoT)

datensicherheit.de, 02.06.2022
ONEKEY-Studie zu eklatanten Schwachstellen: Industrie muss IoT-Steuerungen besser schützen / IoT-Industrieanlagen weltweit im Fokus der Hacker