[datensicherheit.de, 20.05.2020] „Theiners SecurityTalk“, der Online-SecurityTalk, wird jeweils mittwochs als um 14 Uhr im Live-Stream übertragen und steht anschließend als Aufzeichnung bei YouTube z.B. bei datensicherheit.de  zur Verfügung. „datensicherheit.de“ ist als Kooperationspartner zusammen mit dem German Mittelstand e.V. und dem Fachmagazin für IT-Lösungen „manage it“ Unterstützer dieses neuen Formats. Die Sendung vom 20. Mai 2020 widmete sich den zunehmenden Angriffen auf Kritische Infrastrukturen und notwendigen Maßnahmen zu deren Abwehr.

Blackout – Angriff auf kritische Infrastruktur | Theiners SecurityTalk auf YouTube

Kritische Infrastrukturen sind besonderen Bedrohungen ausgesetzt

Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle und zugleich schwierigeAufgabe. Bei erfolgreichen Angriffen ist zudem nicht nur die öffentliche Ordnung bedroht einhergehend mit gravierende Störungen in vielen Lebensbereichen, möglicherweise sind auch ganz konkret Menschenleben bedroht.

Viele Aspekte zum Schutz wichtig

Gerade in Zeiten der COVID-19-Pandemie leidet die Gesundheitsbranche unter verstärkten Attacken. Um die reibungslose Bereitstellung dieser Infrastrukturen zu gewährleisten sind eine von der Führungsebene gelebte Sicherheitskultur, ein Sicherheitsbewusstsein, gut ausgebildete Mitarbeiter und ein ausreichendes Budget die Mindestanforderiungen. In diesem Zusammenhang stellt sich im Konktext des Einsatzes von Hard- und Software auch dringend die Frage der digitalen Souveränität.

Am 20. Mai 2020 diskutierten:

Georg Lindner – Experte für Cyber-Absicherung, Dr. Hörtkorn
Carsten J. Pinnow – Geschäftsführender Gesellschafter, PINNOW & Partner GmbH und Herausgeber von datensicherheit.de
Philipp Schiede – Herausgeber, „manage it“
Jürgen Venhorst – Country Manager DACH bei Netwrix

Weitere Informationen zum Thema:

datensicherheit.de, 14.05.2020
Theiners SecurityTalk: Identitätsdiebstahl als unterschätzte Gefahr

datensicherheit.de, 06.05.2020
Theiners SecurityTalk: Haftungsrisiken der Entscheider-Ebene

datensicherheit.de, 30.04.2020
Theiners SecurityTalk: Sicherheitskultur auf dem Prüfstand

datensicherheit.de, 08.04.2020
Neues, interaktives Online-Format: „Theiners SecurityTalk“

[datensicherheit.de, 15.07.2019] Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind.

Angriffe auf Kritische Infrastrukturen mit enormen Schadenspotential

Wenn Strom plötzlich nicht mehr so fließt, wie es die Menschen und Unternehmen gewohnt sind, funktionieren beispielsweise schlagartig keine Ampeln mehr. Verkehrsunfälle sind vorprogrammiert. Umso länger der Strom wegbleibt, umso schlimmer werden die Folgen: Produktion, Transport und Verkauf von Wasser, Lebensmitteln, Arzneimitteln und vielem mehr kommen fast vollständig zum Erliegen. Der breiten Öffentlichkeit wurde ein solches Horrorszenario – ein länger andauernder europaweiter Stromausfall – erstmals durch den Roman Blackout von Marc Elsberg veranschaulicht. Aber auch Störungen durch Cyberangriffe in anderen KRITIS-Sektoren wie Ernährung, Verkehr und Finanzwesen können das ganze Land – Einzelpersonen, Unternehmen und stattliche Organisationen – erheblich schädigen. Im Folgenden skizziert BitSight fünf Faktoren, die das Cyberrisiko von Kritischen Infrastrukturen erhöhen.

1. Cyberangriffe nehmen zu
   Ende Mai legte die Telekom aktuelle Zahlen zur Cybersicherheit vor. Anfang April zählte der Konzern 46 Millionen tägliche Angriffe auf seine Honeypots. Dies ist ein neuer Spitzenwert. Im Schnitt gab es im letzten Monat 31 Millionen Angriffe pro Tag. Im April 2018 waren es durchschnittlich noch 12 Millionen und im April 2017 noch 4 Millionen. Die Angriffszahlen steigen exponentiell.
   Mit ihrer Analyse steht die Telekom nicht alleine: Auch laut des HPI bereitet das Thema IT-Sicherheit Unternehmen und öffentlichen Einrichtungen zunehmend große Sorge. Branchenübergreifend werden daher IT-Experten gesucht, die sich mit der Thematik auskennen und mit den neuen Bedrohungen professionell fertig werden.
2. KRITIS zunehmend vernetzt
   Die Betreiber Kritischer Infrastrukturen setzen auf Vernetzung und Digitalisierung, um die Effizienz zu steigern und die Kosten zu senken. Doch das bringt nicht nur Vorteile, sondern es geht auch mit neuen Risiken einher: Wie das BSI feststellt, sind die Systeme und Dienstleistungen, ihre Infrastruktur und Logistik erstens immer stärker von einer reibungslos funktionierenden Informationstechnik abhängig. Zweitens können vormals autarke Systeme aus der Ferne über das Internet angegriffen und lahmgelegt werden.
3. KRITIS sind attraktive Ziele
   Kritische Infrastrukturen bzw. deren IT-Systeme sind besonders attraktive Angriffsziele für Kriminelle, Terroristen und ausländische Aggressoren. Das BSI vertritt ebenfalls diese Ansicht: Die Gefährdungslage in den Kritischen Infrastrukturen sei insgesamt auf hohem Niveau. Laut einer im Auftrag eines IT-Sicherheitsanbieters durchgeführte Studie von Tenable und Ponemon Institute berichten 9 von 10 Sicherheitsverantwortliche kritischer Infrastrukturen von mindestens einem Cyberangriff innerhalb der letzten zwei Jahre. 62 % der befragten Unternehmen wurden in den letzten zwei Jahren sogar mehrmals angegriffen.
   Experten stimmen außerdem darin überein, dass die Anzahl der Cyberangriffe auf KRITIS wächst. So warnte das BSI, dass Angriffe auf Betreiber kritischer Infrastrukturen in der zweiten Jahreshälfte 2018 deutlich zugenommen haben. Auch laut eines F-Secure Berichts sind Spionage- und Sabotageangriffe gegen KRITIS im Laufe der Jahre gestiegen.
4. Allianzen noch nicht verbreitet genug 
   Selbstverständlich ist IT-Sicherheit eines der sensibelsten Themen überhaupt in jeder Organisation. Von diesem Standpunkt aus ist es nachvollziehbar, das Unternehmen gerne die komplette Kontrolle darüber haben wollen. Allerdings sind IT-Security-Experten immer schwerer zu bekommen und werden immer teurer. Auch Anschaffung und Betrieb der vielen verschiedenen erforderlichen IT-Sicherheitslösungen für Schutz und Abwehr benötigen immer mehr Ressourcen. Unternehmen, die denken, dass sie aufgrund ihrer geringen Größe keinen umfassenden Schutz brauchen, sind leider auf dem Holzweg. Geringe Größe schützt laut Torsten Harengel, Director, Head of Cyber Security Germany bei Cisco nicht: „KMU sind längst ein genauso attraktives Ziel für Cyberkriminelle wie große Konzerne, da sie vor der Herausforderung stehen, das Sicherheitsniveau eines Konzerns mit wesentlich geringeren Mitteln erreichen zu müssen.“
   Dirk Backofen, Leiter Telekom Security, teilt diese Einschätzung: „Jeder und alles ist vernetzt und braucht Cyber-Security. Dies schafft niemand allein. Wir brauchen die Armee der Guten.“
   Insofern ist es unumgänglich, Kompetenzen zu bündeln, Allianzen einzugehen und auch Outsourcing von IT-Security zu betreiben. SIEM-Lösungen sind beispielsweise als Services aus der Cloud verfügbar. Und auch ein SOC (Security Operations Center) muss nicht selbst betrieben werden: Durch ein Managed SOC oder SOC as a Service profitieren auch Organisationen von den Vorteilen eines SOC, die nicht über die personellen und technischen Ressourcen verfügen, ein komplettes SOC selbst zu betreiben. Das Gemeinschaftsprojekt CSOC ist ein Beispiel dafür und begründet seine Mission wie folgt: „Die effektivste Vorgehensweise gegen Cyberkriminelle ist der organisierte Zusammenschluss einer Interessengruppe, die das gemeinsame Ziel der Hackerabwehr verfolgt und vom gemeinsamen Austausch und Schutzmaßnahmen profitiert.“
5. Best Practices noch unzureichend mit State-of-the-Art-Methoden kombiniert
   Viele Komponenten, die heute bei Kritischen Infrastrukturen eingesetzt werden, sind zwar ans Netz angeschlossen, verfügen aber nicht über integrierte Sicherheitsmaßnahmen. Daher ist die IT-Sicherheit der vorgelagerten Netze oft der einzige Schutz. Mit dem IT-Sicherheitsgesetz 2.0 regiert der Staat auch auf diese sich verschärfende Situation. Das Gesetz plant für das BSI mehr Personal, Geld und weitreichendere Befugnisse ein. Zudem soll das BSI aktiv nach Sicherheitsrisiken suchen dürfen – auch ohne das Einverständnis der Betroffenen.
   Die derzeit für die Suche nach Sicherheitsrisiken favorisierten Pentests haben durchaus ihre Existenzberechtigung, weisen allerdings diverse Nachteile auf: Sie sind teuer, zeitaufwendig und als manuelle Prozesse müssen sie von menschlichen Experten durchgeführt werden. Zudem sind sie nur geeignet, die aktuelle IT-Sicherheit zu prüfen – morgen könnten sie schon veraltet sein.
   Eine Ergänzung zu Pentests wäre die moderne Methode der IT-Sicherheitsratings. Anstatt einzelne Stichproben durchzuführen, verfolgen IT-Sicherheitsratings einen anderen Ansatz: automatisches Sammeln und Auswerten großer Datenmengen im Hinblick auf IT-Sicherheit. Die datenbasierte, kontinuierliche Messung der IT-Sicherheit und automatisierte Auswertung durch leistungsfähige Algorithmen ermöglicht einen tagesaktuellen Überblick von außen über die Cybersicherheitsleistungen von allen Organisationen, die zur Kritischen Infrastruktur gehören – eine stets aktuelle Bewertung der Cybersicherheitsleistung von hunderttausenden Organisationen. Dabei steht vom generellen Überblick über die deutschlandweite Cybersicherheitsleistung bis hin zu kleinsten Details wie offenen Ports und Malware-Infektionen einzelner Computer immer genau die Information bereit, die benötigt wird.

Weitere Informationen zum Thema:

datensicherheit.de, 05.07.2019
DDoS-Angriff auf die ÖBB – Kritische Infrastrukturen zunehmend gefährdet

datensicherheit.de, 18.02.2019
KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen

datensicherheit.de, 07.03.2018
Telekom Security: Unternehmen müssen mehr für Cyber-Sicherheit tun

datensicherheit.de, 22.06.2017
Telekom Security: Hochsicherheit für Fernwartung

[datensicherheit.de, 02.10.2013] Am 2. Oktober 2013 musste das ZDF Improvisationstalent beweisen – am frühen Morgen fiel im ZDF-Hauptstadtstudio für 45 Minuten der Strom aus. Deshalb mussten rund 450.000 Zuschauer auf das „Morgenmagazin“ verzichten. Welche technischen Gründe ausschlaggebend waren, gab der Sender bisher noch nicht bekannt.
Laut einer Stellungnahme von Rüdiger Gilbert, „Vice President IT Business“ bei Schneider Electric, gehen Experten gehen davon aus, dass die Zahl der Stromausfälle in Deutschland zunimmt. Die Bundesnetzagentur habe in ihrem „Monitoringbericht 2012“ über 206.600 solcher Fälle registriert. Gezählt worden seien nur Störfälle, die länger als drei Minuten dauerten; deshalb liege die eigentliche Zahl weitaus höher, betont Gilbert. Spürbar sei der aktuelle Blackout für die Frühaufsteher und Fans des „ZDF-Morgenmagazins“ gewesen.

Foto: Schneider Electric GmbH, Ratingen

Rüdiger Gilbert warnt vor Ausfällen schon im Sekundenbereich

Nicht jedes Unternehmen könne auf Störfälle dieser Art jedoch so humorvoll reagieren wie das ZDF oder habe ein entsprechendes Alternativprogramm in petto. Richtig ernst könne es für Unternehmen und Privatanwender werden, warnt Gilbert, denn schon ein Ausfall im Sekundenbereich könne hohen wirtschaftlichen Schaden verursachen, wenn die Produktion still steht oder teure Rechnersysteme Schaden nehmen.
Ursache dafür könnten unter anderem Spannungsschwankungen im Stromnetz sein, aber auch Defekte der internen Stromverteilung im Gebäude. Deshalb sei es wichtig, dass sich Privatanwender genauso wie Unternehmen mit Systemen für unterbrechungsfreie Stromversorgung vor Datenverlusten und Schäden an empfindlichen Geräten absichern. Neben USV-Systemen spielten auch Notstromaggregate oder Monitoring-Software eine wichtige Rolle.
Regelmäßige Wartungen oder das Durchspielen von Notfallszenarien gehörten zum Pflichtprogramm, denn wenn die integrierten Bauteile nicht perfekt zusammenarbeiten, könne es trotz entsprechender Investitionen in Stromsicherungssysteme zum Ausfall kommen.

Weitere Informationen zum Thema:

Bundesnetzagentur
Monitoringbericht 2012

[datensicherheit.de, 16.03.2013] Die zunehmende digitale Vernetzung macht unsere Gesellschaft nicht nur stärker, sondern auch verwundbarer – Strategische Informationssicherheit ist längst ein erfolgskritischer Faktor. Mehr Freiheit bei der Wahl von Arbeitsort und Arbeitszeit, jederzeit voller Zugriff auf die Unternehmensdaten, höhere Produktivität, neue kreative Business-Konzepte, transkontinentale Kooperationen… Mit der fortschreitenden Digitalisierung von Prozessen und Geschäftsmodellen sind die Chancen einer „intelligenten Zukunft“ immens, doch es stellen sich kritische Fragen, z.B. wie Organisationen mit der zunehmenden Zahl mobiler Geräte und der wachsenden Vernetzung mit externen Partnern umgehen, wie sich die „Cloud“ nutzen lässt, ohne die Sicherheit der eigenen Daten zu gefährden, und wie gezielte Angriffe aus dem Netz effektiv abzuwehren sind. Egal, ob „Mobile Device Management“, „Cloud Security“, ganzheitliches „Threat-Management“ oder Strategische Informationssicherheit, die Anforderungen, mit denen sich IT-Entscheider in Unternehmen und Behörden auseinandersetzen müssen, werden ständig komplexer.
Welche aktuellen Themen und relevanten Trends der Informationssicherheit die weitere digitale Entwicklung bestimmen, soll nun im Mittelpunkt des „6. IT-Sicherheitstags“ des TÜV Rheinland am 26. April 2013 im ehemaligen Plenarsaal des Deutschen Bundestages in Bonn, dem heutigen World Conference Center, stehen. Unter dem Titel „Mit Sicherheit in eine intelligente Zukunft“ diskutieren rund 250 IT-Security-Experten aus Wirtschaft, Öffentlicher Verwaltung und Institutionen sowie Spezialisten vom TÜV Rheinland praxisnahe Strategien und innovative Lösungen für die Herausforderungen in der IT-Security. Zu den Referenten gehören unter anderem IT-Sicherheits-Verantwortliche der Siemens AG, von Vodafone Deutschland, von der Bundesagentur für Arbeit sowie der Daimler AG.
Keynote-Sprecher ist Marc Elsberg, Autor des Bestsellers „Blackout“ – dieses „Wissensbuch 2012“ schildert einen Stromausfall in fast ganz Europa, ausgelöst durch Hacker-Angriffe. Elsberg hat in der Energie- und IT-Branche sowie beim Katastrophenschutz recherchiert.

„6. IT-Sicherheitstag“ – „Mit Sicherheit in eine intelligente Zukunft“
TÜV Rheinland
26. April 2013
World Conference Center (WCC) Bonn
Kostenpflichtige Veranstaltung

Weitere Informationen zum Thema:

TÜV Rheinland
IT-Sicherheitstag 2013