[datensicherheit.de, 08.09.2018] Eine weltweite Umfrage von Trend Micro zeigt, dass CISO und Sicherheitsexperten nur für 38 Prozent der IoT-Projekte in Unternehmen konsultiert werden. Fast 33 Prozent der Befragten geben an, dass ihnen nicht bekannt ist, wer in ihrem Unternehmen für IoT-Sicherheit verantwortlich ist. Befragte Unternehmen berichten von durchschnittlich drei Angriffen auf vernetzte Industrieanlagen im vergangenen Jahr.

Die Umfrageergebnisse zeigen, dass sich Unternehmen auf der ganzen Welt unnötigen Cyberrisiken aussetzen, weil sie versäumen, IT-Sicherheitsteams bei ihrer Planung von Internet-of-Things-Projekten (IoT-Projekten) mit einzubinden.

Eine Umfrage des japanischen IT-Sicherheitsunternehmens unter 1150 IT- und Sicherheitsentscheidungsträgern in Deutschland, Frankreich, Japan, Großbritannien und den USA ergab, dass 79 Prozent zwar ihre IT-Abteilung bei der Auswahl industrieller IoT-Lösungen miteinbeziehen, aber nur 38 Prozent ihre Sicherheitsteams.

„Es ist erstaunlich, wie IT-Sicherheitsteams aus IoT-Projekten ausgeschlossen werden, obwohl dies die Unternehmen eindeutig unnötigen Cyberrisiken aussetzt“, sagt Udo Schneider, Security Evangelist bei Trend Micro. „Unsere Studie zeigt, dass zu viele Unternehmen weltweit Sicherheit nicht als Teil ihrer IoT-Strategie priorisieren, was sie anfällig für Angriffe macht. Wenn Sicherheit nicht im Rahmen der Implementierung berücksichtigt wird, bleiben diese Geräte oftmals gefährdet und anfällig, da sie größtenteils nicht für Updates oder Patches ausgelegt sind.“

Die Untersuchung ergab, dass die befragten Unternehmen im vergangenen Jahr mehr als 2,5 Millionen Dollar für IoT-Initiativen ausgegeben haben und planen, in den nächsten 12 Monaten erneut so viel zu investieren. Angesichts solch hoher finanzieller Investitionen sollte auch in Sicherheit investiert werden, um die Risiken für vernetzte Industrieanlagen zu minimieren. Doch nur 56 Prozent der neuen IoT-Projekte beziehen einen Chief Information Security Officer (CISO) als einen der Entscheidungsträger bei der Auswahl von Sicherheitslösungen mit ein.

Laut IDC kann die IoT-Befähigung, die womöglich eine erstmalige Anbindung von industriellen Kontrollsystemen an das Internet beinhaltet, Software-Schwachstellen offen legen, die Unternehmensdaten gefährden. Obendrein ermöglichen sie Angreifern, softwarebasierte Sicherheitsmechanismen gezielt anzugreifen und potenziell zu manipulieren, um der Öffentlichkeit absichtlich oder unbeabsichtigt physische Schäden zuzufügen. [1]

Die Studie bestätigt diese Befürchtungen insofern, dass sie ergab, dass Unternehmen im vergangenen Jahr durchschnittlich drei Angriffe auf ihre vernetzten Anlagen erlitten. Dies zeigt, dass das Risiko, das von ungesicherten IoT-Anlagen ausgeht, Auswirkungen auf Unternehmen weltweit hat.

Darüber hinaus gaben 93 Prozent der Befragten an, dass IoT-Anwendungen schon mindestens eine Bedrohung für kritische Infrastrukturen in ihrem Unternehmen verursacht haben. Die häufigsten Gefahren durch zusätzliche Verbindungen entstehen durch komplexe Infrastrukturen, eine erhöhte Anzahl von Endpunkten und einem Mangel an angemessenen Sicherheitsmaßnahmen.

[1] IDC, IDC FutureScape: Worldwide IoT 2018 Predictions, Oktober 2017

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2018
Kooperation beim Schutz des Industrial Internet of Things

datensicherheit.de, 31.08.2018
CAST-Workshop: IoT – Anforderungen und Herausforderungen an die IT-Sicherheit

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 09.12.2016
CISO Security Studie: Über 80 Prozent der Unternehmen mit IT-Sicherheits-Strategie

[datensicherheit.de, 03.07.2017] Könnten die Wählerinnen und Wähler zur Bundestagswahl 2017 ihre Stimme auch über das Internet abgeben, würden sie mehrheitlich Cyberangriffe auf die Wahl befürchten. Hacking-Attacken (70 Prozent), Cyberspionage (66 Prozent) und Phishing (65 Prozent) sind für die Deutschen hierbei am wahrscheinlichsten. Das geht unter anderem aus einer aktuellen Studie und repräsentativen Umfrage von Kaspersky Lab zum Thema „Stimmabgabe per Klick – So steht Deutschland zum Thema Online-Wahl“ [1] hervor.

In der Schweiz und in Estland sind Online-Wahlen bereits Realität [2]. Anlässlich der im Herbst stattfindenden Bundestagswahl hat Kaspersky Lab die Deutschen hinsichtlich ihrer Einstellung gegenüber möglichen politischen Online-Wahlen befragt. Unter den Befragten besteht eine mehrheitliche Zustimmung, allerdings gibt es  auch Bedenken hinsichtlich potenzieller Cybergefahren. Als Cybersicherheitsexperte möchte Kaspersky Lab frühzeitig Cybersicherheitsthemen im Kontext der Diskussion um Online-Wahlen adressieren und auf technische Herausforderungen im Falle einer Umsetzung während der fortschreitenden Digitalisierung hinweisen. Die Verwundbarkeit elektronischer Wahlen verdeutlichten Cyberangriffe im Vorfeld der US-Präsidentschaftswahlen 2016. Dass auch noch Defizite im Umgang mit Wählerdaten bestehen, zeigte ein unlängst von den US-Republikanern ausgelöster Daten-Leak [3].

„Bei elektronischen Wahlverfahren gibt es eine Vielzahl an Angriffs- und Manipulationsmöglichkeiten, beispielsweise DDoS-Angriffe, um die Wahl zu behindern, Attacken auf eingesetzte Software beziehungsweise entsprechende Schnittstellen oder auch Angriffe auf die Wähler selbst, um Stimmabgaben zu unterbinden“, erklärt Marco Preuss, Leiter des europäischen Forschungs- und Analyse-Teams bei Kaspersky Lab. „Auch sind komplexere Angriffsszenarien denkbar, wenn die Infrastruktur oder Datenbank hinter dem Wahlsystem mit dem Ziel der Wahlbeeinflussung angegriffen wird.“

Manipulation durch Hacker, Terroristen und andere Staaten?

Befragt nach möglichen Manipulationsakteuren, die ein Interesse an der Beeinflussung von Online-Wahlen hätten, gehen die Deutschen am ehesten von einer Manipulation durch Hacker aus. 65 Prozent halten dies für wahrscheinlich oder sogar sehr wahrscheinlich.

Knapp die Hälfte glaubt außerdem an eine mögliche Beeinflussung durch Terroristen (45 Prozent) oder andere Staaten (43 Prozent). Manipulationsversuche durch Lobbyisten (36 Prozent), politische Aktivisten (35 Prozent), Wirtschaftsunternehmen (32 Prozent), einzelne Parteien und Politiker (31 Prozent) oder andere gesellschaftliche Interessensgruppen wie etwa Gewerkschaften oder NGOs (22 Prozent) gelten bei den Deutschen zwar als weniger wahrscheinlich, werden aber dennoch in Betracht gezogen.

Gefahr digitaler Stimmenkauf

Eine nicht zu unterschätzende Gefahr: 37 Prozent der Deutschen schätzen im Falle von Online-Wahlen die Möglichkeit des Stimmenverkaufs sehr hoch ein. Die Bürgerinnen und Bürger sehen also die Gefahr, dass gegen Entgelt persönliche Zugänge zur Online-Wahl und damit Stimmrechte weitergegeben werden. Dieses Problem gewichten jüngere Wähler mit 49 Prozent deutlich höher als die übrigen Altersgruppen. Zudem halten 41 Prozent der deutschen Bürgerinnen und Bürger die Gefahr einer doppelten Stimmabgabe, beispielsweise via Internet und via Urnengang, für kritisch.

Auch sieht jeder zweite Deutsche (50 Prozent) eine mögliche Manipulation der Abstimmung – also eine Veränderung der Stimmabgabe beim Wahlprozess beispielsweise durch das Abfangen der Daten bei der Übermittlung – als sensibel an.

„Die Anforderungen an Wahlsysteme sind eindeutig, aber derzeit sehr schwer umzusetzen. Einerseits muss eine Authentifizierung durchgeführt werden, um ausschließlich den Wahlberechtigten die einmalige Stimmabgabe zu ermöglichen, gleichzeitig muss der Grundsatz der geheimen Wahl hundertprozentig gewahrt bleiben“, so Marco Preuss.

Online-Wahlen bei den Deutschen hoch im Kurs

Die deutsche Bevölkerung steht politischen Online-Wahlen positiv gegenüber. So würde mehr als jeder zweite wahlberechtigte Deutsche (56 Prozent) bei der Bundestagswahl 2017 seine Stimme gerne über das Internet abgeben. Ebenfalls 56 Prozent sind der Meinung, dass mit der Möglichkeit der Online-Wahl die Wahlbeteiligung steigen könnte.

„Wahlen sind ein Ausdruck des politischen Willens der Bürgerinnen und Bürger. Im Falle von Online-Wahlen verdienen sie auch den größtmöglichen Schutz vor Cyberangriffen und -manipulationen. Unsere Umfrage zeigt, dass sich die Deutschen möglicher Angriffsvektoren und Manipulationsrisiken sehr wohl bewusst sind“, sagt Marco Preuss.

Weitere Informationen zum Thema:

[1] https://kas.pr/dk7c /
Die Studie zu den Einstellungen der Deutschen zum Thema Online-Wahlen wurde von Statista im Auftrag von Kaspersky Lab im Januar 2017 durchgeführt. Insgesamt wurden über 3.000 wahlberechtigte Deutsche ab 18 Jahre online befragt – nach der Methode CAWI (Computer Assisted Web Interview) mittels Online-Access-Panel. Die Stichprobe wurde national repräsentativ nach den Merkmalen Alter, Geschlecht, Bundesland und Bildung ausgesteuert und im Anschluss nach der Parteipräferenz auf Basis der aktuellen Sonntagsfrage gewichtet. Weitere Details zur Umfrage sowie die komplette Studie „Stimmabgabe per Klick – So steht Deutschland zum Thema Online-Wahl“ sind unter https://kas.pr/online-wahlen verfügbar.

[2] https://www.heise.de/newsticker/meldung/Schweizer-Regierung-will-flaechendeckend-E-Voting-anbieten-3677464.html?wt_mc=nl.ho.2017-04-07 und https://www.heise.de/newsticker/meldung/Wahl-in-Estland-Ein-Fuenftel-gibt-Stimme-per-I-Voting-ab-2561003.html

[3] https://www.heise.de/newsticker/meldung/USA-Republikaner-stellten-Daten-aller-Waehler-online-ohne-Passwort-3747865.html

datensicherheit.de, 04.09.2009
Ich will wählen gehen – spezielle Website mit vertonten Übungen für Analphabeten

[datensicherheit.de, 09.09.2015] Unternehmen müssen sich gegen eine neue Dimension von sich schnell entwickelnden Cyberrisiken wappnen. Fürchten Unternehmen heute vor allem Datendiebstähle, Datenschutzverletzungen und Reputationsschäden, so werden künftig Betriebsunterbrechungen in den Vordergrund rücken. Auch katastrophale Schadenszenarien sind denkbar.

In der neuen Studie – „A Guide to Cyber Risks: Managing The Impact of Increasing Interconnectivity“ – untersucht der Industrieversicherer Allianz Global Corporate & Specialty (AGCS) die neuesten Entwicklungen zu Cyberrisiken, die Unternehmen immer stärker gefährden. Allein die Folgen von Cyberkriminalität kosten die Weltwirtschaft ca. 445 Milliarden US-Dollar* pro Jahr (CSIS/McAfee); auf die zehn größten Volkswirtschaften der Welt entfällt die Hälfte dieser Summe. In Deutschland entstehen jährlich Schäden in Höhe von 59 Mrd. US-Dollar.

„Vor nur 15 Jahren waren Cyberangriffe sporadisch und die wenigen Vorfälle meist das Werk von ‚Hacktivisten‘. Mit der zunehmenden digitalen Vernetzung, der Globalisierung und der Kommerzialisierung von Internetkriminalität kam es zu einer Explosion der Cyberangriffe  sowohl hinsichtlich ihrer Häufigkeit als auch hinsichtlich ihrer Schwere”, sagt Chris Fischer Hirs, CEO von AGCS. „Eine Cyberversicherung kann eine robuste IT-Security keinesfalls ersetzen, aber sie schafft eine zweite Verteidigungslinie, um die negativen Folgen von Cyberangriffen abzufedern. Wir beobachten eine zunehmende Nachfrage solcher Deckungen. Und wir möchten unsere Kunden dabei unterstützen, Gefahren aus dem Netz zu verstehen und sich besser dagegen zu wappnen.“

Strengere Regulierung steigert Nachfrage

Auch wenn derzeit erst weniger als zehn Prozent der Unternehmen Cyberpolicen kaufen, geht AGCS davon aus, dass das weltweite Prämienaufkommen von Cyberversicherungen von derzeit zwei Milliarden US-Dollar in den kommenden zehn Jahren auf über 20 Milliarden US-Dollar steigen wird. Das entspräche einer durchschnittlichen jährlichen Wachstumsrate von über 20 Prozent. Zwei Faktoren werden die Nachfrage nach Cyberversicherungen beschleunigen: Zum einen wächst das Risikobewusstsein in vielen Unternehmen. Zum anderen verschärft sich das regulatorische Umfeld.

„In den USA ist der Cyberversicherungsmarkt bereits gut entwickelt, was strengere Datenschutzgesetze entscheidend beeinflusst haben. Auch in vielen anderen Ländern weltweit werden gesetzliche Regelungen verschärft und Haftungsgrenzen angehoben – und das befördert die Nachfrage nach Cyberversicherungen“, erklärt Nigel Pearson, der bei der AGCS weltweit für Cyberversicherung zuständig ist. „Es gibt einen allgemeinen Trend zu strengeren Datenschutzsystemen, deren Verletzung mit empfindlichen Geldstrafen geahndet wird.” Hongkong, Singapur und Australien gehören zu den Ländern, die entsprechende neue Gesetze planen oder bereits umgesetzt haben. Selbst wenn sich die Europäische Union nicht auf die geplanten paneuropäischen Datenschutzvorschriften einigen könnte, ist mit strengeren Richtlinien in den einzelnen Ländern zu rechnen.

Bisher fürchteten Unternehmen vor allem Datendiebstähle und Datenschutzverletzungen, wenn es um Internetkriminalität geht. Doch die jüngste Generation der Cyberrisiken hat eine neue Qualität erreicht: Unternehmen drohen künftig der Diebstahl geistigen Eigentums, virtuelle Erpressungen und die kostspieligen Folgen von Betriebsunterbrechungen (BU) in Folge von Cyberangriffen oder auch rein technischen IT-Ausfällen oder Prozessfehlern. „Wenn Unternehmen an Cyberrisiken denken, dann denken sie nicht zuallererst daran, dass ihr Betrieb oder ihre Produktion still stehen könnten. Das ändert sich gerade“, beobachtet Georgi Pachov, Cyber-Experte im Global Property Underwriting-Team der AGCS. „Innerhalb der nächsten fünf bis zehn Jahre wird sich Betriebsunterbrechung zu einem zentralen Risiko für  internet- und technologiebasierte Unternehmen entwickeln – und die entsprechende Deckung zu einem wichtigen Element von Cyberversicherungen.“ BU-Deckungen für Cyber- und IT-Risiken sind breit angelegt und schließen sowohl die sog. „Business IT“ als auch industrielle IT-Systeme ein, wie sie Energieunternehmen oder Produktionsbetriebe zur Steuerung von Industrieanlagen oder Robotern nutzen.

Vernetzung schafft Risiko

Die virtuelle Vernetzung von Geräten und Maschinen sowie das wachsende Vertrauen in die Übertragung von Echtzeit-Daten auf persönlicher und geschäftlicher Ebene („Internet der Dinge“) schafft weitere Angriffspunkte für Internetkriminalität. Schätzungen zufolge könnten bis 2020 eine Billion Geräte untereinander vernetzt  sein; 50 Milliarden Maschinen könnten täglich Daten austauschen. Industrielle Steuerungssysteme, wie sie in Kraftwerken oder Fabriken zum Einsatz kommen, stellen ein weiteres Einfallstor für Hacker dar. Denn viele sich heute noch in Betrieb befindende Systeme stammen aus einer Zeit, als IT-Sicherheit noch keinen hohen Stellenwert hatte. Würden industrielle IT-Systeme durch einen Hackerangriff lahmgelegt, könnte dies Sachschäden durch Feuer oder Explosion auslösen und auch zu Betriebsunterbrechungen führen.

Katastrophenereignis denkbar

Während es bereits einige schwere Fälle von Datendiebstahl gab, nimmt die Wahrscheinlichkeit eines durch Internetkriminalität verursachten Katastrophenschadens zu.  Zu denkbaren Szenarien zählen ein erfolgreicher Angriff auf die Internetinfrastruktur, ein weitreichender Datenvorfall oder ein Netzwerkausfall bei einem Cloud-Service-Provider; ein schwerer Cyberangriff auf einen Energieanbieter oder ein Versorgungsunternehmen könnte nicht nur zu einem großflächigen Ausfall von Dienstleistungen führen, sondern auch hohe Sachschäden verursachen oder schlimmstenfalls sogar Menschenleben kosten.

Eigenständige Deckung, ganzheitliches Risikomanagement

Aus Sicht der Allianz sollten Cyberversicherungen ihren Deckungsumfang erweitern und auch Betriebsunterbrechungsrisiken einschließen. Cyberausschlüsse in klassischen Schaden- und Haftpflichtpolicen werden sich weiter durchsetzen. Im Gegenzug werden sich Cyberversicherungen als eine eigenständige Produktkategorie etablieren. Außerdem werden sich die Versicherer – wie bei anderen neu aufkommenden Risiken und Versicherungslösungen auch – mit Herausforderungen hinsichtlich Tarifierung, nicht getesteten Policen-Wordings, Modellierung und Risikoakkumulation konfrontiert sehen.

Die AGCS-Studie stellt Maßnahmen heraus, die Unternehmen ergreifen können, um Cyber-Risiken zu begegnen. Die Versicherung kann lediglich Teil der Lösung sein, notwendig ist vielmehr ein umfassender Risikomanagement-Ansatz, um Gefahren aus dem Netz abzuwehren. „Eine Cyberversicherung abgeschlossen zu haben, bedeutet nicht, bei der IT-Sicherheit sparen zu können. Vielmehr gehen die technologischen, betrieblichen und versicherungstechnischen Aspekte des Risikomanagements bei Cyberrisiken Hand in Hand”, erklärt Jens Krickhahn, AGCS-Experte für Cyberversicherungen in Deutschland.

Cyber-Risikomanagement im Unternehmen ist zu komplex, um einer einzigen Abteilung vorbehalten zu sein; deshalb empfiehlt die AGCS das Wissen von Stakeholdern aus verschiedenen Unternehmensbereichen in einen ‚Think-Tank’ zusammenzuführen, um das Risiko in den Griff zu bekommen. So können unterschiedliche Perspektiven und Szenarien untersucht und berücksichtigt werden, beispielsweise neue Risiken, die durch Fusionen und Übernahmen oder durch die Nutzung Cloud-basierter oder ausgelagerter Dienstleistungen entstehen. Eine unternehmensübergreifende Beteiligung hilft auch, die durch Cybergefahren besonders bedrohten Vermögenswerte eines Unternehmens zu identifizieren und robuste Krisenreaktionspläne zu entwickeln und zu testen.

Weitere Informationen zum Thema:

Allianz Global Corporate & Specialty
Download der Studie „A Guide to Cyber Risk“