[datensicherheit.de, 13.11.2025] Mit der Verabschiedung des Gesetzes zur Umsetzung der EU-Richtlinie NIS-2 am 13. November 2025 durch den Bundestag wird nach Ansicht des Digitalverbands Bitkom die Cybersicherheit in Deutschland gestärkt und mehr Rechtssicherheit für Unternehmen geschaffen. Zugleich könnten die Neuregelungen für den Einsatz sogenannter Kritischer Komponenten erhebliche Auswirkungen auf die Investitionsentscheidungen von Unternehmen und damit die Digitalisierung in Deutschland haben.

Foto: Bitkom

Dr. Ralf Wintergerst warnt: Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben!

NIS-2-Richtlinie soll zur Stärkung der Resilienz und Cybersicherheit in der EU führen

„Die Umsetzung der europäischen NIS-2-Richtlinie war überfällig. Cyberangriffe bedrohen Wirtschaft, Verwaltung und Gesellschaft. Den deutschen Unternehmen ist so zuletzt ein jährlicher Schaden von 202 Milliarden Euro entstanden“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

• Ziel der NIS-2-Richtlinie sei die Stärkung von Resilienz und Cybersicherheit in den Mitgliedstaaten. Dafür sei unter anderem die Definition Kritischer Infrastruktur (KRITIS) erweitert und damit eine Vielzahl von Unternehmen zu besonderen Sicherheitsvorkehrungen verpflichtet worden.

Als „äußerst positiv“ bewertet Bitkom, dass im nun verabschiedeten Gesetz nachgelagerte Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden. Besonders in sensiblen Bereichen der Bundesverwaltung könnten Sicherheitslücken erhebliche finanzielle Schäden verursachen und das Vertrauen in demokratische Institutionen beschädigen.

Konsequent und richtig, dass auch Bundesbehörden NIS-2 genügen müssen

„Eine wirksame und glaubwürdige Cybersicherheitsarchitektur setzt voraus, dass der Staat selbst höchste Sicherheitsstandards einhält!“, betont Wintergerst. Es sei nur konsequent und richtig, dass Bundesbehörden künftig denselben Anforderungen beim Risikomanagement unterlägen wie regulierte Unternehmen.

• Dagegen seien die zuletzt in das Gesetzgebungsverfahren eingebrachten Neuregelungen zu sogenannten Kritischen Komponenten eher schädlich. Vorgesehen sei nun, dass das Bundesinnenministerium (BMI) in Abstimmung mit anderen Ressorts Kritische Komponenten definiere und künftig auch eigenständig deren Einsatz untersagen könne.

„Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden“, unterstreicht Wintergerst.

Bitkom-Forderung, „KRITIS-Dachgesetz“ an „NIS-2-Umsetzungsgesetz“ anzupassen und zeitnah umzusetzen

Die Definition Kritischer Komponenten sollte nach Ansicht des Bitkom auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.

• Um Deutschland vor Cyberangriffen zu schützen und einen ganzheitlichen Ansatz für digitale Sicherheit zu schaffen, sollten Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen durch das BSI unterstützt werden.

Zudem müsse nun auch das „KRITIS-Dachgesetz“ an das „NIS-2-Umsetzungsgesetz“ angepasst und zeitnah umgesetzt werden.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst – Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 27.08.2024] Tenable® hat nach eigenen Angaben im Rahmen einer der aktuellen Studie „The Critical Few: How to Expose and Close the Threats that Matter“ die wichtigsten Schwachstellen in Unternehmen identifiziert und möchte in der damit verbundenen Stellungnahme konkrete Handlungsempfehlungen zur Behebung potenziell businesskritischer Cyber-Bedrohungen geben. „In den vergangenen zwei Jahrzehnten hat Tenable rund 50 Billionen Datenpunkte zu mehr als 240.000 Schwachstellen gesammelt und analysiert. Aufsetzend auf diesen umfangreichen Datensatz hat Tenable eine Methodik entwickelt, die zeigt, dass in der Regel nur drei Prozent dieser Schwachstellen in folgenschweren Breaches resultieren.“

Abbildung: tenable

Tenable Research Report „The critical few“

Schwachstellen mit einem VPR über 9,0 werden mit hoher Wahrscheinlichkeit ausgenutzt

„Security-Teams sind mit Unmengen fragmentierter Schwachstellen- und Threat-Intelligence-Daten konfrontiert. Tenable hat diese Studie durchgeführt, um die Teams dabei zu unterstützen, auf eine proaktive Cybersecurity-Strategie umzusatteln und sich auf die Behebung der kritischsten Bedrohungen zu konzentrieren.“ Die vorliegende Studie greife auf das VPR-Modell (Vulnerability Priority Rating) zurück, „das Tenable entwickelt hat, um die aktuelle Bedrohungslandschaft abzubilden“. Die VPR-Werte reichten von 0,1 bis 10, wobei höhere Werte auf eine höhere Wahrscheinlichkeit einer Ausnutzung hinwiesen.

Schwachstellen mit einem VPR über 9,0 würden mit hoher Wahrscheinlichkeit ausgenutzt, wenn sie entdeckt werden – und sollten auf der Prioritätenliste ganz oben stehen. Schwachstellen mit einem VPR zwischen 7,0 und 8,9 stellten dagegen ein moderates Risiko dar, während Schwachstellen der Kategorien „Medium“ und „Low“ (0,1 bis 6,9) weniger wahrscheinlich ausgenutzt würden.

Ein Beispiel: „Von den fast 240.000 im Rahmen der Studie am 2. Juni 2024 analysierten Schwachstellen fielen nur 3,1 Prozent – weniger als 7.500 – in die Kategorien ,Critical’ oder ,High’.“

Ohne Kontext müsste jede Schwachstelle als „kritisch“ gelten…

„Ohne Kontext ist jede Schwachstelle, jeder Patch und jedes Update kritisch – und es wird fast unmöglich, alle Systeme up to date zu halten“, so Roger Scheer, „Regional Vice President Central Europe“ bei Tenable.

Er betont: „Exposure Management ist unerlässlich, wenn es darum geht, klar zu priorisieren, was wirklich ein Risiko für das Business darstellt. Alle Stakeholder müssen diese Risiken verstehen und diejenigen, die in einem Breach resultieren könnten, priorisiert adressieren!“

Indem sie sich auf die kritischsten Schwachstellen fokussierten, könnten Unternehmen ihre „Security Posture“ stärken und Ressourcen effektiver einsetzen. Dabei sei entscheidend, „dass die Unternehmensführung diesen Ansatz mitträgt und proaktive Maßnahmen ergreift, um kritische ,Assets’ zu schützen“, unterstreicht Scheer abschließend.

Weitere Informationen zum Thema:

tenable
Tenable Research Report / The critical few: how to focus on the exposures that matter

[datensicherheit.de, 08.04.2021] Laut einer Meldung von Tenable hat die CISA (Cybersecurity and Infrastructure Security Agency), eine Behörde des US-Heimatschutzministeriums, am 6. April 2021 eine Meldung über Cyber-Kriminelle veröffentlicht, welche es auf kritische SAP-Anwendungen abgesehen hätten. Laut CISA seien SAP-Systeme mit veralteter oder falsch konfigurierter Software einem erhöhten Risiko durch Cyber-Angriffe ausgesetzt.

Foto: Tenable

Scott Caveza: Erhebliche Auswirkungen auf die betroffenen Unternehmen!

SAP-Software von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt

„Ein aktuelles ,Advisory‘ der CISA warnt davor, dass ungepatchte oder falsch konfigurierte SAP-Systeme aktiv von Cyber-Kriminellen ins Visier genommen werden“, berichtet Scott Caveza, „Research Engineering Manager“ bei Tenable.
SAP-Software werde von Unternehmen zur Verwaltung kritischer Geschäftsfunktionen eingesetzt und diene oft zur Speicherung sensibler Daten. Auch Scott warnt: „Indem sie bekannte ungepatchte Schwachstellen ausnutzen, können Angreifer kritische Prozesse unterbrechen, finanzielle oder anderweitig sensible Daten stehlen oder schädlichen Code einsetzen.“ Dies könne zu erheblichen Auswirkungen auf die betroffenen Unternehmen führen.

SAP-Patches seit Monaten und sogar Jahren verfügbar

Im Laufe des letzten Jahres, 2020, hätten sie immer wieder solche Berichte von US-Regierungsbehörden gesehen. Die Behörden hätten mehrmals vor der Bedrohung durch ungepatchte Software und bekannte Schwachstellen gewarnt, „die Bedrohungsakteure ins Visier nehmen“.
Obwohl Patches seit Monaten und sogar Jahren verfügbar seien, fänden Angreifer immer noch ungepatchte SAP-Systeme und nutzten diese aus. „Dies ist eine Warnung an die Administratoren sensibler Daten und Applikationen. Die Anwendung von Patches, Migrationen oder Workarounds ist von größter Bedeutung, um Angriffe durch Kriminelle, die bekannte Schwachstellen ausnutzen wollen, zu vereiteln“, betont Caveza.

Weitere Informationen zum Thema:

datensicherheit.de, 14.01.2021
Tenable kommentiert erstes Microsoft-Update des Jahres 2021

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY, 06.04.2012
Malicious Cyber Activity Targeting Critical SAP Applications

[datensicherheit.de, 27.08.2020] Laut einer aktuellen Stellungnahme von VECTRA gilt das „Asset Management“ als eine der schwierigsten Herausforderungen, denen sich IT-Abteilungen stellen müssen: „Dank Cloud, IoT und BYOD steigen die Komplexität und die damit verbundenen Sicherheitsherausforderungen stetig.“ In vielen Fällen würden bei der Reaktion auf Vorfälle kompromittierte Assets identifiziert, welche in den Inventaren der Anlagenverwaltung als vor Jahren stillgelegt aufgeführt seien. „Niemand hat den Server jedoch abgeschaltet, er war immer noch eingeschaltet und angeschlossen, wurde nicht gewartet und wurde schließlich vom Angreifer erfolgreich ausgenutzt“, berichtet VECTRA.

Foto: VECTRA

Andreas Müller: Cloud, IoT und BYOD steigernn die Komplexität und damit verbundene Sicherheitsherausforderungen

VECTRA hinterfragt, was genau mit „kritisch“ gemeint ist

Selbst wenn Unternehmen über ein perfektes Inventar all ihrer Systeme verfügten, sei es unwahrscheinlich, dass sie genau wüssten, „welche dieser unzähligen Assets wirklich ,kritisch‘ sind“. Wenn Unternehmen Schwierigkeiten hätten, zu verstehen, welche Systeme im Einsatz sind, wie könne man dann erwarten, „dass sie angeben, welche davon explizit kritisch sind?“
VECTRA wirft die Frage auf, was genau in diesem Zusammenhang mit „kritisch“ gemeint sei: „Handelt es sich um etwas, dessen Daten für Ihr Unternehmen wichtig sind? Diese Definition würde auf so gut wie jedes System in ihrer Umgebung zutreffen.“
Andreas Müller, „Director DACH“ bei VECTRA AI, führt aus: „Betrachten Sie einmal sämtliche Datenlecks, die im Laufe der Jahre allein durch den Verlust von Laptops entstanden sind!“ Sodann hinterfragt er: „Wurden diese Systeme als ,kritisch‘ eingestuft? Oder war das ,nur ein weiterer Laptop‘, den jemand mit nach Hause nahm, um nach dem Ende einer langen Woche seine Arbeit fertigzustellen? Was passiert, wenn ein Entwicklungssystem zur Validierung der Datenverarbeitung aufgestellt, mit sensiblen Daten geladen und dann im Netzwerk gelassen und vergessen wird?“

VECTRA empfiehlt Fokus auf Bandbreite an IoT-Geräten, welche „APT28“ nutzen, um Angriffe durchzuführen

Wenn Unternehmen dächten, „dass ihre Kernnetzwerk-Infrastruktur einen Großteil der kritischen Geräte unterstützt, dann ist der Bericht von FireEye vom März 2020 über APT41 eine Pflichtlektüre“. Dieser Bericht zeige auf, wie „APT41“ die Cisco-Routing-Infrastruktur eines Unternehmens aktiv ausnutze. Wenn Unternehmen das Routing des Datenverkehrs kontrollieren könnten, seien sie in der Lage, Zugriff auf alle ein Gerät durchlaufenden Daten zu erhalten, ohne den kritischen Endpunkt zu gefährden.
IoT- und nicht-kritische Assets würden immer wieder von „APTs“ (Advanced Persistent Threats), also fortgeschrittenen, hartnäckigen Bedrohungen ausgenutzt. Das beste Beispiel hierfür sei „APT28“, auch bekannt als „Fancy Bear“ oder „Strontium“. „Verschiedene Artikel beschreiben ausführlich einen von Microsoft veröffentlichten Bericht hierzu“, berichtet Müller.
Eine wichtige Sache, auf die man sich nach Meinung von VECTRA AI konzentrieren sollte, sei die Bandbreite an IoT-Geräten, welche „APT28“ nutzt, um den Angriff durchzuführen. Hierzu zählten VoIP-Telefone, Drucker und Videodecoder. Dies offenbare den Wunsch Cyber-Krimineller, IoT-Geräte in einem organisierten Angriff auf breiterer Basis einzusetzen. Es zeige, dass sich die Angreifer wenig darum kümmerten, was nach Definition des Unternehmens „kritisch“ sei, sondern sich stattdessen darauf konzentrierten, „alles zu nutzen, was es ihnen ermöglicht, ihre Ziele zu erreichen“.

VECTRA ruft dazu auf, nicht nur ausgewählte Endpunkte zu schützen, sondern ganzheitliche Ansätze zu verfolgen

Der letzte Punkt ist laut Müller folgender: Netzwerkverteidiger sollten nicht gezwungen sein, willkürliche Entscheidungen auf der Grundlage unvollkommener Informationen darüber zu treffen, welche Assets sie mit den verfügbaren Sicherheitskapazitäten verteidigen würden und welche nicht.
„Sicherheitslösungen sollten Sicherheitsteam in die Lage versetzen, Bedrohungen ohne willkürliche Zwänge und mit hoher Zuversicht frühzeitig zu erkennen, unabhängig davon, wo die Angreifer operieren wollen.“
Schließlich gehe es darum, „Ihre gesamte Umgebung zu überwachen und zu schützen, nicht nur einige ausgewählte Endpunkte“. Müller empfiehlt abschließend: „Sie sollten eine Lösung haben, die dieses Ziel unterstützt.“

Weitere Informationen unter vectra.ai

datensicherheit.de, 13.05.2020
Covid-19: Cyberangriffe auf kritische Dienste während der Pandemie / Entscheider müssen das Schutzniveau an die deutlich verschärfte Gefahrenlage anpassen

datensicherheit.de, 12.05.2020
Neue Angriffsmethoden auf kritische Industrie-4.0-Umgebungen / Forschungsbericht skizziert fortgeschrittene Angriffsszenarien und gibt Empfehlungen für OT-Betreiber

datensicherheit.de, 13.01.2020
IT-Sicherheit: Angriffe auf Kritische Infrastrukturen mehren sich / Mangelhafte Kommunikatiion im Unternehmen problematisch

[datensicherheit.de, 01.05.2020] „Bis Freitag gepatcht oder bis Montag gehackt“, warnt der leitende Sicherheitsberater Olle Segerdahl von F-Secure . „So würde ich das Dilemma beschreiben, in dem sich momentan Admins befinden, die Salt einsetzen.“

Bei Salt handelt es sich um eine Open-Source-Software des Unternehmens SaltStack, die in Infrastruktur-, Netzwerk- und Sicherheitsautomatisierungslösungen eingesetzt wird. Es ist ein beliebtes Tool, das zur Wartung von Rechenzentren und Cloud-Umgebungen verwendet wird. Olle und sein Team haben im Rahmen eines Kundenauftrags die Schwachstellen entdecktet und Mitte März 2020 SaltStack gemeldet. Darüber hinaus hat F-Secure die neue Schwachstellen bei Salt (CVE-2020-11651 and CVE-2020-11652) in einem Advisory von F-Secure Labs bekannt gegeben.

Angreifer können Authentifizierungs- und Autorisierungskontrollen umgehen

Die Schwachstellen ermöglichen es Angreifern, die Authentifizierungs- und Autorisierungskontrollen zu umgehen, mit denen der Zugriff auf die Salt-Implementierungen (die aus einem „Master“-Server und einer beliebigen Anzahl von sogenannten „Minions“-Clients bestehen) geregelt wird. Ein Angreifer kann diese Schwachstellen ausnutzen, um aus der Ferne Code mit Root-Privilegien auf dem Master und schließlich auf allen mit dem Master verbundenen Minions auszuführen.

Angreifer könnten einfach den Master und seine Minions (von denen es Hunderte von Servern geben könnte) einsetzen, um Kryptowährungen zu farmen. Erfahrene Angreifer können jedoch auch Angriffe mit größerer Wirkung durchführen. Sie können zum Beispiel Hintertüren installieren, durch die sie das Netzwerk erkunden können, und dann zum Diebstahl vertraulicher Daten übergehen, zu Erpressung (entweder durch Lösegeld oder die Drohung, vertrauliche Informationen nach außen preiszugeben) oder zu einer Vielzahl anderer Angriffe, die auf ihr spezifisches Ziel und ihre Ziele zugeschnitten sind.

Schwachstellen sehr kritisch

Wie Mikko Hyppönen, Chief Research Officer bei F-Secure, Anfang der Woche twitterte, werden die Schwachstellen im Common Vulnerability Scoring System mit einer 10 bewertet. Das ist somit die höchstmögliche Bewertung des Schweregrades. Sie wird nur für Schwachstellen vergeben, die von der National Vulnerability Database als sehr kritisch eingestuft werden.

Was Olle jedoch wirklich beunruhigt, sind die 6000 Master, die er bei seinen Nachforschungen im Internet entdeckt hat und die, wie er sagt, in Cloud-Umgebungen wie AWS und GCP sehr beliebt sind.

„Ich hatte eigentlich erwartet, dass nicht so viele Master öffentlich im Internet stehen. Es gibt nicht viele Gründe, Infrastrukturmanagementsystemedem Internet auszusetzen“, sagt Olle. „Wenn neue Schwachstellen bekannt werden, versuchen Angreifer schnellst möglich anfällige Hosts auszunützen, bevor Admins sie patchen können. Wenn ich also einen dieser 6000 Master betreiben würde, würde ich mich nicht wohl dabei fühlen, mich ins Wochenende zu verabschieden, obwohl ich weiß, dass ich noch ungepatchte Systeme habe .“

Von den Sicherheitslücken sind die Salt-Versionen 3000.1 und älter betroffen, die im Grunde alle Salt-Implementierungen abdecken, die vor dem heute veröffentlichten SaltStack Update im Einsatz waren. Und obwohl es für Angreifer schwieriger sein wird, vom Internet versteckte Hosts zu erreichen, können sie die Master dennoch ausnutzen, indem sie auf andere Weise auf Unternehmensnetzwerke zugreifen.

Olle empfiehlt Organisationen, die Auto-Update-Funktionen von Salt zu nutzen, um sicherzustellen, dass sie diese und künftige Patches erhalten, sobald sie verfügbar sind. Er schlägt außerdem vor, dass Unternehmen mit gefährdeten Salt-Hosts zusätzliche Kontrollen einsetzen, um den Zugang zu den Salt-Master-Ports (4505 und 4506 bei Standardkonfigurationen) einzuschränken. SaltStack hat auf seiner Website zusätzliche Anleitungen zur Absicherung von Salt-Implementierungen veröffentlicht.

Bisher kein Exploit bekannt

Auch wenn es sich um eine kritische Schwachstelle handelt, gibt es Stand heute noch keinen Exploit, um es Angreifern zu ermöglichen, die Schwachstelle auszunutzen. Und wenn, ist es für Unternehmen möglich, Angriffe zu erkennen. Betroffene Unternehmen können in den gespeicherte Logs nach Anzeichen für bösartige Inhalte oder verdächtige Aktivitäten suchen.

Weitere Informationen zum Thema:

F-Secure
SaltStack authorization bypass

datensicherheit.de, 31.05.2019
Venafi warnt: Open-Source-Bibliotheken gefährden Unternehmen

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

[datensicherheit.de, 16.01.2017] Sicherheitsexperten von Palo Alto Networks rechnen nach eigenen Angaben mit einer zunehmenden Anzahl erfolgreicher, gezielter Ransomware-Angriffe auf die OT-Umgebung (Operational Technology) verschiedener kritischer Infrastrukturen (Kritis) – alleine durch die Ausfallzeiten könnten Schäden in Millionenhöhe verursacht werden.

Ausfall einer wichtigen Kritis-Umgebung nur eine Frage der Zeit

Die Entwicklung von Ransomware-Angriffen auf Kritis ist demnach recht eindeutig und wird von Palo Alto Networks „als ernsthafte Bedrohung“ gewertet. Erste erfolgreiche Angriffe gegen an OT-Umgebungen angrenzende Netzwerke seien bereits bekannt geworden.
Wenn diese Ausfallzeiten verursacht haben, hätte dies bisher „nur“ Auswirkungen auf den ICS-Betreiber (Industrial Control Systems / Industrielle Steuerungssysteme) selbst gehabt und sich noch nicht auf die für die Bevölkerung entscheidenden Dienste ausgewirkt. Allerdings sei es nur eine Frage der Zeit bis zu einem erfolgreichen Angriff, der den Ausfall einer wichtigen Kritis-Umgebung – wie das Stromnetz oder ein Transportsystem – verursachen werde.

Finanziell und personell gut ausgestattete Banden Cyber-Krimineller

Das erforderliche Fachwissen für ICS-Umgebungen zu sammeln, Ransomware einzuschleusen und diese spezialisierten Systeme erfolgreich zu kompromittieren, erfordere eine Menge Aufwand, möglicherweise auch die Beteiligung eines Insiders. Sicherheitsexperten von Palo Alto Networks gehen daher davon aus, dass solche Angriffe höchstwahrscheinlich von finanziell und personell gut ausgestatteten Banden Cyber-Krimineller erfolgen. Diese nähmen bestimmte Einrichtungen ins Visier, um ein hohes Lösegeld einzufordern.

Disaster-Recovery könnte teurer als Lösegeld sein

Der betroffene Infrastrukturbetreiber werde mit einer schweren Entscheidung konfrontiert sein: das Lösegeld in der Hoffnung auf eine rasche Wiedererlangung der Funktionalität zu bezahlen – oder – nicht zu bezahlen und stattdessen die Situation mittels eines funktionsfähigen Disaster-Recovery-Plans zu beheben.
Die Gesamtkosten für letztere Maßnahmen könnten weit über das Lösegeld hinausgehen. Niemand in diesem Umfeld hoffe, dass diese Art von Angriff im eigenen Betrieb passiert, aber ein solches Ereignis würde dazu führen, dass die gesamte Branche aufwachen und schleunigst darüber nachdenken müsste, wie ICS-Umgebungen effektiver – oder überhaupt grundlegend – zu schützen sind.

Präventionsorientierte Denkweise und neue Schutztechnologien!

Nach Einschätzung von Palo Alto Networks sind die meisten OT-Betreiber „zu schlecht ausgestattet, um mit anspruchsvollen Angriffen umzugehen“. Ransomware sei nur eine von vielen modernen Angriffsmethoden, die eine andere, präventionsorientierte Denkweise und eine Reihe neuer Schutztechnologien erforderten.
OT-Organisationen wachten aber langsam auf und modernisierten ihre OT-Sicherheit; aber es sei ein langer Weg, den die meisten dieser Unternehmen vor sich hätten, bis sie in der Lage sein würden, immer anspruchsvollere Angriffe zu stoppen. Da IT- und OT-Umgebungen noch stärker zusammenwüchsen, müssten sich die Betreibergesellschaften dazu veranlasst sehen, herauszufinden, wie die Angreifer eigentlich vorgehen und was der „Stand der Technik“ in Bezug auf „Best Practices“ und Technologien für Cyber-Sicherheit ist.

NIS-Richtlinie fordert „Stand der Technik“ zu beachten!

Das Thema „Stand der Technik“ werde auch in den neuen EU-Gesetzesinitiativen zum Tragen kommen, die bis Mitte 2018 in das nationale Recht der Mitgliedsstaaten umgesetzt werden müssten. Die NIS-Richtlinie gelte dabei neben „digitalen Diensten“ auch für „Erbringer wesentlicher Dienstleistungen“. Dies sei laut NIS-Definition eine öffentliche oder private Einrichtung, die „eine Dienstleistung erbringt, die für die Aufrechterhaltung wichtiger gesellschaftlicher und wirtschaftlicher Tätigkeiten wesentlich ist; von Netz- und Informationssystemen abhängig ist; und bei der ein Angriff auf die Netz- und Informationssysteme erhebliche störende Auswirkungen auf den Betrieb hätte“.
Unter anderem verlangt die NIS-Richtlinie, Sicherheitsmaßnahmen zu ergreifen, die dem „Stand der Technik“ entsprechen. „Stand der Technik“ bedeutet in diesem Zusammenhang, dass generell Technologien erforderlich sind, die präventionsorientiert arbeiten und nicht erst Alarm schlagen, wenn das Netzwerk gehackt wurde. Eine ältere, immer wieder erweiterte Sicherheitsinfrastruktur, die aus zu vielen nicht-integrierten punktuellen Lösungen besteht, ist kaum noch zu überblicken und fortschrittlichen Bedrohungen nicht gewachsen.

Next-Generation-Firewalls und -Endpoint-Protection empfohlen!

„Als effektiver erweist sich eine integrierte Sicherheitsplattform basierend auf Next-Generation-Firewalls und Next-Generation-Endpoint-Protection, mit sich optimal ergänzenden Komponenten, die miteinander kommunizieren können“, betont Thorsten Henning, „Senior Systems Engineering Manager“ bei Palo Alto Networks.
Eine solche Plattform liefere vollständigen Einblick in die gesamte Kommunikation im verteilten Netzwerk, um detailliert zu erkennen, an welcher Stelle das Unternehmen gerade gefährdet ist.

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2016
Kritische IT-Ereignisse: Millionenschäden bei europäischen Unternehmen

datensicherheit.de, 21.07.2016
Kritische Infrastrukturen im Visier: Hacker könnten Wasserversorgung kappen

[datensicherheit.de, 19.09.2014] Männer gehen deutlich unverantwortlicher mit kritischen Unternehmensdaten um. So lautet eines der zentralen Ergebnisse der airbackup-Verhaltensstudie unter US-Arbeitnehmern. Die Studie untersuchte das Verhalten und die Einstellungen der Angestellten und wie diese arbeitsbedingten Datenverlust beeinflussen. Außerdem zeigt die von Harris Poll im Auftrag von TeamViewer, einem führenden Anbieter von Software für Fernwartung und Online Meetings, im August 2014 durchgeführte Umfrage: Fast die Hälfte der männlichen Befragten (46%) gibt zu, dass sie ein zum Arbeiten überlassenes elektronisches Gerät inklusive der wichtigen Firmendaten mit hoher Wahrscheinlichkeit verlieren würden. Sage und schreibe 60% der jüngeren Männer im Alter von 18-34 stimmen dem zu, im Vergleich zu nur 27% der Frauen.

Verantwortliche in vielen Organisationen quittieren die Nachricht möglicherweise mit einem Stirnrunzeln: Laut der Umfrage sagt geschlechterübergreifend insgesamt mehr als ein Drittel (37%) der Beschäftigten, dass sie elektronische Arbeitsgeräte wie Smartphone, Tablet oder Laptop wahrscheinlich verlieren. Geräte gehen dabei üblicherweise an folgenden Orten verloren:

• im Auto (15%)
• im Restaurant (13%)
• im Hotel (13%)
• im Zug oder Bus (11%)
• im Flugzeug (10%)

© TeamViewer GmbH

Infografik: airbackup Studie 2014

Datenverlust betrifft zudem eine breite Palette der Arbeiternehmer, wobei mehr als die Hälfte (54%) eingesteht, dass sie Datenverluste während der Arbeitszeit frustrieren. Zu den häufigsten Quellen dieser Frustration gehören:

• Stromausfall, nachdem eine wichtige Arbeit gerade fertig gestellt wurde (31%)
• Nicht in der Lage sein, eine Datei zu finden, die am Arbeitsplatz vorhanden ist (26%)
• Verlorene Firmendateien, an denen sie lange gearbeitet haben (23%)
• Ein verlorenes Gerät ersetzen, das sie für die Arbeit verwenden (13%)
• Verlorene Firmendateien auf einem verlorenen elektronischen Gerät (11%)

Die Studie legt nahe, dass das Bewusstsein für die Bedeutung von Datenverlust in kleinen und mittelgroßen Unternehmen erhöht werden sollte. Fast ein Drittel (31%) der Teilnehmer sagt demnach, dass sie sich um Datenverlust bei der Arbeit sorgen. Dabei alarmiert Datenverlust eher die Befragten in größeren Unternehmen mit 101 bis 500 Arbeitnehmern. Fast die Hälfte (48%) bestätigt, dass dies ein Punkt ist, der sie beunruhigt. Demgegenüber zeigt sich nur ein Drittel (33%) der Beschäftigten in Unternehmen mit weniger als 10 Mitarbeitern aufgrund von Datenverlust besorgt. Bei Unternehmen mit 10-50 Arbeitnehmern ist es sogar nur ein Viertel (28%).

In größeren Unternehmen verhalten sich die Mitarbeiter riskanter

Die Umfrage zeigt jedoch auch, dass Besorgnis allein nicht ausreicht. Mehr als ein Drittel (37%) der Belegschaft in größeren Unternehmen mit 101-500 Angestellten räumt ein, Firmendaten einem Risiko auszusetzen. Dagegen bekennt sich in Unternehmen mit weniger als 10 Angestellten nur ein Viertel und fast ein Viertel (22%) der Angestellten in Unternehmen mit 10-50 Angestellten zu solch riskanten Verhaltensweisen. Unter anderem zählen dazu:

• Unterbleibendes Sperren des Computers beim Verlassen des Arbeitsplatzes (16%)
• Anklicken von Links unbekannter Sender (10%)
• Weitergabe von Kennwörtern (10%)
• Ansicht fraglicher Internetinhalte auf einem firmeneigenen Computer (8%)
• Unterlassenes Speichern von Unternehmensdaten auf dem Server (5%)

Die Befragten halten den Schutz kritischer Daten für so wichtig, dass mehr als einer von zehn lieber einen Ehepartner, die Haare, Kreditkarten oder das Sexualleben als die Daten auf dem persönlichen oder firmeneigenen Computer verlieren würde.

„Dass ein hoher Anteil der Erwerbstätigen einerseits in hohem Maße alarmiert über den Verlust von Firmendaten ist, andererseits aber Verhaltensweisen eingesteht, durch die wichtige Dateien einem Risiko ausgesetzt werden, deutet auf ein echtes Problem in den Unternehmen hin“, kommentiert Manfred Müller, Head of Sales bei TeamViewer. „TeamViewer ist bestrebt, mit airbackup die beste Lösung zum Schutz wichtiger Unternehmensdaten bereitzustellen und mit einem einfach zu benutzenden, wirksamen sowie äußerst sicheren Online-Datensicherungssystem, das eine mühelose Automatisierung der Datensicherung ermöglicht, Kosten zu sparen.“

airbackup von TeamViewer unterstützt Organisationen beim Schutz ihrer Geschäftsdaten, ohne den Einsatz einer lokalen Sicherungsinfrastruktur. airbackup verwendet die BackupBoost Technologie, d.h., extrem schnelle und effektive Datenanalyse, Deduplizierung und leistungsstarke Komprimierung. airbackup führt inkrementelle Sicherungen auf Blockebene durch, so dass nur geänderte und neue Datenblöcke übertragen werden. Die Aufbewahrungsfrist aller gelöschten Dateien garantiert, dass Angestellte nicht besorgt sein müssen, wenn sie versehentlich eine Datei löschen. airbackup beinhaltet zudem maximale Sicherheit: Die 256-Bit AES-Verschlüsselung arbeitet mit einem persönlichen Schlüssel, den Anwender während des Setups erzeugen, um sicher zu stellen, dass die Daten jederzeit vor unberechtigtem Zugriff gesichert sind. Der Hersteller verspricht, das alle Daten vor dem Datentransfer lokal verschlüsselt werden, damit niemand – nicht einmal die airbackup-Supporttechniker – darauf zugreifen kann.

Weitere Informationen zum Thema: 

airbackup by Teamviewer
Download airbackup

[datensicherheit.de, 11.01.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist aus gegebenem Anlass auf eine kritische Schwachstelle in der aktuellen  Java-Laufzeitumgebung, Version 7 Update 10 hin. Die Schwachstelle ist bereits  in weitverbreiteten Exploit-Kits vorhanden und kann somit massiv und relativ einfach ausgenutzt werden. Aufgrund der Schwachstelle kann auf betroffenen Systemen beim Besuch einer manipulierten Webseite fremder Code ausgeführt und so beispielsweise der Rechner des Nutzers von Cyber-Kriminellen ausspioniert oder übernommen werden.

Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers gibt es derzeit nicht! Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.

Seit Veröffentlichung von Java 7 Update 10 können die Java-Web-Plugins über die Java-Steuerung deaktiviert werden. Für einzelne Browser findet sich unter Windows in der Systemsteuerung unter „Java“ auf dem Reiter „Sicherheit“ die Option „Java Content im Browser aktivieren“, bei der das entsprechende Häkchen nicht gesetzt sein sollte. Darüber hinaus hat das BSI Hinweise zur Deaktivierung der Plugins in den gängigen Browsertypen auf seiner Webseite unter  https://www.bsi-fuer-buerger.de/ContentBSIFB/WissenswertesHilfreiches/Service/Aktuell/Meldungen/Sicherheitsluecke-in-Java-Version_29082012.html veröffentlicht.

Nicht betroffen ist nach derzeitigem Erkenntnisstand des BSI die Java-Laufzeitumgebung Version 6. Sobald ein Sicherheitsupdate des Herstellers für die Version 7 vorliegt, wird das BSI darüber informieren.

[datensicherheit.de, 14.11.2012] Trend Micro warnt vor einer kritischen Sicherheitslücke in dem beliebten Voice-over-IP-Dienst Skype. Wie The Next Web und The Register berichten, können Cyberkriminelle Nutzerkonten übernehmen, ohne diese vorher hacken zu müssen. Sie müssen nur ein neues Konto anlegen und mit der E-Mail-Adresse des Opfers verknüpfen. Durch einen Fehler im Prozess für das Zurücksetzen von Passwörtern können die digitalen Gangster das Passwort für das Skype-Konto, das der missbrauchten E-Mail-Adresse ursprünglich zugeordnet ist, gegen ein neues austauschen – und das Konto ist übernommen.
Die Methode wurde offenbar schon vor drei Monaten zum ersten Mal auf einem russischen Online-Forum beschrieben. Und erst gestern hat derselbe Autor auf einer anderen Website berichtet, dass die Sicherheitslücke noch immer nicht geschlossen sei und wohl viele Skype-Nutzer, darunter auch zahlreiche aus seiner eigenen Kontaktliste, dem üblen Trick zum Opfer gefallen seien.
Der Trend Micro-Sicherheitsexperte Rik Ferguson hat die Methode getestet – selbstverständlich mit fingierten Daten – und kommt zu dem Ergebnis, dass sich Skype-Konten so innerhalb weniger Minuten übernehmen lassen.

Microsoft ist bereits über den Vorfall informiert und hat als kurzfristige Reaktion darauf die Seite für das Zurücksetzen des Passworts auf Skype gesperrt.

[datensicherheit.de, 17.09.2012] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte,  kritische Schwachstelle im Browser Microsoft Internet Explorer hin. Betroffen  sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet  verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist.  Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine  präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.
Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar. Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen  alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat. Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung.  Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.