Von unserem Gastautor Christoph Linden, Field Technical Director bei Cohesity

[datensicherheit.de, 27.01.2026] Knapp die Hälfte der Führungskräfte in Deutschland besitzt volles Vertrauen in ihre Resilienzstrategien. Doch mehr als die Hälfte der deutschen Unternehmen hat in den letzten 12 Monaten einen schwerwiegenden Cyberangriff erlebt – meist mit gravierenden finanziellen und betrieblichen Auswirkungen. Das zeigt eine wachsende Kluft zwischen wahrgenommener Bereitschaft und nachgewiesener Reaktionsfähigkeit.

Christoph Linden, Field Technical Director bei Cohesity, Bild: Cohesity

Für die Studie „Risikobereit oder risikogefährdet: Die Kluft in der Cyberresilienz“ hat Cohesity 400 Entscheidungsträger aus dem IT- und Sicherheitsbereich in Deutschland und insgesamt 3.200 weltweit befragt. Demnach kann die „typisch deutsche“ Skepsis sogar zu mehr Sicherheit beitragen. Während weltweit für 37 % der Befragten die Einführung von GenAI-Tools in ihren Unternehmen deutlich schneller voranschreitet, als sie es für sicher halten, sind es in Deutschland nur 29 %. Dafür:

• haben in Deutschland nur 52 % der börsennotierten Unternehmen nach einem Angriff ihre Gewinn- oder Finanzprognosen revidiert, weltweit waren es 70 %.
  verzeichneten in Deutschland 45 % spürbare Auswirkungen auf ihren Aktienkurs, weltweit 68 %.
• mussten von den nicht börsennotierten Firmen in Deutschland 62 %, weltweit 73 %, Budget von Innovation und Wachstum zu Wiederherstellung und Behebung umleiten.
• büßten in Deutschland 31 % und weltweit 36 % der Unternehmen zwischen 1 und 10 % ihres Jahresumsatzes durch Cyberattacken ein.

Schwerwiegende Cyberangriffe sind keine Einzelfälle

Obwohl die Folgen etwas geringer waren als im weltweiten Vergleich, haben 81 Prozent der deutschen Unternehmen Lösegeld für Ransomware bezahlt – durchschnittlich 1,2 Millionen Euro pro Vorfall. 89 Prozent sahen sich mit rechtlichen oder regulatorischen Konsequenzen konfrontiert, darunter Geldstrafen und Gerichtsverfahren. Das zeigt: Eine allgemeine Vorsicht vor neuen, noch unzureichend getesteten Technologien genügt nicht, um sich vor den Folgen von Cyberangriffen zu schützen. Zudem beeinträchtigt ein Hinterhinken bei Innovationen die internationale Wettbewerbsfähigkeit.

Bislang schützen sich Unternehmen meist mit Lösungen für Prävention und Erkennung. Doch im Zuge immer neuartiger KI-basierter Angriffe müssen sie auch unbekannte Bedrohungen berücksichtigen. Hier ist klar: Einen hundertprozentigen Schutz gibt es nicht. Daher ist es heutzutage entscheidend, wie schnell und effektiv Unternehmen auf einen erfolgreichen Angriff reagieren, sich davon erholen sowie Märkte, Aufsichtsbehörden und Kunden nach einem Vorfall wieder beruhigen können.

Mehr Automatisierung zur Erkennung, Reaktion und Wiederherstellung

63 % der befragten deutschen Unternehmen ziehen aus früheren Angriffen als wichtigste Lehre, dass sie mehr Automatisierung in den Bereichen Erkennung, Reaktion und Wiederherstellung benötigen, um Ihre IT-Sicherheit aktiv und systematisch zu stärken. Während weltweit bereits 44 % der Angriffe automatisch entdeckt und verifiziert werden, sind es in Deutschland nur 35 %. Automatisierte Erkennung schützt effizienter vor Angriffen und Ransomware – und damit auch vor Lösegeldzahlungen.

Im Bereich Backup und Recovery umfasst Automatisierung das schnellstmögliche Initialisieren eines Clean Rooms für die Forensik, die Überleitung in den Staging-Bereich bis hin zur Minimum Viable Company, die in der kritischen Angriffsphase essenzielle Geschäftsfunktionen und die dafür benötigte Infrastruktur aufrechterhält. Dies reduziert mögliche Schäden und die Wiederherstellungszeit wesentlich.

Zudem ist der Einsatz von GenAI beim Thema Cybersicherheit Pflicht, wie Unternehmen auch erkannt haben: Bis Ende 2026 beabsichtigen 99 % der deutschen Unternehmen, KI in ihren Datensicherheitsmaßnahmen einzusetzen. 41 % erwarten, dass KI bis Ende 2026 eine zentrale Rolle bei Erkennung und Reaktion einnehmen und sogar autonome Entscheidungen treffen wird. Somit entwickelt sich KI vom Assistenten zum operativen Eckpfeiler der Cyberresilienz, der Geschwindigkeit, Präzision und Vertrauen bei Erkennung, Reaktion und Wiederherstellung verbessert.

Die größten Herausforderungen und wichtigsten Aufgaben

Damit lassen sich die drei größten Herausforderungen im Bereich Cybersicherheit bewältigen: der höhere Druck durch gestiegene Strafzahlungen und Management-Haftung im Rahmen von NIS2, immer gezieltere sowie KI-basierte Angriffe auch auf Backups sowie die Erstellung und Einübung von Notfallplänen für Worst-Case-Szenarien.

Dabei sind die aus Cybersicherheitsperspektive wichtigsten Trends der kommenden Jahre zu berücksichtigen:

• Ransomware-as-a-Service (RaaS) entwickelt sich zum häufig genutzten Tool, da es sich auch ohne Programmierkenntnisse einsetzen lässt und die Hürde für Cyberkriminalität auf fast Null senkt.
• Cyberkriminelle verwenden neben generativer KI, die Texte oder Code schreibt, zunehmend Agentic AI, die auch Handlungen ausführt und damit das Bedrohungspotenzial durch automatisierte Prozessketten massiv verschärft.
• Gleichzeitig werden die in Unternehmen eingesetzten KI-Anwendungen verstärkt zum Ziel von Angriffen, weil sie schneller eingeführt als ausreichend abgesichert werden.

Die Führungsebene muss daher dafür sorgen, dass mehr Budget für die Reaktion auf erfolgreiche Angriffe zur Verfügung steht. Denn selbst die besten Maßnahmen für Erkennung und Abwehr reichen alleine nicht mehr aus. Auch unveränderliche Backups sowie eine weitgehend automatisierte, schnelle und saubere Wiederherstellung der Daten und Systeme müssen heute gewährleistet sein. Dabei sollten sich Unternehmen gezielt auf den Ernstfall vorbereiten und diesen regelmäßig einüben, um schnell wieder arbeitsfähig zu sein und nicht in Chaos zu versinken. Zudem benötigen Unternehmen ein Echtzeit-Datenmanagement, um die extrem kurzen Meldefristen der NIS2 und DSGVO einzuhalten sowie Haftungsrisiken für die Geschäftsführung zu vermeiden.

Fazit

Die Intensität der Angriffe nimmt weiter zu – und irgendwann wird jedes Unternehmen zum Opfer. Mit diesem Fünf-Punkte-Aktionsplan können sie ihre Cyberresilienz optimieren: alle Daten schützen, sicherstellen, dass Daten stets wiederherstellbar sind, Bedrohungen erkennen und untersuchen, Anwendungsresilienz trainieren und das Datenrisiko kontinuierlich optimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit

[datensicherheit.de, 19.12.2025] Auch MetaCompliance, ein auf „Human Risk Management“ spezialisiertes Unternehmen für IT-Sicherheitstrainings, wirft einen Blick in das bevorstehende Jahr, 2026, und auf menschliches Fehlverhalten. Andy Fielder, CTO bei MetaCompliance, empfiehlt in diesem Zusammenhang einen klareren Überblick über die organisatorische Verteidigung eines jeweiligen Unternehmens sowie die Priorisierung individueller Sicherheitstrainings für einzelne Mitarbeiter.

Foto: MetaCompliance

Andy Fielder: Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler!

Um menschliche Fehler zu minimieren, müssen Unternehmen über reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen

Fielder kommentiert: „Eine der größten Sicherheitsherausforderungen für 2026 ist die Minimierung menschlicher Fehler. 2025 war geprägt von einem Anstieg der Bedrohungen und intelligenteren Methoden zur Identifizierung von Schwachstellen.“ Das Risikomanagement im Zusammenhang mit menschlichen Fehlern habe jedoch nicht Schritt gehalten.

• Technische Kontrollen wie „Endpoint Security“ (EDR), „Device Compliance“ (MDM), Datenschutz und „Security Information and Event Management“ (SIEM)-Systeme seien leistungsfähiger geworden und würden Angreifer dazu zwingen, sich darauf zu konzentrieren, Mitarbeiter durch Tricks zum Anklicken schädlicher Links und zur Weitergabe sensibler Informationen zu verleiten.

„Um menschliche Fehler im Jahr 2026 zu minimieren, müssen Unternehmen über die reine Abarbeitung von Sicherheitsmaßnahmen hinausgehen und stattdessen einen personalisierten Ansatz für das individuelle Risiko verfolgen!“, so Fielder.

Lernprozesse genau dann anstoßen, wenn ein Mensch riskante Aktivitäten ausführt

Dies bedeute die Integration externer Datenquellen in bestehende Plattformen zur Sensibilisierung für Sicherheitsthemen, um das tatsächliche Risikoprofil eines Benutzers zu analysieren. Organisationen könnten diese Daten nutzen, um zu erkennen, ob ein Mitarbeiter aufgrund seines Verhaltens oder seiner Zugriffsrechte ein höheres Sicherheitsrisiko darstellt.

• Dies ermögliche es der Sicherheitsplattform, Lernprozesse genau dann anzustoßen, wenn jemand riskante Aktivitäten ausführt – und um so das Sicherheitsbewusstsein von einem reaktiven zu einem proaktiven Ansatz zu entwickeln. „Für den CISO und sein Team bieten die Daten zudem die Möglichkeit, die Verbesserung ihrer Abwehrmechanismen zu überprüfen“, erläutert Fielder.

Erkenntnisbasiertes Risikomanagement könne Sicherheitsteams Risikoprofile für das Unternehmen, Abteilungen und bis hin zur individuellen Ebene bereitstellen. So könne das Unternehmen nachverfolgen, ob Risiken steigen oder sinken. Fielders Fazit: „Ein klarer Überblick über die organisatorische Verteidigung des Unternehmens und die Priorisierung von Sicherheitsmaßnahmen für die Mitarbeiter werden im Jahr 2026 von entscheidender Bedeutung sein.“

Weitere Informationen zum Thema:

MetaCompliance
Über uns: Die Zukunft des menschlichen Risikomanagements gestalten / Bei MetaCompliance verwandeln wir menschliches Risiko in Widerstandsfähigkeit. Durch die Kombination von Personalisierung, Innovation und menschlicher Unterstützung liefern wir Lösungen für das Sicherheitsbewusstsein und die Einhaltung von Vorschriften, die nicht einfach nur Kästchen abhaken, sondern dauerhafte Verhaltensänderungen bewirken.

MetaCompliance, Company News, 05.09.2025
MetaCompliance Appoints Andy Fielder as Chief Technology Officer

MetaCompliance
Warum MetaCompliance? Wir gehen über das Abhaken von Schulungen hinaus. Unsere Plattform für das menschliche Risikomanagement und unsere Lösungen für das Sicherheitsbewusstsein sind darauf ausgerichtet, Verhaltensweisen zu ändern, Risiken zu verringern und eine dauerhafte Veränderung der Unternehmenskultur zu bewirken – und das alles, während Sie Zeit sparen und Ihr Unternehmen schützen.

datensicherheit.de, 18.12.2025
Bekämpfung von KI-gestütztem Social Engineering: KnowBe4 stellt Deepfake-Training bereit / KnowBe4 hat als Anbieter einer weltweit renommierten Plattform, welche sich umfassend mit „Human Risk Management“ und agentenbasierter KI befasst, nun eine Deepfake-Schulung eingeführt

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 20.06.2025
Cybersicherheit geht alle an: Interaktive Trainingsplattform CyberALARM für Unternehmen vorgestellt / Mit „CyberALARM“ soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 26.05.2025] Mit ihren weitreichenden Berechtigungen, statischen Anmeldedaten und uneingeschränkten Anmelderechten gehören Administrator- und Dienstkonten zu den leistungsstärksten Ressourcen im Netzwerk – und zu den am schwierigsten zu schützenden. Laut einer Studie von IBM waren fast ein Drittel aller Cybervorfälle im Jahr 2024 identitätsbasierte Angriffe, bei denen gültige Konten verwendet wurden. Die Verwaltung von Zugriffsrechten ist jedoch bekanntermaßen komplex, sodass diese Konten oft Sicherheitslücken hinterlassen, die groß genug sind, dass Angreifer sie ausnutzen können.

Gründe für die Anfälligkeit von privilegierte Konten

Kay Ernst von Zero Networks erklärt, warum privilegierte Konten so anfällig sind, wie Angreifer Schwachstellen ausnutzen und wie Unternehmen diese sichern können, ohne den Betriebsaufwand oder den manuellen Arbeitsaufwand zu erhöhen.

Kay Ernst, Regional Sales Manager DACH, Zero Networks, Bild: Zero Networks

Ein privilegiertes Konto ist jede Identität – menschlich oder maschinell – mit erhöhten Zugriffsrechten auf Systeme, Daten oder Verwaltungsfunktionen. Diese Konten sind der Schlüssel zum Königreich und ermöglichen es Benutzern oder Anwendungen, Einstellungen zu konfigurieren, Identitäten zu verwalten und auf sensible Umgebungen zuzugreifen. Privilegierte Konten gibt es in unzähligen Kategorien, aber einige der häufigsten sind Admin- und Dienstkonten.

• Admin-Konten
  Diese Konten gewähren Benutzern erweiterte Berechtigungen für Betriebssysteme, Anwendungen oder die Infrastruktur, oft mit lokalen oder Domain-weiten Administratorrechten. Admin-Konten werden routinemäßig für Wartungsarbeiten, Patches oder IT-Support verwendet, aber aufgrund ihrer weitreichenden Berechtigungen sind Admin-Konten immer nur einen Schritt davon entfernt, Angreifern einen Allzugang zum Netzwerk zu verschaffen.
• Service-Accounts/Dienstkonten
  Dienstkonten sind nicht-menschliche Identitäten, die für Verbindungen zwischen Maschinen verwendet werden und Anwendungen und Diensten die Interaktion mit anderen Systemen ermöglichen. Sie sind für die Automatisierung von Geschäftsprozessen unerlässlich, werden jedoch bei Sicherheitsaudits oft übersehen – viele verfügen über statische Anmeldedaten, umfangreiche Berechtigungen und laufen rund um die Uhr, was sie zu einem heimlichen Angriffsvektor macht.
• Domain-Controller
  Domain-Controller (DCs) verwalten die Authentifizierung und Autorisierung in Active Directory (AD)-Umgebungen. Sie sind eine Kernkomponente der Identitätsinfrastruktur und werden häufig über privilegierte Konten verwaltet.
• Privilegierte Benutzerkonten
  Diese breitere Kategorie umfasst IT-Mitarbeiter, Entwickler, Systemarchitekten und sogar Auftragnehmer mit erhöhten Zugriffsrechten auf Produktionsumgebungen, Datenbanken oder Cloud-Workloads. Diese Benutzer sind zwar nicht unbedingt Domain-Administratoren, verfügen jedoch häufig über weitreichende Zugriffsrechte auf Systeme und Dienste.

Risiken privilegierter Konten: Herausforderungen bei der Sicherung von Administrator- und Dienstkonten

Forrester zufolge betreffen mindestens 80 Prozent aller Datenverletzungen privilegierte Konten – aber warum? Sie umgehen häufig Standard-Sicherheitskontrollen und nutzen ihre erweiterten Berechtigungen, um sich frei im Netzwerk zu bewegen. Mit anderen Worten: Privilegierte Konten sind eine Goldgrube für laterale Bewegungen – und sie sind in der Regel schwer effektiv zu sichern.

Administrator- und Dienstkonten machen Unternehmen aufgrund folgender Herausforderungen anfällig:

• Übermäßige Berechtigungen und fortlaufende Anmeldeberechtigungen: Viele Dienstkonten verfügen über übermäßige Berechtigungen als Domain-Administrator oder unternehmensweiten Zugriff, die für den Betrieb nicht erforderlich sind. Ebenso sind Administratorkonten mit ausstehenden Anmeldeberechtigungen ein bevorzugtes Ziel für Angreifer mit gestohlenen Anmeldedaten. Sobald diese übermäßigen Berechtigungen einmal eingerichtet sind, werden sie selten überprüft oder widerrufen.
• Hindernisse bei der Überwachung und Prüfung: Da Dienstkonten nicht von Menschen betrieben werden und in der Regel im Hintergrund laufen, sind sie bekanntermaßen schwer zu überwachen. Die Aktivitäten von Administrator- und Dienstkonten vermischen sich oft mit legitimen Netzwerkaktivitäten, was die Erkennung potenzieller Bedrohungen erschwert.
• Seltene Passwortänderung: Selbst im besten Fall werden die Anmeldedaten von Dienstkonten in der Regel nur vierteljährlich aktualisiert, wobei jährliche Aktualisierungen eher die Norm sind. Einige Unternehmen entscheiden sich aufgrund von betrieblichen Schwierigkeiten dafür, Anmeldedaten für Dienstkonten ohne Ablaufdatum festzulegen.

Wie Angreifer privilegierte Konten ausnutzen

Nachdem sie sich einen ersten Zugang zum Netzwerk verschafft haben, suchen Angreifer sofort nach privilegierten Konten. Sie wissen, dass sie mit den richtigen Anmeldedaten ihre Berechtigungen erweitern und sich ungehindert seitlich bewegen können.

Zu den gängigen Angriffstechniken, die von kompromittierten privilegierten Konten verwendet werden, gehören:

• Living off the Land: Verwendung nativer Tools wie PowerShell und WMI, um sich unbemerkt im Netzwerk zu bewegen
• Credential Dumping: Extrahieren gespeicherter Hashes oder Klartext-Passwörter
• Pass-the-Hash oder Pass-the-Ticket: Wiederverwenden gestohlener Anmeldedaten
• Service-Account-Hijacking: Missbrauch falsch konfigurierter oder unüberwachter Dienstkonten, um auf weitere Systeme zuzugreifen

Sobald ein privilegiertes Konto kompromittiert ist, können Angreifer Sicherheitskontrollen deaktivieren, Daten exfiltrieren, Ransomware einsetzen oder Domain-Controller kompromittieren. Das alles kann erfolgen, während die Angreifer als legitime Benutzer erscheinen.

Sichern von Administrator- und Dienstkonten: Best Practices

Das Sperren privilegierter Konten erfordert mehr als nur Passwort-Hygiene und Audits. Es erfordert proaktive Echtzeitkontrollen, die sowohl einschränken, wer sich anmelden kann, als auch, was Konten tun können.

• MFA auf Netzwerkebene anwenden
  Herkömmliche MFA schützt Anmeldeportale auf der Anwendungsebene, sodass viele Ressourcen innerhalb des Netzwerks ungeschützt bleiben. MFA auf Netzwerkebene erzwingt eine Just-in-Time-Identitätsprüfung, sobald privilegierte Konten versuchen, auf sensible Systeme zuzugreifen. Auf diese Weise bleiben privilegierte Ports geschlossen, bis der Zugriff in Echtzeit überprüft wurde, wodurch übermäßige Administratorrechte vermieden werden.
• Erzwingen des Zugriffs mit geringsten Rechten durch Identitätssegmentierung
  Durch die Beschränkung des Zugriffs auf der Grundlage der genehmigten Aktionen eines Kontos oder der erforderlichen Ressourcen und Anmeldetypen erzwingt die Identitätssegmentierung automatisch den Zugriff mit geringsten Rechten und beschränkt Administrator- und Dienstkonten auf das für den legitimen Geschäftsbetrieb erforderliche Maß. Dadurch werden Passwortrotationen und übermäßige Berechtigungen weitgehend überflüssig und viele Angriffsvektoren wie Pass the Ticket, Golden Ticket, Kerberoasting und andere Angriffe zur Sperrung lateraler Bewegungen eliminiert.
• Automatische Erkennung von Dienstkonten
  Dienstkonten verursachen häufig Schwachstellen, die unnötige Risiken mit sich bringen. Lösungen, die das gesamte Netzwerkverhalten überwachen, können Dienstkonten automatisch erkennen und kategorisieren, sodass Unternehmen ohne zusätzlichen manuellen Aufwand vollständige Transparenz über die Aktivitäten von Dienstkonten erhalten.
• Schutz privilegierter Protokolle
  Protokolle wie RDP, SMB und SSH, die für den Fernzugriff auf Systeme verwendet werden, werden häufig als Vektoren für laterale Bewegungen ausgenutzt. Unternehmen sollten diese Ports standardmäßig schließen und sie nur nach Überprüfung des Zugriffs mit Echtzeit-MFA öffnen.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2019
Thycotic-Umfrage: PAM wandert in die Cloud

[datensicherheit.de, 30.04.2025] Trend Micro veröffentlicht eine neue Studie, die eine besorgniserregende Diskrepanz zwischen dem Erkennen von Angriffsrisiken und dem Einsatz spezieller Tools zur Bewältigung dieses Risikos aufzeigt.

Die globale Studie unter mehr als 2.000 Cybersecurity-Führungskräften weltweit ergab, dass 73 Prozent von ihnen bereits Sicherheitsvorfälle aufgrund von unbekannten oder nicht verwalteten Assets erlebten. Für Deutschland ist der Anteil mit 65 Prozent der Befragten etwas geringer. Die Zahl solcher Assets ist mit der Verbreitung generativer KI und der damit verbundenen höheren Komplexität sowie der ständig wachsenden Zahl von IoT-Geräten rapide angestiegen.

Management der Assets wirkt sich auf das Geschäftsrisiko aus

Infolgedessen bestätigen 91 Prozent der Befragten weltweit und 89 Prozent in Deutschland, dass sich das Management der Angriffsfläche auf das Geschäftsrisiko ihres Unternehmens auswirkt. Ein großer Teil der Befragten erkennt zudem, dass ein fehlendes Risikomanagement für exponierte Assets erhebliche negative Auswirkungen haben kann, die über unmittelbare Sicherheitsbedrohungen hinausgehen.

Unter anderem nennen sie negative Folgen für folgende Bereiche:

• Betriebliche Kontinuität (40 Prozent in Deutschland, 42 Prozent weltweit)
• Wettbewerbsfähigkeit (40 Prozent in Deutschland, 39 Prozent weltweit)
• Kundenvertrauen und Markenreputation (38 Prozent in Deutschland, 39 Prozent weltweit)
• Lieferantenbeziehungen (36 Prozent in Deutschland, 39 Prozent weltweit)
• Mitarbeiterproduktivität (32 Prozent in Deutschland, 38 Prozent weltweit)
• Finanzielle Performance (31 Prozent in Deutschland, 38 Prozent weltweit)

Wie die Studie zeigt, verwenden trotz dieser offensichtlichen Erkenntnis nur 36 Prozent der Unternehmen in Deutschland (43 Prozent weltweit) spezielle Tools für ein proaktives Risikomanagement ihrer Angriffsfläche. Mehr als die Hälfte (58 Prozent) gibt an, dass sie über keine Prozesse verfügen, um dies kontinuierlich zu tun. Das wäre jedoch notwendig, um Risiken proaktiv zu mindern und einzudämmen, bevor sie den Betrieb beeinträchtigen.

Im Durchschnitt sind nur 24 Prozent der Cybersecurity-Budgets in Deutschland (27 Prozent weltweit) für das Management von Angriffsflächenrisiken vorgesehen. Beinahe drei Viertel (73 Prozent) der deutschen Unternehmen geben an, dass ihre derzeitigen Ressourcen für die Bewältigung dieser Herausforderungen ausreichend sind – global sind es mit 77 Prozent etwas mehr.

Kevin Simzer, COO bei Trend Micro, Bild: Trend Micro

„Bereits 2022 waren Unternehmen weltweit besorgt, dass die Angriffsfläche für Cyberangriffe außer Kontrolle gerät. Heute ist die Herausforderung noch dringlicher“, weiß Kevin Simzer, COO bei Trend Micro. „Die meisten Unternehmen sind sich zwar der Auswirkungen auf das Geschäftsrisiko bewusst, aber nur wenige ergreifen proaktive Sicherheitsmaßnahmen, um das Risiko kontinuierlich zu mindern. Das Management von Cyberrisiken sollte für alle Unternehmen oberste Priorität haben.“

Über die Studie

Trend Micro beauftragte Sapio Research mit der Befragung von 2250 Personen, darunter 100 aus Deutschland, die für IT und/oder Cybersicherheit verantwortlich sind – über verschiedene Branchen, Unternehmensgrößen und 21 Länder in Europa, Nordamerika und APAC hinweg. Befragung im Februar 2025.

Weitere Infiormationen zum Thema:

Trend Micro
AI is Changing the Cyber Risk Game. Are You Keeping Up?

[datensicherheit.de, 07.12.2023] BlueVoyant veröffentlicht die Ergebnisse der vierten Ausgabe seiner jährlichen globalen Umfrage zum Cyber-Risikomanagement in der Lieferkette. Die Studie für das Jahr 2023 zeigt, dass die Zahl der Cyberangriffe auf die Lieferketten von Unternehmen weiter ansteigt, wobei in diesem Jahr durchschnittlich 4,16 Angriffe gemeldet werden, die sich negativ auf den Geschäftsbetrieb auswirken – ein Anstieg um 26 % gegenüber der durchschnittlichen Zahl von 3,29 Angriffen im Jahr 2022.

„Angriffe auf externe Anbieter und Partner sind eine ständige Bedrohung“, sagt Joel Molinoff, Global Head of Supply Chain Defense bei BlueVoyant. „Unsere Daten deuten darauf hin, dass das Ausmaß des Problems zunimmt, da immer mehr Unternehmen und Zulieferer Opfer von Cyberangriffen werden. Das Problem ist den Organisationen bewusst, aber der Standardansatz für das Risikomanagement von Drittanbietern erweist sich als unzureichend. Die Unternehmen müssen jetzt ihre Energien auf Methoden konzentrieren, die proaktiv die Risiken in der Lieferkette beleuchten und reduzieren.“

Zunahme der Sicherheitsverletzungen in den Lieferketten trotz Cyber-Risikomanagement

In allen Branchen, mit Ausnahme des Bereichs Finanzdienstleistungen, stieg die Zahl der Sicherheitsverletzungen in den Lieferketten, die sich negativ auf das Unternehmen auswirkten. Trotz der Aussage der Umfrageteilnehmer, dass das Cyber-Risikomanagement in der Lieferkette eine strategische Priorität darstellt, nehmen die Sicherheitsverletzungen zu.

Zu den wichtigsten Ergebnissen der Untersuchung gehören: 

• Erhöhte Überwachungsfrequenz von Risiken: 47 % der Befragten werden ihre Lieferkette im Jahr 2023 monatlich oder öfter auf Cyberrisiken überwachen, verglichen mit 41 % im Jahr 2022.
• Verstärkter Einsatz von KI: Das Thema der Künstlichen Intelligenz ist auf dem Technologiemarkt sehr präsent, einschließlich der Nutzung von KI für die Cyberabwehr, aber auch im Hinblick auf die Nutzung von KI durch Cyberkriminelle, um Unternehmen anzugreifen. Die Befragten gaben an, dass sie wahrscheinlich KI zur Überwachung ihrer digitalen Lieferkette einsetzen werden, sich aber lieber auf eine Kombination aus KI und menschlichen Analysten verlassen wollen. Mehr als die Hälfte (55 %) gab an, dass sie die Automatisierung nur zur Verwaltung bestimmter Aspekte ihres Cyberrisikos gegenüber Drittanbietern nutzen.
• Erhöhte Budgets und Ressourcen: 85 % der Befragten gaben an, dass ihr Budget für Cyberrisiken von Drittanbietern in den letzten zwölf Monaten aufgestockt wurde, wobei 51 % angaben, dass sie zusätzliche interne Ressourcen bereitstellen werden, und 46 % wahrscheinlich externe Ressourcen hinzuziehen werden.
• Verstärkte Unterweisungen der Geschäftsleitung: 44 % der Befragten gaben an, die Geschäftsleitung im Jahr 2023 monatlich oder öfter zu informieren, verglichen mit 38 % im Jahr 2022.

Trotz der verstärkten Aufsicht und regelmäßigeren Überwachung hat sich ein ernstzunehmendes Problem herausgestellt: Anbieter in der Lieferkette müssen dazu gebracht werden, Risiken rechtzeitig zu beseitigen, nachdem sie auf eine Schwachstelle oder ein Sicherheitsproblem aufmerksam gemacht wurden. Nur 19 % der Befragten arbeiten aktiv mit ihren Zulieferern zusammen, um sicherzustellen, dass die Probleme behoben werden. Der Rest verlässt sich hauptsächlich darauf, dass die Zulieferer das Problem beheben, und setzt sich damit Risiken aus.

„Angesichts der nicht enden wollenden Schlagzeilen und behördlichen Auflagen, die die Aufmerksamkeit auf Cyberrisiken in der Lieferkette lenken, ist es schwer zu ignorieren, wie wichtig es ist, die richtigen Schutzmaßnahmen zu ergreifen“, so Brendan Conlon, Chief Operating Officer von BlueVoyant’s Supply Chain Defense. „Unternehmen sollten ihre aktuellen Ansätze überprüfen und Möglichkeiten zur Steigerung der Effizienz und der kontinuierlichen Abdeckung identifizieren – nicht nur bei der Erkennung von neu auftretenden Schwachstellen und Risiken, sondern auch bei der schnellen Beseitigung von Bedrohungen in Zusammenarbeit mit betroffenen Drittunternehmen.“

Die Studie wurde vom unabhängigen Marktforschungsunternehmen Opinion Matters durchgeführt und erfasste die Ansichten und Erfahrungen von 2.100 (300 davon in DACH) Chief Technology Officers (CTOs), Chief Security Officers (CSOs), Chief Operating Officers (COOs), Chief Information Officers (CIOs), Chief Info Security Officers (CISOs) und Chief Procurement Officers (CPOs), die für die Lieferkette und das Cyber-Risikomanagement in Unternehmen mit mehr als 1.000 Mitarbeitern aus einer Reihe von Branchen verantwortlich sind. Dazu gehören: Unternehmensdienstleistungen, Finanzdienstleistungen, Gesundheitswesen und Pharmazie, Fertigung, Versorgungsunternehmen und Energiewirtschaft sowie die Verteidigungsindustrie. Die Studie umfasst 11 Länder: USA, Kanada, Deutschland, Österreich, Schweiz, Frankreich, die Niederlande, das Vereinigte Königreich, Australien, die Philippinen und Singapur. Die vorangegangene Studie aus dem Jahr 2022 wurde ebenfalls von Opinion Matters durchgeführt.

Weitere Informationen zum Thema:

BlueVoyant
Forschungsbericht „The State of Supply Chain Defense: Annual Global Insights Report“

datensicherheit.de, 25.05.2022
Lieferkette im Visier: Cyber-Kriminelle missbrauchen Vertrauen zwischen Unternehmen

[datensicherheit.de, 18.09.2023] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg vertreten durch it’s.BB e.V. lädt wieder zu einer in Kooperation mit der IHK Berlin organisierten „Awareness-Veranstaltung“ ein – diesmal zum Thema „KRITIS und Risikomanagement“:

Abbildung: it’s.BB e.V.

Einladung zur Awareness-Veranstaltung zum Thema KRITIS und Risikomanagement

KRITIS-Betreiber müssen Bedrohungen und Gefährdungen rechtzeitig identifizierten

Für die Betreiber Kritischer Infrastrukturen (KRITIS) ist es offensichtlich wichtig, sich bereits im Vorfeld von Ereignissen oder Vorfällen auf diese konzeptionell, planerisch und organisatorisch vorzubereiten – d.h. Bedrohungen und Gefährdungen rechtzeitig zu identifizierten.

Der eigene Schutzbedarf sollte dabei so berücksichtigt werden, dass Risikoanalysen zielgerichtet durchgeführt und die eigenen Risiken beurteilt (identifiziert, analysiert, eingeschätzt und bewertet) sowie behandelt werden können.

Effektives KRITIS-Risikomanagement entscheidend für Handlungsfähigkeit

Annahmen über die Eintrittswahrscheinlichkeit oder Plausibilität von Ereignissen, zur Verwundbarkeit und Kritikalität von Prozessen im Informationsverbund sowie zu erwartenden negativen Folgen inkl. Abschätzung des Schadensausmaßes können helfen, eine geeignete Risikobehandlung auszuwählen. „Zur Auswahl der Maßnahmen einer Risikobehandlung spielen auch Risikostrategien (Akzeptanz, Vermeidung, Verminderung, Auslagerung, usw.) eine wesentliche Rolle.“

Ein effektives Risikomanagement sei entscheidend, um handlungsfähig zu bleiben, Krisenlagen besser zu bewältigen und (Informationssicherheits-)Risiken angemessen zu steuern.

Einladung zu Hybridveranstaltung zum KRITIS-Risikomanagement

Das Seminar findet als Hybrid-Veranstaltung statt
am Mittwoch, dem 20. September 2023 von 16.00 bis 17.30 Uhr
online oder vor Ort (IABG mbH, Friedrichstraße 185, 10117 Berlin, im Haus E, 3. Etage)
Anmeldung erforderlich

Agenda (ohne Gewähr)

16.00-16.15 Uhr Begrüßung
Christian Köhler, Geschäftsführer der NKMG mbH & Vorstandsvorsitzender des it’s.BB e.V.
Henrik Holst, IHK Berlin

16.15-16.50 Uhr

• • Einleitung/Einführung KRITIS und Risikomanagement
  • Initiierung des Sicherheitsprozesses
  • Risikomanagement als Teil eines Gesamtprozesses
  • Methodiken und Ablauf einer Risikoanalyse
  • Praxisbeispiel
  • „Q&A“

Christian Köhler, NKMG mbH

16.50-17.30 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung (vor Ort oder online):

eventbrite (Präsenzveranstaltung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Teilnahme vor Ort

eventbrite (Web-Übertragung)
Mittwoch, 20. September / KRITIS und Risikomanagement – Online-Teilnahme

[datensicherheit.de, 18.05.2021] Cyber-Sicherheit sei mit der fortschreitenden Digitalisierung zum elementaren Faktor innerhalb des Risikomanagements moderner Unternehmen und Organisationen avanciert: „Angesichts einer Vielzahl potenzieller Gefahrenquellen für Daten und die digitale Infrastruktur muss der ,CISO‘ in der Lage sein, Risiken auf jeder Systemebene vom Server über die Systemsoftware bis hin zur einzelnen Anwendung zu identifizieren und zu managen.“ Die Herausforderung bestehe darin, Informationen über die Risikobewältigung auf Unternehmensebene zu kommunizieren, während gleichzeitig Risiken operativ ausgeschaltet und detaillierte Reaktionspläne auf Systemebene ausgeführt werden müssten. Um IT-Entscheider dabei zu unterstützen, hat Kudelski Security nach eigenen Angaben die entscheidenden Schritte in einem Leitfaden zusammengefasst:

1. 360-Grad-Sicht auf betriebliche IT: Kontext und Risiken identifizieren

Um eine wirksame Strategie für das Management von Cyber-Risiken zu erarbeiten, sei es unerlässlich, die Erwartungen der Stakeholder und der Geschäftsführung zu verstehen: „Erst im Lichte dessen, was Kunden, Lieferanten, Aufsichtsbehörden und Wettbewerber für eine Motivation und Herangehensweise an das Thema haben, wird eine 360-Grad-Sicht möglich.“ Dies schließe auch die grundsätzliche Haltung des Managements hinsichtlich Risikobereitschaft, Unternehmens- und Führungskultur sowie Marktstrategie mit ein.
„Nur wer seine Vermögenswerte lückenlos kennt – also auch die digitalen – kann gezielt und verlässlich Bedrohungen, Schwachstellen und Konsequenzen von Risikoszenarien bewerten.“ Beispielsweise biete die Richtlinie „NIST 800-30 Guide for Conducting Risk Assessments“ eine detaillierte Methodik zur Identifizierung und Bewertung von Cyber-Sicherheitsrisiken für Informationssysteme in den USA und diene zugleich als nützlicher Leitfaden für nicht-staatliche Einrichtungen. Ebenso leiste die Norm „ISO/IEC 27005 Information Security Risk Management“ wertvolle Unterstützung bei der Risikoidentifikation.

2. IT-Risikoanalyse: Risiken analysieren und bewerten

Überaus hilfreich sei es, die Wahrscheinlichkeit zu kennen, „mit der ein Risikoereignis eintritt, und die möglichen Konsequenzen“. Wenngleich dies primär eine Ermessensentscheidung sei, gebe es dennoch Techniken, welche bei der Risikoanalyse helfen könnten. Die gängigsten Ansätze seien der qualitative, „der auf der Zuweisung eines Wertes wie hoch, mittel oder gering basiert“ und der quantitative, „der einen numerischen Wert für die Auswirkungen, basierend auf statistischen Wahrscheinlichkeiten und monetären Werten von Verlusten oder Gewinnen zugrundelegt“.
Ein dritter Ansatz werde als semi-qualitativ bezeichnet und basiere auf der Zuweisung von numerischen Werten zu qualitativen Kategorien. Alle drei lieferten eine Grundlage dafür, ein Risikoprofil zu erstellen. Typischerweise würden die Risiken in einer Matrix dargestellt, um die Wahrscheinlichkeit und die Auswirkungen des Risikos abzubilden. Die Visualisierung von Risiken helfe Führungskräften und Geschäftsführern bei der Priorisierung entsprechender Gegenmaßnahmen.

3. IT-Sicherheitsinitiative: Reaktionsstrategien und geeignete Maßnahmen implementieren

Risikostrategien im IT-Sektor sollten so gestaltet sein, „dass die identifizierten Risiken den Rahmen nicht überschreiten, den die Risikobereitschaft und Risikotoleranz des Unternehmens setzen“. Ein wichtiger Teil dieser Bewertung sei es, die Kosten für die Gegenmaßnahmen zu bestimmen und diese mit dem potenziellen Verlust oder den Auswirkungen des eingetretenen Risikofalls zu vergleichen.
Üblicherweise werde eine der folgenden vier Reaktionsarten ausgewählt: akzeptieren, übertragen, abmildern oder vermeiden. Als Reaktion empfehle sich vielfach eine spezifische Sicherheitsinitiative oder ein Projekt, welches lösungsorientiert geplant und ausgeführt werden sollte. „Abgerundet werden sollte jeder Cybersecurity-Risikoprozess, egal wie er konkret beschaffen ist, durch regelmäßiges Monitoring und eine systematische Statusaktualisierung der Gegenmaßnahmen oder der Risikomerkmale.“

Weitere Informationen zum Thema:

datensicherheit.de, 22.08.2020
Microsoft 365: Auf diese Angriffsarten sollten Firmen verstärkt achten

NIST
Privacy Framework / NIST SP 800-30

KOMPASS Informationssicherheit und Datenschutz
ISO/IEC 27005 / Information Security Risk Management / Management von Informationssicherheitsrisiken

[datensicherheit.de, 19.10.2019] Guidewire Software, Inc., Anbieter einer Industrieplattform für Schaden- und Unfallversicherer, gibt die sofortige Verfügbarkeit des Modell-Updates der vierten Generation (Modell 4) für das Cyber-Risikomanagement in Guidewire CyenceTM bekannt. Die erweiterte Cyber-Ereignis-Risikomodellierungslösung beinhaltet ein neues Ereignis- und Modellbildungsszenario zur Abschätzung der Schadenursache infolge einer Massenbetriebsunterbrechung nach einer Ransomware-Attacke.

Cyberattacken werden fortschrittlicher als auch häufiger

Angriffe von Cyberkriminellen werden sowohl fortschrittlicher als auch häufiger. Im ersten Quartal 2019 wuchs die Anzahl von Ransomware-Angriffen um 118 Prozent. Es wurden zudem neue Arten von Ransomware mit immer innovativeren Techniken entwickelt[1]. Angreifer zielen auf immer größere Beutesummen ab. Aus diesem Grund sind Angriffe auf Unternehmen wesentlich lukrativer als auf Endverbraucher. Ransomware-Attacken lähmten im Jahr 2018 weltweit eine Vielzahl von kleinen und großen Unternehmen.

„Guidewire ist eines der führenden Unternehmen in der Cyber-Risikomodellierung. Wir entwickeln unsere Daten und Modelle ständig weiter, damit Versicherer die neuesten Cyber-Bedrohungen genauer erfassen und bewerten können“, sagt George Ng, Chief Technology Officer, Cyence Risk Analytics bei Guidewire Software. „Modell 4 bietet ein noch höheres Maß an Transparenz. Die Nutzer bekommen dadurch einen tieferen Einblick in das Modell, können modellierte Annahmen leichter identifizieren und Cyberrisiken und -Ereignisse besser aus monetären Gesichtspunkten und anhand von Wahrscheinlichkeiten nachvollziehen.“

Verbesserungen des Risikobewertungsmodells

Modell 4 beinhaltet neben der Einführung einer nach Unternehmensangaben fortschrittlichen Analytics-Modellierung für Ransomware zur Beobachtung aktueller Entwicklungen in der Cyber-Landschaft signifikante Verbesserungen des Risikobewertungsmodells, verbesserte Self-Service-Möglichkeiten und die Integration umfangreicher Schadenfalldaten sowie neuer Datenquellen. Die Weiterentwicklungen des Modell 4 erweitern die Parameter der Risikoevaluation um Akkumulationsereignisse für Ransomware. Sie bieten die Stabilität, Granularität und Rückverfolgbarkeit der Modellergebnisse für Risikomanager von Unternehmen. Das erlaubt diesen, Kapitalentscheidungen detaillierter treffen und erklären zu können. Durch einen umfassenden Überblick über die Cyber-Angriffsfläche können Versicherer ihr Security Management verbessern, angemessene Limits festlegen und das Vertrauen gewinnen, sich in diesem sich schnell verändernden Umfeld anzupassen und erfolgreich zu sein.

„Cyence für Cyber-Risikomanagement, Modell 4, bietet Versicherern hilfreiche neue Funktionen“, sagt Paul Mang, General Manager, Analytics and Data Services bei Guidewire Software. „Wir glauben, dass es Underwritern helfen wird, Ransomware-Risiken sicherer einzuschätzen, zu bewerten und neue Erkenntnisse für Portfoliomanager zu gewinnen, wenn sie ihre gesamten Cyber-Risiken verwalten.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.09.2019
Cyber-Versicherung als digitaler Rettungsring im Ernstfall

datensicherheit.de, 05.07.2019
Verborgene Cyberrisiken treffen Versicherer und Versicherte

datensicherheit.de, 30.05.2019
Fünf Tipps für Cyber-Versicherungs-Policen

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

[datensicherheit.de, 08.03.2019] „Die Zeiten, in denen das mit einem Lieferanten verbundene Risiko allein aufgrund der Finanzkennzahlen bewertet wurde, sind vorbei“, betont Kristen Jordeth, „GTM Director, Supplier Management Solutions“ bei SAP Ariba. Mit der zunehmenden Globalisierung sei ein völlig neues Maß an Transparenz und Einsicht erforderlich: Um das Risiko innerhalb der Lieferkette effektiv vorherzusagen und zu minimieren, bevor es verheerende Auswirkungen hat, benötigten Unternehmen einen klar definierten Prozesses. Dieses decke nicht nur Zahlen, sondern auch ein breites Spektrum von Risikokategorien ab – einschließlich rechtlicher, operativer, ökologischer, sozialer und regulatorischer Bedrohungen.

Folgende Schritte sind laut Jordeth für ein umfassendes Risikomanagement im Einkauf notwendig:

1. Proaktiv sein!
   „Es gibt bestimmte Risiken, die nicht kontrolliert werden können. Naturkatastrophen zum Beispiel“, erläutert Jordeth. Aber es gebe viele, die man kontrollieren könne. Dank Geschäftsnetzwerken und technologischer Fortschritte wie Künstlicher Intelligenz (KI), Maschinellem Lernen und „In-Memory“-Verarbeitung könnten Einkäufer beispielsweise Einblicke in die Praktiken ihrer Lieferanten gewinnen und diese Informationen schnell analysieren. Jordeth: „Dadurch stellen sie sicher, dass sie nur Geschäfte mit Partnern abwickeln, die nicht nur finanziell solide sind, sondern auch Standards einhalten und die Werte des eigenen Unternehmens teilen.“
2. Das Wichtigste an erster Stelle!
   Um das Beschaffungsrisiko effektiv zu managen, müssten sich Unternehmen zunächst über ihre Risikosituation im Klaren sein, so Jordeth: „Bevor sie mit einem Lieferanten zusammenarbeiten, sollte eine Analyse der Zahlungsfähigkeit und Stabilität erfolgen. Mit Hilfe von Business-Netzwerken, können Empfehlungen von anderen Käufern eingesehen werden.“ Die dort hinterlegten Informationen dienten auch zur Erstellung detaillierter Lieferanten-Risikoprofile, der Aufdeckung potenzieller Kategorie- und Branchenbedrohungen sowie der Erkennung von Lieferengpässen und Preisschwankungen zwischen Lieferanten und deren Zulieferern. Auf diese Weise seien Unternehmen immer einen Schritt voraus und können Störungen im Unternehmen vermeiden.
3. Das Ziel im Blick!
   Ähnlich wie die Leitsätze eines Unternehmens, seien auch die Risikomanagement-Initiativen mit Blick auf das Endziel eine wichtige Orientierungshilfe für Lieferanten. Für den Aufbau einer ethischen und nachhaltigen „Supply Chain“, sei eine klare Zieldefinition ausschlaggebend – zum Beispiel könnte sich die Partnerschaft mit Zulieferern rein auf jene beschränken, die sichere und nachhaltige Arbeitsbedingungen fördern oder umweltverträglich arbeiten.„Dadurch wird sichergestellt, dass keine Konfliktmineralien für die Herstellung von Produkten verwendet werden und dass faire Arbeitspraktiken in der globalen Lieferkette etabliert sind“, erläutert Jordeth.

Foto: SAP Ariba

Kristen Jordeth: „Mit Hilfe der modernen Technologien sind zukunftsorientierte Unternehmen heute in der Lage potenzielle Risiken erfolgreich zu erkennen und zu beseitigen, Verluste zu vermeiden und die Lieferkette nachhaltig auszubauen.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.09.2018
Risikomanagement senkt Gefahren durch Drittanbieter-Software

Von unserem Gastautor Dr. Johannes Bauer, Principal Security Advisor, UL

[datensicherheit.de, 19.09.2018] Mitte Juni 2018 meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Cyberangriff: Deutsche Unternehmen aus der Energiewirtschaftsbranche seien Ziel einer großangelegten weltweiten Cyber-Angriffskampagne. Eine solche Attacke kann wie 2015 in der Ukraine großflächige Stromausfälle zur Folge haben, sie ist allerdings nur die Spitze des Eisbergs.

Mehrere bekanntgewordene erfolgreiche Cyberangriffe

Bereits 2014 gab es einen gezielten Angriff auf ein deutsches Stahlwerk, sodass ein Hochofen nicht mehr abgeschaltet werden konnte. 2016 haben sich Unbekannte Zugang zum Swift-System der Banken verschafft und konnten 82 Millionen US-Dollar erbeuten. Im selben Jahr wurde bekannt, dass die Steuerungssysteme einiger Wasserwerke frei im Internet zugänglich waren.

Risiken in der Software-Lieferkette

Da Industriesteuerungen zumeist für Fernzugriffe eingerichtet sind, suchen Cyberkriminelle gezielt nach offenen Zugängen oder Sicherheitslücken in den Administrations-Tools. Solche Drittanbieter-Software wird von vielen Herstellern angeboten und von Unternehmen in großer Zahl eingesetzt. Beispiele sind Betriebssysteme, Standard-Software für die Produktionssteuerung, Office Anwendungen, Device Management Software, Webserver oder Browser.

Die meisten der heute genutzten Softwarepakete integrieren eine Vielzahl fremder Module und Codebibliotheken. Vor allem im Bereich des industriellen Internet der Dinge oder Industrie 4.0 erfüllen sie Aufgaben wie etwa den Aufbau von Verbindungen, die Übertragung und Verschlüsselung von Daten, die Ansteuerung von Sensoren oder Aktoren und vieles mehr. Unternehmen sind auf Produkte und Komponenten von Fremdherstellern angewiesen, sodass sie von bisher unbekannten Schwachstellen ausgehen müssen.

Sie werden für die Unternehmen zu einem Risiko, das eingeschätzt und durch geeignete Maßnahmen begrenzt werden muss. Zudem potenziert sich das Risiko, da die Softwareanbieter häufig ebenfalls Module von Dritten nutzen. Leider ist nicht immer auf Anhieb erkennbar, ob bekannte Sicherheitslücken auch tatsächlich geschlossen worden sind. Eine Software-Qualitätskontrolle ist in dieser Gemengelage schwierig, da es keine standardisierte Metrik für die Messung der Qualität von Cybersecurity-Maßnahmen gibt. Die Unternehmen müssen sich also auf die Anbieter verlassen oder eine eigene Bewertung durchführen.

Strategie für das Risikomanagement entscheidend

Entscheidend ist eine Strategie für das Risikomanagement zur Beurteilung und Kontrolle von Softwareprodukten und Drittanbieter-Komponenten. Eine große Hilfe dabei ist die Normenreihe UL 2900. Sie bietet einen effektiven und effizienten Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie Identifizierung von spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern. Mit ihrer Hilfe können Unternehmen einige allgemein anwendbare Prinzipien und Best Practices umsetzen, die in den folgenden Absätzen vorgestellt werden.

Best Practices für das Risikomanagement

• Sicherheitsvorgaben: Unternehmen sollten formale Sicherheitsvorgaben und-Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten und in Ausschreibungen oder Lieferantenvereinbarung aufgenommen werden sollten.
• Beschaffungsrichtlinie: Jedes Unternehmen kann in einer Beschaffungsrichtlinie Kriterien für die Aufnahme in das Lieferantenverzeichnis definieren. Entscheidend ist dabei eine unabhängige Validierung der Software von Drittanbietern für einen ausreichenden Schutz vor Sicherheitsmängeln und -lücken.
• Lieferantenprüfung: Jeder neue Lieferant in der Software-Lieferkette sollte zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt, mit denen die Sicherheitsrisiken seiner Software oder Komponente gesenkt werden. Regelmäßige Follow-up-Audits stellen sicher, dass Änderungen an der Software das Sicherheitsniveau erhalten.
• Software-Verifizierung: Regelmäßige Tests von Softwareprodukten und -Komponenten stellen sicher, dass die Sicherheitsregeln des Unternehmens eingehalten werden. Sie sollten dabei automatisiert sein, um das Risiko von Fehlern zu senken.
• Aktualisierungen: Das Unternehmen sollte formale Prozesse besitzen, mit denen eine regelmäßige Aktualisierung von Software-Anwendungen sichergestellt wird. Dazu gehört auch das Ausbringen von Security-Patches, um den Schutz vor neu identifizierten Bedrohungen sicherzustellen.
• Track & Trace-Programme: Mit Track & Trace-Programmen werden die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht. Dadurch ist ein effizienter Zugriff auf Updates und Patches möglich.
• Zugangsbeschränkungen: Einzelne Anbieter in der Software-Lieferkette sollten nur Informationen nach dem Need-to-Know-Prinzip (Kenntnis nur bei Bedarf) erhalten, so dass Angaben über die gesamte Softwarestrategie des Unternehmens sowie aktuelle oder geplante Systeme geschützt sind.
• Lieferantenrichtlinien: Hilfreich sind auch klare Richtlinien für die Anbieter mit eindeutig festgelegten Konsequenzen bei Nichteinhaltung der Vorgaben oder der Verwendung gefälschter Software.
• Mitarbeiterschulung: Alle Mitarbeiter sollten fortlaufend und regelmäßig geschult werden, so dass „Awareness“ für Sicherheitspraktiken erzeugt wird.

Diese Best Practices helfen Unternehmen zusammen mit den UL-Normen dabei, Sicherheitsrisiken durch Länge und Umfang der Software-Lieferkette weitgehend zu entschärfen.

Bild: UL

Dr. Johannes Bauer, Principal Security Advisor, UL

Johannes Bauer ist promovierter Informatiker und arbeitet als Principal Security Advisor bei UL in Frankfurt. Seit mehr als zehn Jahren beschäftigt er sich mit der IT-Security, insbesondere im Umfeld der Elektromobilität sowie der Smart-Home-Systeme. Er verfügt über detaillierte Kenntnisse im Hinblick auf physische Bedrohungen eingebetteter Systeme sowohl invasiv als auch non-invasiv und hat eine Vielzahl von Beiträgen über Mitigationsstrategien zu deren Bekämpfung veröffentlicht. Daneben führte er regelmäßig Workshops zum Thema angewandte Kryptographie sowie Bedrohungs- und Risikoanalysen durch und arbeitete als Consultant für IT-Sicherheit.

Weitere Informationen zum Thema:

UL
Sicherheit vernetzter Produkte rund um die Industrie 4.0

UL
Normenreihe UL 2900 / Sicherung und Schutz von Produkten, Software und Infrastrukturen gegen Risiken für die Cybersicherheit

datensicherheit.de, 17.08.2018
UL eröffnet Cybersecurity-Labor in Frankfurt / Main

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht