[datensicherheit.de, 05.11.2019] Als Vertreter des Medienpartners „datensicherheit.de“ hat Herausgeber Dirk Pinnow am ersten Kongresstag der „Cybersecurity 2019“ im Hotel Bristol Berlin teilgenommen. Unter dem Titel „Virtueller Raum, reale Gefahr“ stellte Michael Niemeier, Vizepräsident des Bundesamts für Verfassungsschutz, die nachrichtendienstliche Dimension der Digitalisierung am ersten Kongresstag vor.

Foto: Dirk Pinnow

Michael Niemeier (Bildmitte): IT-Systeme haben „dual-use“-Charakter

Entgrenzung birgt Chancen und Risiken

Niemeier betonte, das Cyber-Sicherheit eine tragende Säule unsere heutigen Welt sei, denn unsere Souveränität hänge davon ab. Ähnlich wie etwa Chemikalien bestehe bei IT-Systemen die Möglichkeiten eines „dual-use“ – diese könnten sowohl als konstruktive wie destruktive Instrumente eingesetzt werden. Ambivalenz aber und Komplexität seien der Feind der IT-Sicherheit.
Die heutige Bedrohungslage der IT-Landschaft sei durch asymmetrische Konflikte geprägt – zur Durchführung von Angriffen seien nur geringe Investitionen erforderlich. Zudem seien wir von vielfacher Entgrenzung betroffen: Im Cyberspace könne jeder Nachbar jedes anderen Akteurs werden – als Partner oder auch Feind. Die Digitalisierung erweitere den Informationsraum, so dass Forensik schwieriger werde.

Köder im Cyberspace: Mit Malware behaftete E-Mail-Fälschungen

Zu verzeichnen seien täglich unzählige Angriffe unterhalb der militärische Schwelle. Cyber-Angriffe entwickelten sich zunehmend zu einer der wichtigsten Quelle nachrichtendienstlicher Aktivitäten. Dabei sei Deutschland als Wirtschaftsstandort ein natürliches Ziel ausländischer Geheimdienste, insbesondere auf dem Gebiet der Wirtschaftsspionage.
Hierzu komme bevorzugt sogenanntes Spear-Phishing zum Einsatz – im Sinne einer ausgeklügelten, gezielten Attacke: So würden z.B. an Zielpersonen mit Links zu Malware-Webseiten versehene, gefälschte Job-Angebote versendet. Darüber könnten dann „Advanced Persistent Threats“ (APT) platziert werden, um einer unautorisierten Person Zugriff auf ein Netzwerk zu verschaffen. Niemeier rief dazu auf, die Kosten für die Angreifer zu erhöhen.

Wehrhafte Demokratie auch im Cyberspace!

Er warnte: Der Übergang von der Cyber-Spionage zur -Sabotage etwa von Kritischer Infrastruktur (Kritis) sei fließend. Ähnlich wie bei Uran in der materiellen Welt, könne man heute von „waffenfähigem IT-Wissen“ sprechen.
Terror-Anschläge von Einzelgängern erfolgten heute vor globalem Publikum – der „einsame Wolf“ habe indes sehr wohl ein „Rudel“ hinter sich, welches ihm Anleitung und Bestätigung verschaffen könnte. Auch im Cyberspace müsse es eine wehrhafte Demokratie geben.

Sicherheitslücken im Cyberspace müssen geschlossen werden

Es gelte insbesondere, die Resilienz deutscher Unternehmen zu erhöhen. Von Wirtschaftsspionage bzw. Cyber-Sabotage betroffene könnten den Verfassungsschutz „niederschwellig“ ansprechen – anders als bei der Polizei habe eine Meldung dort nicht automatisch den Charakter einer Anzeige.
Der Kampf um die Digitale Souveränität habe erst begonnen – momentan herrsche leider noch „Waffenungleichkeit“. Niemeier warnte vor „Blindheit im Cyberspace“ – Sicherheitslücken müssten geschlossen werden.

Absage an „informationstechnische Inseln“ und Passivität im Cyberspace

In Bezug auf Kooperation auf dem Gebiet der Cyber-Sicherheit machte er deutlich, dass „informationstechnische Inseln“ der Globalisierung zuwiderliefen.
Zum Abschluss riet er, die Instrumente der erforderlichen Wehrhaftigkeit anzupassen, nicht aber die seit 70 Jahren bewährte Grundordnung. Risiken sollten nicht länger passiv erduldet werden.

Weitere Informationen zum Thema:

Handelsblatt
9. Handelsblatt Jahrestagung Cybersecurity / 5. und 6. November 2019, Hotel Bristol Berlin

datensicherheit.de, 14.10.2019
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

Ein Kommetar von Michael Heuer, VP Central Europe bei Mimecast

[datensicherheit.de, 14.06.2018]  Der Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen, dass nach eigenen Erkenntnissen russische Hackergruppen bereits Zugang zur Office-IT von deutschen Energieversorgern haben und erkennen zudem aktuell verstärkt Cyberangriffe in diesem Bereich. Bereits bekannte Gruppen wie Bersekr Bear oder Dragon Fly werden dabei als Urheber der hochprofessionellen Attacken benannt.

Besinders strenge Vorgaben durch das IT-Sicherheitsgesetz

Gerade für diesen Bereich gelten seit dem IT-Sicherheitsgesetz von 2015 besonders strenge Vorgaben, da solche Unternehmen Betreiber „kritischer Infrastrukturen“ (KRITIS) sind. Überraschend ist allerdings, dass der Hauptangriffsvektor nicht Elemente der Betriebstechnik direkt betreffen (OT oder IoT-Komponenten), sondern stattdessen – ganz klassisch – infizierte E-Mails. Es bewahrheitet sich hier einmal mehr, dass über 90% der Cyberangriffen per E-Mail starten.

Bereits vor einem Jahr hat das BSI im aktuellen Lagebericht zur IT-Sicherheit auf die Bedrohung durch E-Mail – Attacken hingewiesen: „Angriffe werden zunehmend in Bereichen beobachtet, in denen es üblich ist, E-Mails von Unbekannten zu erhalten. Dies gilt insbesondere bei den verbreiteten maliziösen E-Mail-Kampagnen mit Fokus auf Personalabteilungen, bei denen auf real existierende Bewerbungsverfahren Bezug  genommen wird.“ Zudem wird im Bericht explizit auf Phishing und Spam-Attacken eingegangen.

Spezielles Kapitel zum Umgang mit Hackerangriffen gegen digitale Steuerungsanlagen

Damals hat das BSI seine Warnungen an alle Organisationen gerichtet, es gibt aber auch ein spezielles Kapitel zum Umgang mit Hackerangriffen gegen digitale Steuerungsanlagen. Speziell im Energiesektor bestehen durch die Vermischung von OT und IT viele Herausforderungen im Umgang mit neuer Innovation. Daher ist es überraschend, dass gerade im Bereich KRITIS E-Mails erfolgreich als Einfallstor für Cyberattacken genutzt werden können, obwohl es sich hier um eine etablierte Technologie handelt.

Angriffsvektor „E-Mail“ wird unterschätzt

Der Vorfall zeigt, dass der Angriffsvektor „E-Mail“ nach wie vor unterschätzt wird. Dabei zeigen Studien, dass fast alle Organisationen (97 Prozent) E-Mail als Hauptkommunikationsmittel zwischen den Mitarbeitern nutzen. Kritische Infrastrukturen (KRITIS) sind da keine Ausnahme und man sollte bei einem derart bedeutendem Asset starke Schutzmechanismen erwarten. Doch genau über diesen Angriffsvektor sind die Kriminellen jetzt eingedrungen, weil die veränderte Bedrohungslage oft falsch eingeschätzt wird und nicht ausreichend Budget insbesondere für die E-Mail-Security und -Betrieb bereitgestellt wird.

Die Lage gilt als ernst, wenn das BSI eine Warnung herausgibt. Stromnetze sind heute riesige, vernetzte Ökosysteme, die sich über ganz Europa erstrecken. Sind Angreifer einmal im Netz, fällt es ihnen häufig leicht, weitere Segmente zu kompromittieren. Unterbrechungen im Betriebsablauf können Blackouts über Ländergrenzen hinweg zur Folge haben. Deshalb müssen sich die Organisationen der Situation anpassen und ihre Sicherheitsstrategie auf den neuesten Stand der Technik bringen.

KRITIS-Betreiber müssen aktuellen Sicherheitsvorgaben entsprechen

Gerade bei populären Angriffswegen müssen speziell KRITIS-Betreiber aktuellen Sicherheitsvorgaben entsprechen. Konkret bedeutet das die Einführung von Cyber-Resillence-Ansätzen: Es reicht nicht mehr nur sich gegen Angriffe zu schützen, sondern der Betrieb muss auch während eines Angriffs sichergestellt sein bzw. nach einem Angriff muss möglichst schnell wieder die Ausgangssituation hergestellt werden. D.h. unter allen Umständen muss die volle Kommunikationsfähigkiet (auch über E-Mail) mit allen Security – Policies gewährleistet bleiben. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu finden und zu beseitigen. Nach einem Angriff darf es ebenfalls nicht zu Unterbrechungen kommen. Das Einspielen von Backups oder der Zugriff auf archivierte Daten muss nahtlos funktionieren.

Es gibt entsprechende Service-Ansätze, die sich in der Praxis bewährt haben und sich problemlos über Organisationen jeglicher Größe ausrollen lassen. IT-Entscheider sollten kritisch prüfen, ob ihre aktuelle Sicherheitsarchitektur die Erwartungen und ihrer Verantwortung gerecht wird. Besonders im Bereich KRITIS stehen sie hier in der Pflicht.

Weitere Informationen zum Thema:

datensicherheit.de, 16.05.2018
Cyber-Angriff auf KRITIS-Betreiber in Deutschland derzeit Gegenstand eines Ermittlungsverfahrens

datensicherheit.de, 01.03.2018
Kritis im Visier: Hacker-Angriffe bleiben noch oft zu lange unbemerkt

[datensicherheit.de, 05.04.2011] Die deutschen Verfassungsschutzbehörden warnen davor, dass deutsche Unternehmen immer häufiger Opfer von Wirtschaftsspionage und Konkurrenzausspähung würden. Gefährdet seien vor allem innovative Unternehmen, Branchenführer, Forschungseinrichtungen und spezialisierte Zulieferfirmen. Insbesondere bei den kleinen und mittelständischen Unternehmen (KMU) könnten Daten- und Know-how-Diebstahl dem Geschäftserfolg nachhaltig schaden – ihnen im schlimmsten Fall sogar die Existenz kosten. Bei den Entscheidungsträgern in den Unternehmen sollte folglich der Schutz sensibler und wettbewerbsrelevanter Informationen oberste Priorität genießen. Die Berliner und die Brandenburger Verfassungsschutzbehörden kooperieren im Rahmen des „Wirtschaftsschutztags Berlin-Brandenburg 2011“ mit der Beuth Hochschule für Technik Berlin:
Dabei soll auf die Gefährdungen hingewiesen werden, die insbesondere für Informations- und Kommunikationssysteme bestehen, und zugleich eine Basis für die vertrauensvolle Zusammenarbeit zwischen Wirtschaft, Forschung und Behörden in der Hauptstadtregion geschaffen werden. Die Veranstaltung widmet sich den Themen Wirtschaftsspionage und Konkurrenzausspähung, Sicherheitsstandards für mittelständische Unternehmen, technischer und nicht-technischer Informationsschutz. Seit 28.03.2011 soll die Veranstaltung bereits ausgebucht sein; Anmeldungen könnten daher nicht mehr angenommen werden.

Weitere Informationen zum Thema:

Beuth Hochschule für Technik Berlin
Wirtschaftsschutztag Berlin-Brandenburg 2011

[datensicherheit.de, 09.02.2010] Bundesinnenminister Thomas de Maizière habe entschieden, die Einrichtungen zur Telekommunikationsüberwachung im Bundesverwaltungsamt nicht auf das Bundesamt für Verfassungsschutz auszudehnen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßt diese Entscheidung:
Eine umfassende Bündelung der Telekommunikationsüberwachung der verschiedenen Sicherheitsbehörden hätte die Grenzen zwischen Polizeien und Nachrichtendiensten „verwischt und das Trennungsgebot verletzt“. Schaar mahnt eine gesetzliche Regelung für die Durchführung von Telekommunikationsüberwachungen für Bundeskriminalamt (BKA) und Bundespolizei durch das Bundesverwaltungsamt an. Diese Kooperation zweier Polizeibehörden stelle eine in besonderer Weise sensible Behördenkooperation dar, die erheblich in das vom Grundgesetz geschützte Fernmeldegeheimnis eingreife – sie bedürfe daher einer besonderen gesetzlichen Ermächtigung.

Weitere Informationen zum Thema:

BfDI, 08.02.2010
Verzicht auf gemeinsame Abhörzentrale von Polizei und Nachrichtendiensten ist zu begrüßen

datensicherheit.de, 04.08.2009
Bundesdatenschutzbeauftragter kritisiert Überwachungszentrale des Bundesverwaltungsamtes / Inbetriebnahme ohne gesetzliche Grundlage