Was haben Unternehmen in der Produktion heute hinsichtlich der Gefahren aus dem Cyberraum zu befürchten, wie hoch ist das Gefahrenpotenzial wirklich?

Michael Veit: Organisationen wie das Bundesamt für Sicherheit in der Informationstechnik BSI oder der Branchenverband Bitkom sowie auch Anbieter von Security-Lösungen wie wir sind sich in dieser Frage einig: Die Lage ist prekär! Leider ist der viel zitierte Satz, dass es heute nicht darum geht, ob man von einer Cyberattacke betroffen wird, sondern wann, aktueller denn je. Mir liegt es fern, Panikmache zu betreiben oder Horrorszenarien aufzuzeigen, bei denen alles schief geht und nach einer Cyberattacke immer die Existenz eines Unternehmers auf dem Spiel steht. Vielmehr geht es darum, die Gefahrenpotenziale zu erkennen, damit Unternehmen für sich individuell eine Strategie ausarbeiten können, um sich bestmöglich zu schützen oder im Ernstfall richtig reagieren zu können.

Also ist die Gefahrenlage unterschiedlich, je nach Unternehmensgröße oder Ausbau der Digitalisierung?

Veit: Nicht wirklich. Große Konzerne, bei denen sich die Cyberkriminellen einen hohen Schaden oder sogar Ransomware-Lösegelder in Millionenhöhe ausrechnen können, werden gezielter, individueller und mit größerer Anstrengung angegriffen. Diese Unternehmen haben aber sehr oft auch schon hochwirksame Security-Lösungen installiert, was einen Angriff erschwert. Mittelständische Unternehmen hingegen erfahren oft Angriffe, die in Wellen erfolgen und viele Unternehmen gleichzeitig betreffen. Hier rechnen die Kriminellen mit Schutzsystemen, die sie leichter umgehen oder unterwandern können. Insgesamt ist und bleibt die Gefahr, Opfer einer Cyberattacke zu werden, hoch – insbesondere in einem Umfeld, in dem Digitalisierung großgeschrieben ist.

Können Sie das konkretisieren?

Veit: Wir führen jährlich eine internationale Studie durch, den ‚State of Ransomware Report‘. Darin befragen wir Unternehmen weltweit, um ein ganzheitliches Bild über die Gefahrenlage zu bekommen. Über alle Branchen und Ländergrenzen hinweg waren im Jahr 2021 66 Prozent aller befragten Unternehmen von Ransomware-Angriffen betroffen; im Vergleichszeitraum 2020 waren es noch 37 Prozent.

Sie sagten, dass die Digitalisierung das Gefahrenpotenzial erhöht. Was genau ist das Problem?

Schematische Dartstellung des ZTNA-Prinzips (Zero Trust Network Access).

© Sophos

Veit: Ein Beispiel: In der Produktion gab es schon immer Maschinen und Robotik, die in Bezug auf Hard- und Software hauptsächlich auf die optimale Funktion hin entwickelt wurden. Security liegt logischerweise nicht in der Kernkompetenz dieser Hersteller. Dennoch sind viele dieser Maschinen und Komponenten nichts anderes als Computer, die auch mit den firmeninternen IT-Netzen verbunden sind oder sogar mit dem Internet oder einer Cloud-Anwendung. Man darf hier aber nicht nur an die großen Maschinen und Roboter denken, sondern vielmehr an die kleinen Geräte, beispielsweise Hand-Scanner für die Lagerlogistik, die unmittelbaren Zugriff auf wichtige Systeme im Unternehmen haben. Es sind oft genau diese Geräte, die sich Cyberkriminelle zunutze machen, um in das Firmennetz einzubrechen und dann dort mit vielen weiteren Mitteln ihr Unwesen zu treiben.

Nun kann man die Digitalisierung und Vernetzung nicht einfach stoppen…

Veit: Selbstverständlich nicht und das ist auch keine Option. Vielmehr geht es darum, die vielschichtigen Einfallstore der Cyberkriminellen zu erkennen, um dann entsprechend zu handeln. Nun sind heute viele dieser typischen Einfallstore bekannt und man kann diese schließen. Es geht aber um die Hintertüren, die man noch nicht kennt. Und es geht bei zunehmender Digitalisierung auch um eine Masse und Dynamik in der gesamten IT-Struktur; diese ist manuell schon lange kaum noch zu beherrschen. Daher sprechen wir von einem integrierten Security-Ökosystem, das jegliche IT und digitalen Geräte in Unternehmen umspannt. Die Security ist hier sehr weit und wenn zusätzlich ein hoher Grad an Automation und Intelligenz verankert ist, können derartige Lösungen Probleme nicht nur erkennen, sondern bei einem Angriff auch automatisch reagieren.

Können Sie eine typische Gefahr nennen, die vermutlich sehr viele Unternehmen in dieser Branche haben?

Veit: Die Digitalisierung wird heute nicht nur aus der IT getrieben, sondern auch aus den Fachabteilungen. Hier passiert es immer wieder, dass neue digitale Geräte in das Firmennetz eingebunden werden, die aber nicht sicher sind. Das muss die Fachabteilung selbst nicht unbedingt wissen, aber die Security-Verantwortlichen müssen eine Warnmeldung bekommen – oder noch besser, das Security-System muss automatisiert sofort reagieren. Im Idealfall natürlich mit der Schließung der Sicherheitslücke und indem das neu angebundene Gerät dennoch weiterhin nutzbar bleibt.

Ein anderes Beispiel für Gefahrenpotenziale sind die neuen Entwicklungen der Arbeitsorganisation. Auch im Produktionsumfeld gibt es viele Mitarbeiter, die im Homeoffice arbeiten. Meist sind die Mitarbeiter per VPN-Verbindung an das Unternehmen angeschlossen, um auf den für ihre Arbeit wichtigen Systemen zu arbeiten. Dazu gehören beispielsweise alle Anwendungen der Administration und Konstruktion. Die VPN-Verbindung ist aber nichts anderes als ein langes virtuelles Netzwerkkabel in das Homeoffice des Mitarbeitenden. Dieser sitzt im Homeoffice aber nicht in einer gesicherten Umgebung, denn meist stehen dort lediglich die klassischen Internet- und WLAN-Verbindungen zur Verfügung. Und dort genießt Sicherheit einen viel niedrigeren Stellenwert. Das heißt: Das Homeoffice ist für Cyberkriminelle eine gute Gelegenheit, um sich Zugriff auf das Firmennetz zu verschaffen.

Vertraue nichts und niemandem

Wie kann man dem Problem von Homeoffice oder anderen nicht sicheren Geräten entgegentreten, ohne gleich seine IT-Mannschaft zu verdoppeln?

Veit: Das Problem besteht darin, dass klassische Security-Konzepte alles, was außerhalb des Unternehmens stattfindet, prüfen und absichern. Alles, was sich innerhalb des Unternehmens befindet, ist grundsätzlich gut und bedarf kaum einer gesonderten Prüfung. Unsichere Scanner in der Logistik oder Homeoffice-Rechner beispielsweise, die direkt oder über das WLAN oder das VPN mit dem Unternehmensnetz verbunden sind, schaffen Risiken, die man in der Regel nicht ins Unternehmen lassen möchte. Und dennoch werden aus technischer Sicht diese Geräte als interne IT-Ressource behandelt.

Ein weiteres Beispiel, das wir aus vielen Bereichen der Industrie kennen, sind digitalisierte Lieferketten. Viele Unternehmen vernetzen sich untereinander, um die Automatisierung noch effizienter zu gestalten und Fehlern von manuellen Prozessen vorzubeugen. Stellen Sie sich eine Just-in-Time-Produktion vor, in der die Lieferketten nicht digital unter den Herstellern der Einzelkomponenten und der Logistik verbunden sind – das geht heute nicht mehr. Allerdings ist es unglaublich schwer festzustellen, ob ein drittes angebundenes Unternehmen seine Security auch wirklich ernst nimmt oder ob es über die digitale Anbindung nicht zu einer massiven Gefahr wird – vielleicht auch erst im Laufe der Zeit. Eine Möglichkeit, ein Unternehmen mit einem hohen Automatisierungsgrad zu schützen, ist das Zero-Trust Prinzip mit den entsprechenden Lösungen.

Wie das funktioniert das Prinzip?

Veit: Das Zero-Trust-Modell bietet ein wesentlich höheres Sicherheitsniveau, weil grundsätzlich keinem Gerät und keinem Nutzer vertraut wird. Das Zero-Trust-Prinzip bedeutet vereinfacht: Vertraue nichts und niemandem, schon gar nicht einem Netzwerk, und überprüfe alles. Infolgedessen gibt es kein automatisches Vertrauen oder Misstrauen innerhalb oder außerhalb des Perimeters. Es wird grundsätzlich verifiziert, wer zugreifen möchte und es wird geprüft, ob das zugreifende Gerät in Ordnung ist. Zudem wird Nutzenden ausschließlich der Zugriff auf Ressourcen und Anwendungen gewährt, die für ihre Aufgaben benötigt werden.

Das ist die Sicht aus der Security. Wie nimmt der Anwendende das Zero Trust wahr?

Veit: Für den Anwendenden ändert sich eigentlich nichts und das ist wichtig. Wenn man das Zero-Trust-Prinzip beispielsweise mit unserer Lösung, dem Zero Trust Network Access Gateway (ZTNA) realisiert, kann der Anwendende nach wie vor mit seinen Ressourcen und Applikationen arbeiten und hat das Gefühl, direkt mit dem Unternehmen verbunden zu sein. Anwendende melden sich mit ihren Geräten an, diese Anmeldung wird im Hintergrund an das ZTNA-Gateway weitergereicht. Ist alles stimmig, werden die Anfragenden für den Zugriff für genau die Anwendungen und Ressourcen autorisiert, die sie tatsächlich benötigen. Sie arbeiten wie gewohnt und aus Security-Sicht transparent mit den Anwendungen.

Und wie hoch ist der Aufwand für die IT?

Veit: Wenn die IT nach dem beschriebenen alten Prinzip arbeitet, bei dem sukzessive alles verboten wird, was nicht gut erscheint, wird es eine kurze Umstellungsphase hin zum Zero-Trust-Prinzip geben müssen. Ist dieser Prozess aber durchlaufen, wird die IT durch Automation sehr entlastet. Bei Zero Trust wird die Komplexität trotz vieler Anwendungen und gegebenenfalls wechselnden internen und externen Anwendenden reduziert und gleichzeitig die Agilität erhöht. Regeln beziehungsweise Authentifizierungen, lassen sich wesentlich leichter und vor allem transparenter gestalten. Zudem ist die Skalierbarkeit um ein Vielfaches höher als bei klassischen Konzepten. Was aus Management-Sicht vielleicht noch schwerer wiegt, ist die deutlich leichtere Erfüllung und Einhaltung der Compliance-Anforderungen in Bezug auf Transparenz und Nachvollziehbarkeit beziehungsweise wer worauf Zugriff hat. Zero Trust muss übrigens nicht von Anfang an komplett im gesamten Unternehmen etabliert sein, sondern kann stufenweise eingeführt werden, was wir in vielen Fällen auch empfehlen. Es ist sinnvoll, für das erste Setup auf erfahrene Partner zu setzen, die sich mit ZTNA sehr gut auskennen und die Erfahrungen aus den Umstellungen in anderen Unternehmen mitbringen.

Was raten Sie Unternehmen und wo geht die Reise hin?

Der Interviewpartner: Michael Veit ist Security-Spezialist bei Sophos.

© Sophos

Veit: Die Reise ist klar durch das unglaublich hohe kriminelle Potenzial der Cyberkriminellen definiert. Bei Ransomware haben sich laut unseren Studien die Erpressungssummen drastisch erhöht. Die Security versucht durch immer intelligentere Lösungen, die unter anderem auch auf Machine Learning und komplexen Algorithmen aufbauen, mit den Kriminellen gleichzuziehen oder gar einen Schritt voraus zu sein. Das ist aber nur ein Teil einer Sicherheitsstrategie. In einem effektiven Security-Ökosystem werden immer mehr auch menschliche Fähigkeiten benötigt, um das zu ergänzen, was bis heute keine Schutztechnologie leisten kann. Dazu gehören beispielsweise Forensiker oder Task-Teams mit jahrelanger Expertise. Diese Teams können mittelständische Unternehmen intern kaum abdecken und daher wird auch in der Produktion zunehmend auf Managed Threat Response gesetzt – meist als Service. Mit anderen Worten: das Katz- und Maus-Spiel zwischen Cyberkriminellen und der Security wird noch lange weitergespielt werden und in naher Zukunft wird ein Level erreicht sein, bei dem Unternehmen den Schutz ihrer Daten und ihrer Produktion in Expertenhände legen.