Während Unternehmen versuchen, dezentrale und hybride Belegschaften zu verwalten, die digitale Transformation zu bewältigen und mit globaler Instabilität zu kämpfen, nutzen Bedrohungsakteure eine erweiterte Angriffsfläche und veränderte Schwachstellen - ihre Angriffe werden mutiger, ausgefeilter und schädlicher. Infolgedessen haben wir ein Aufkommen von disruptiven Cybersecurity-Bedrohungen beobachtet, die auf kritische Infrastrukturen abzielen. Das Spektrum reicht von der Unterbrechung des Betriebs und der Geschäftsprozesse bis hin zu Sicherheitsrisiken. Die Angreifer passen sich immer weiter an, so dass es wichtiger denn je ist, die heutigen Top-Bedrohungen für die Cybersicherheit zu verstehen und die besten Praktiken zu kennen, die Sie einsetzen können, um Ihre Sicherheitsabwehr zu stärken und Ihr Unternehmen zu schützen.
Inhaltsübersicht
1. Die wichtigsten heutigen Cyber-Bedrohungen
2. Beispiele für industrielle Cyber-Bedrohungen
3. Beispiele für Cyber-Bedrohungen im Gesundheitswesen
4. Bewährte Praktiken
Was sind heute die größten Bedrohungen für die Cybersicherheit?
Die Verhinderung von Sicherheitsverstößen beginnt damit, dass man versteht, welche Bedrohungen für die Cybersicherheit heute für Unternehmen bestehen. Das Wissen um die Möglichkeiten, die Angreifer suchen, um sie leicht auszunutzen, ist der erste Schritt, um ihren Angriffen einen Schritt voraus zu sein und die Cyber- und betriebliche Widerstandsfähigkeit sicherzustellen.
1. Ransomware
Ransomware ist zwar keine neue Bedrohung für die Cybersicherheit, hat aber in den letzten Jahren aufgrund der globalen Pandemie und der schnellen Einführung des grenzenlosen Arbeitens zugenommen. Über Nacht waren Unternehmen gezwungen, Remote- und hybride Arbeitsumgebungen einzuführen, ohne die Zeit zu haben, angemessene Sicherheitsprotokolle und -systeme einzurichten, was zu unsicherem Remote-Zugriff führte. Die Pandemie beschleunigte auch den Einsatz neuer und unsicherer Technologien, was das Risiko von Schwachstellen mit sich brachte und die Angriffsfläche vergrößerte, da das erweiterte Internet der Dinge (XIoT) zunehmend vernetzt wird. Dieses Maß an Vernetzung hat dazu geführt, dass die Ransomware-Strategien der Angreifer immer gezielter werden und sich von opportunistischen Spray-and-Pray-Cyberangriffen zu einem gezielteren Ansatz entwickeln, der darauf abzielt, bestimmte Unternehmen mit geringer Toleranz für Betriebsausfälle auszunutzen.
2. IT/OT-Konvergenz
Die Konvergenz von Informationstechnologie (IT) und Betriebstechnologie (OT) hat Unternehmen aller Branchen zahlreiche Vorteile gebracht. Dazu gehören die Verbesserung der Transparenz ihrer Abläufe, die Erhöhung der Automatisierung und Effizienz, die Reduzierung von Ausfallzeiten und Wartungskosten sowie die Steigerung der Gesamtproduktivität. Obwohl diese Konvergenz die Erfassung und den Austausch von Daten zwischen Maschinen optimiert hat, hat die Vernetzung die Angriffsfläche vergrößert und Angreifern neue Möglichkeiten gegeben, die Umgebung zu infiltrieren. Oft bleiben die von der IT/OT-Konvergenz betroffenen Geräte, Software und Systeme ungeschützt, weil die nächste Bedrohung der Cybersicherheit droht:
3. Abgeschottete Geschäftsbereiche
Traditionell wurden IT- und OT-Systeme getrennt verwaltet, wobei sich IT-Systeme auf die Datenverarbeitung und -verwaltung und OT-Systeme auf die Steuerung und Überwachung von Ereignissen, physischen Prozessen und Geräten konzentrierten. Aufgrund ihrer deutlichen Unterschiede erforderten sie die Überwachung durch völlig unterschiedliche Teams mit einzigartigen Fähigkeiten. In der aktuellen Technologielandschaft wachsen die Welten von IT und OT jedoch zusammen und erfordern einen einzigen, einheitlichen Ansatz für IT- und OT-Sicherheitsprozesse. Die meisten Unternehmen kämpfen mit einem Mangel an Sicherheitskoordination in ihren Abläufen, da ihre Teams isoliert arbeiten und nicht die gleichen Ziele verfolgen. Ohne klare Kommunikation und Koordination zwischen den IT- und OT-Abteilungen haben Unternehmen Schwierigkeiten, wirksame Sicherheitsprotokolle und -strategien zu implementieren, und sind damit anfällig für die wachsende Bedrohungslandschaft.
Aus diesem Grund hat die Transportation Security Administration (TSA) Richtlinien für die Cybersicherheit im Schienen-, Luft- und Pipelineverkehr erlassen. Aufgrund der anhaltenden Cyberbedrohungen gegen kritische US-Infrastrukturen hat die TSA Sofortmaßnahmen ergriffen, um die Cybersicherheit zu stärken und Betriebsunterbrechungen und eine Beeinträchtigung der Infrastruktur zu verhindern. Die TSA-Cybersicherheitsrichtlinien verlangen von den Organisationen die Umsetzung von Netzwerksegmentierungsrichtlinien und -kontrollen, um zu gewährleisten, dass die Systeme der Betriebstechnologie (OT) weiterhin sicher arbeiten können, wenn ein System der Informationstechnologie (IT) kompromittiert wurde, und umgekehrt. Mit dieser Richtlinie wird sichergestellt, dass Unternehmen überprüfen können, ob die richtigen Segmentierungsrichtlinien vorhanden sind, um die seitliche Verlagerung von Angriffen von der IT auf die OT zu verhindern. Außerdem wird sichergestellt, dass IT- und OT-Teams effektiv miteinander kommunizieren und zusammenarbeiten, um die Verbreitung von Angriffen zu verhindern.
4. Ressourcenbeschränkungen
Neben den isolierten Geschäftsbereichen sind viele Unternehmen auch mit Ressourcenbeschränkungen aufgrund von begrenztem Personal und fehlenden finanziellen Mitteln konfrontiert. Ohne die richtigen Geschäftseinheiten haben Unternehmen möglicherweise Schwierigkeiten, ihre tägliche IT-Infrastruktur zu verwalten, ganz zu schweigen von der zusätzlichen Verantwortung für die Cybersicherheit im gesamten XIoT. Ebenso haben Unternehmen, denen es an finanziellen Mitteln für Cybersecurity-Maßnahmen mangelt, möglicherweise nicht die Ressourcen, um Cybersecurity-Lösungen erfolgreich zu implementieren oder qualifizierte Mitarbeiter für die Verwaltung von Sicherheitsmaßnahmen einzustellen. In Verbindung mit dem ohnehin schon begrenzten Personalbestand werden Organisationen dadurch besonders anfällig für Bedrohungen.
5. Blinde Flecken in traditionellen IT-Werkzeugen
Im Gegensatz zu IT-Systemen haben OT-Systeme in der Regel einzigartige Hardware- und Software-Architekturen, spezielle Protokolle und unterschiedliche Leistungsanforderungen. OT-Systeme sind außerdem häufig mit älteren Geräten verbunden, die mit veralteter Software arbeiten und nur schwer zu ersetzen sind. Aufgrund dieser Faktoren sind IT-Sicherheits-Tools für den Schutz von OT-Umgebungen ungeeignet und könnten, wenn sie eingesetzt werden, zu Unterbrechungen kritischer Abläufe führen. Beispielsweise kann die Verwendung von IT-Sicherheits-Tools zum Scannen eines OT-Systems auf Schwachstellen zu Verzögerungen oder sogar zu Systemausfällen führen. Ebenso kann der Versuch, Patches auf einem OT-System zu installieren, zu Kompatibilitätsproblemen oder anderen unbeabsichtigten Folgen führen.
6. Geopolitische Risiken
Da die Spannungen auf internationaler Ebene zunehmen, werden zunehmend staatlich gesponserte Angriffe eingesetzt, um geistiges Eigentum und sensible Informationen zu stehlen oder Schäden oder Störungen an der physischen Infrastruktur zu verursachen. Laut der CEO-Umfrage von PwC gehören Cyber-Risiken und geopolitische Konflikte zu den 5 größten Sorgen der CEOs. Wenn diese beiden Herausforderungen kombiniert werden, erhöht sich das Risiko für ein Unternehmen erheblich. Wie PwC feststellt, ist die Cybersicherheit Teil des Arsenals in geopolitischen Konflikten geworden, und die Angriffe können raffiniert und hartnäckig sein". Dies bedeutet, dass Unternehmen ihre Risiken kontinuierlich überwachen und bewerten müssen, um schnell und effektiv auf Bedrohungen reagieren zu können.
7. Einhaltung von Vorschriften
Die Einhaltung von Vorschriften kann äußerst komplex sein, so dass es für Unternehmen schwierig ist, zu verstehen, was von ihnen verlangt wird und wie sie die erforderlichen Sicherheitsmaßnahmen umsetzen können. Die Fähigkeit eines Unternehmens, die Vorschriften einzuhalten, ist auch eng mit unserer vierten Herausforderung, den Ressourcenbeschränkungen, verbunden. Ohne das nötige Budget oder das richtige Personal ist es für Unternehmen oft schwierig, die sich ständig weiterentwickelnden und aktualisierten Branchenvorschriften umzusetzen und einzuhalten. Eine kürzlich aufgetauchte Vorschrift zur Cybersicherheit, die sich für Unternehmen als komplex erweist, ist die Richtlinie zur Netz- und Informationssicherheit (NIS2). Diese Gesetzgebung wurde von der Europäischen Union (EU) eingeführt, um die Cybersicherheit und die Widerstandsfähigkeit zu stärken, indem ein Mindestmaß an Cybersicherheitsmaßnahmen und Berichtsanforderungen festgelegt wurden. Aufgrund der Komplexität und des technologischen Charakters der Richtlinie können Unternehmen feststellen, dass sie erhebliche Investitionen in Technologie, Mitarbeiterschulungen oder externe Unterstützung benötigen, um die Vorschriften einzuhalten.
Beispiele für industrielle Cybersecurity-Bedrohungen
Es gibt verschiedene reale Beispiele für die oben genannten Bedrohungen, die Organisationen mit kritischen Infrastrukturen betreffen. Am auffälligsten ist der NotPetya-Angriff. Dieser Malware-Angriff gilt als der kostspieligste und zerstörerischste Cyberangriff der Geschichte - und als Präzedenzfall für eine neue Art der staatlich geförderten Cyberkriegsführung. Obwohl die Ukraine das Hauptziel war, breitete sich der Angriff schnell auf über 60 andere Länder aus und legte die Computersysteme tausender multinationaler Unternehmen lahm. Diese multinationalen Unternehmen waren in verschiedenen kritischen Infrastrukturbereichen wie dem Gesundheitswesen, dem Energiesektor und dem Transportwesen tätig. Alarmierenderweise verursachte NotPetya einen rekordverdächtigen Schaden in Höhe von 10 Milliarden US-Dollar, nicht eingerechnet die Kollateralschäden in Form von verlorenen Waren, Dienstleistungen und Geschäftsmöglichkeiten. Der Angriff erfolgte unter Ausnutzung von EternalBlue - einer Windows-Sicherheitslücke, die von der US-amerikanischen National Security Agency (NSA) entwickelt wurde - um sich seitlich durch Unternehmensnetzwerke zu bewegen und sich von einem anfälligen System zum nächsten auszubreiten. Diese beispiellose Bedrohung für die Cybersicherheit in der Industrie machte zwei wichtige Probleme deutlich, die es NotPetya ermöglichten, eine so große Anzahl von OT-Umgebungen zu infizieren:
1. Schlechtes Expositionsmanagement
Das Verständnis der Schwachstellen und Risiken, die mit dem XIoT Ihres Unternehmens verbunden sind, ist der Schlüssel, um sicherzustellen, dass Ihre Geräte und Systeme keine Ziele für Cyber-Kriminelle sind. Hätten die von NotPetya betroffenen Unternehmen Strategien zum Expositionsmanagement umgesetzt und den bekannten Patch für EternalBlue angewendet, wäre ihr Betrieb nicht beeinträchtigt worden. Obwohl dies eine wichtige Lösung für die von NotPetya Betroffenen gewesen wäre, ist es wichtig zu wissen, dass das Patchen für viele OT-Geräte eine besonders schwierige Herausforderung darstellt. Das liegt daran, dass die Altsysteme und -technologien in OT-Umgebungen nicht für Software-Updates und Patches ausgelegt sind. Außerdem kann das Patchen dieser Geräte erhebliche betriebliche Auswirkungen haben, da jede Unterbrechung oder Ausfallzeit das gesamte System beeinträchtigen kann. Die Patching-Herausforderung ist auch der Grund, warum eine Netzwerksegmentierung und kompensierende Kontrollen so wichtig sind - das ist der zweite Punkt, der NotPetya so verheerend machte.
2. Schlechte Netzsegmentierung
NotPetya konnte sich aufgrund einer fehlenden Netzwerksegmentierung schnell in den IT- und OT-Umgebungen von Unternehmen ausbreiten. Durch die Isolierung oder Trennung von Netzwerksegmenten hätten Unternehmen, die von NotPetya betroffen waren, den verursachten Schaden eindämmen und begrenzen können. Auch wenn das Patchen von OT-Geräten aufgrund der oben genannten Herausforderungen nicht immer sofort möglich ist, ermöglicht die Netzwerksegmentierung einer Organisation die Risikominderung durch die Implementierung kompensierender Sicherheitsmaßnahmen zur Überwachung und Erkennung potenzieller Bedrohungen, während sie auf das Patchen anfälliger Geräte hinarbeitet. Ohne eine ordnungsgemäße OT-Segmentierung, die Anpassung an das Purdue-Modell und die Implementierung anderer Best Practices werden Unternehmen weiterhin unter der seitlichen Ausbreitung von Ransomware wie NotPetya und anderen bösartigen Programmen leiden.
Der NotPetya-Angriff hat die Bedrohung durch die Interkonnektivität deutlich gemacht, da zuvor "abgeschottete" Systeme nun miteinander verbunden sind und Hacker ungehinderten Zugang zu verschiedenen Systemen haben. Der Angriff warf auch das Problem einer anderen Bedrohung auf: blinde Flecken in der Cybersicherheit. Ohne die richtigen OT-Scan-Tools waren sich die betroffenen Organisationen der Schwachstellen in ihrer Umgebung überhaupt nicht bewusst. Als Folge des Angriffs benötigen Unternehmen eine starke und widerstandsfähige Cybersicherheitsstrategie und die Hilfe einer speziell entwickelten OT-Cybersicherheitslösung, um sich gegen eine wachsende Angriffsfläche zu schützen.
Beispiele für Cybersecurity-Bedrohungen im Gesundheitswesen
Wir haben auch gesehen, dass diese Top-Bedrohungen die Cybersicherheit im Gesundheitswesen stark beeinflussen. Am bemerkenswertesten war ein Ransomware-Angriff, der das Universitätsklinikum Düsseldorf betraf. Die Ransomware soll über eine bekannte Sicherheitslücke in einer Citrix-Anwendung in das Netzwerk des Krankenhauses eingeschleust worden sein. Obwohl das Krankenhaus darauf bestand, diese Schwachstelle gepatcht zu haben, beschädigte sie dennoch 30 Server und zwang sie dazu, bekannt zu geben, dass geplante und ambulante Behandlungen sowie die Notfallversorgung im Krankenhaus nicht stattfinden konnten. Diejenigen, die eine Notfallversorgung benötigten, wurden daraufhin an andere Krankenhäuser verwiesen, darunter auch eine 78-jährige Frau, die sofort behandelt werden musste. Aufgrund des Angriffs wurde ihr Krankenwagen in ein 19 Meilen entferntes Krankenhaus umgeleitet, wodurch sich ihre Behandlung verzögerte, und tragischerweise starb sie kurz darauf. Dieser Vorfall war ein Warnsignal für Organisationen des Gesundheitswesens vor den verheerenden Auswirkungen von Ransomware und machte deutlich, dass die Folgen inzwischen mehr als nur finanzielle Schäden sind. Dieser Angriff auf kritische Infrastrukturen machte deutlich, wie wichtig es ist, eine wirksame Cybersicherheit im Gesundheitswesen einzuführen, um die Sicherheit der Patienten zu gewährleisten und medizinische Geräte zu schützen.
3 bewährte Praktiken zur Verhinderung von Cybersecurity-Bedrohungen
Sobald Sie die wichtigsten Bedrohungen für die Cybersicherheit kennen, mit denen Unternehmen mit kritischen Infrastrukturen heute konfrontiert sind, ist es an der Zeit, die folgenden Best Practices zum Schutz Ihres Unternehmens umzusetzen.
1. Gewinnen Sie Einblick in alle CPS in Ihrer XIoT-Umgebung
Die Konnektivität von cyber-physischen Systemen (CPS) hat zu Sicherheitslücken und einer wachsenden Angriffsfläche geführt, die ein Risiko für die Verfügbarkeit, Integrität und Sicherheit Ihrer Umgebung darstellen können. Aus diesem Grund ist eine vollständige Bestandsaufnahme der Anlagen, Schwachstellen und Risiken im gesamten Unternehmen unerlässlich, um die Sicherheit und die Einhaltung von Vorschriften zu gewährleisten. Mit einer detaillierten Bestandsaufnahme können Unternehmen einen umfassenden Einblick in alle XIoT-Assets erhalten, einschließlich aller Identifikatoren und Verhaltensdetails. Diese Details helfen Unternehmen, proprietäre Protokolle zu identifizieren, die mit herkömmlichen IT-Sicherheitstools nicht kompatibel und für diese unsichtbar sind. Und sie helfen dabei, herauszufinden, wie ältere Geräte arbeiten und kommunizieren. Diese umfassende Transparenz kann auch unabhängig von den gesetzlichen Vorschriften erreicht werden, so dass die Einhaltung der Vorschriften eine Bedrohung für die Cybersicherheit weniger darstellt, mit der Sie zu kämpfen haben.
2. Integrieren Sie Ihre bestehenden IT-Tools und Arbeitsabläufe mit Ihrem CPS
Sobald eine unternehmensweite Sichtbarkeit erreicht ist, müssen die Unternehmen ihre bestehenden IT-Tools und Arbeitsabläufe in die OT integrieren. Viele CPS verwenden proprietäre Protokolle und Altsysteme, die mit herkömmlichen IT-Sicherheitslösungen nicht kompatibel sind. In vielen Umgebungen sind herkömmliche Schwachstellenscanner unsicher, und Patches sind aufgrund der geringen Toleranz gegenüber Ausfallzeiten nur selten zulässig. Mit der Zusammenarbeit zwischen IT- und OT-Teams und dem richtigen CPS-Sicherheitstool können Unternehmen auf sichere Weise blinde Flecken aufdecken, ohne den Betrieb zu gefährden, indem sie ihre bereits umfangreichen Tech-Stacks mit einer speziell entwickelten OT-Sicherheitslösung integrieren. Diese Strategie hilft Unternehmen, die Kontrolle über ihre Risikoumgebung zu übernehmen und mehr Transparenz über traditionell getrennte Teams hinweg zu schaffen, indem sie bestehende Tools und Arbeitsabläufe einfach von der IT auf die OT ausweiten.
3. Erweitern Sie Ihre IT-Sicherheitskontrollen und Governance auf Ihre XIoT-Umgebung
Im Gegensatz zu ihren IT-Gegenstücken fehlt es den meisten XIoT-Umgebungen an grundlegenden Cybersicherheitskontrollen und einer einheitlichen Governance. Das liegt daran, dass bei der Entwicklung von Legacy-Systemen in vielen XIoT-Umgebungen der Schwerpunkt auf Funktionalität und Betriebszuverlässigkeit und nicht auf Sicherheit gelegt wurde, da diese Systeme ursprünglich nicht für eine Verbindung mit dem Internet vorgesehen waren. Die zunehmende Vernetzung hat dazu geführt, dass diese zuvor "abgekapselten" Systeme mit IT-Netzwerken konvergieren, die nicht für eine Verbindung und Verwaltung auf dieselbe Weise konzipiert wurden. Die rasche Einführung der digitalen Transformation und von dezentralen und hybriden Arbeitsumgebungen hat dazu geführt, dass Sicherheitsteams die einzigartigen Herausforderungen dieser neu vernetzten XIoT-Umgebungen nicht kennen und verstehen. Ohne ein dediziertes Sicherheitsteam oder die Unterstützung durch eine Lösung, die auf die Sicherung von OT-Systemen spezialisiert ist, leiden Unternehmen unter einem Mangel an konsistenter Governance und Kontrollen. Um dieses Problem zu lösen, können Unternehmen mit einem CPS-Sicherheitsanbieter zusammenarbeiten, der Transparenz in alle CPS bietet, Ihre bestehenden IT-Tools und Arbeitsabläufe mit CPS integriert und dabei hilft, Ihre IT-Kontrollen auf das XIoT auszuweiten, indem er Ihre Sicherheits-Governance vereinheitlicht und alle Anwendungsfälle auf Ihrem Weg zu Cyber- und Betriebsresilienz steuert.
Es gibt zwar noch eine Reihe anderer bewährter Verfahren, die Unternehmen zum Schutz vor neuen Cyber-Bedrohungen einsetzen können, doch diese drei sind ein guter Startpunkt. Umfassende Transparenz, die effiziente Integration bestehender IT-Tools und -Workflows mit CPS sowie die Einrichtung starker Sicherheitskontrollen und Governance sind unerlässlich, um mit Trends und Veränderungen in einer sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten. Heutzutage ist es von entscheidender Bedeutung, dass die Cybersicherheit mit den Auswirkungen der digitalen Transformation Schritt hält, da die Umgebungen immer stärker miteinander vernetzt sind und die Angreifer immer unerbittlicher vorgehen. Indem sie verstehen, was Bedrohungsakteure auszunutzen versuchen, und sich mit dem richtigen CPS-Sicherheitsanbieter zusammenschließen, können Unternehmen ihre Sicherheitsabwehr erfolgreich verstärken und ihr Geschäft schützen.
