26-jähriger verurteilt zu 3 Jahren und 3 Monaten - Straftat: Computersabotage in besonders schwerem Fall.

Die Verurteilung des Saboteurs ist zwar eine Art Gerechtigkeit, aber letztendlich für das Unternehmen nur „zweitrangig“, da der betriebswirtschaftliche Schaden schon eingetreten ist. Der Ernstfall bestand unter anderem aus der Downtime von operativen Systemen, kein Mailverkehr mehr und der Diebstahl von unternehmenskritischen Daten.

Bei Cyber-Attacken denken die meisten von uns an externe Hacker, die von irgendwo auf der Welt von außen auf unser internes Netzwerk zugreifen. Aber weit gefehlt!
Nach einer Studie des Bundesverfassungsschutzes (BfV) kommen mehr als 70% der Attacken aus dem internen Netzwerk. Da helfen dann auch die besten Firewalls nichts, wenn wir kein Augenmerk auf die Sicherung und den Umgang mit unserem internen Netzwerk haben. Im Zuge von „Bring-your-own-device“ oder Industrial Internet of Things (IIoT) wird das interne Netzwerk immer komplexer. Die Anforderungen an die internen Systeme aber immer höher – Stichworte DSGVO, ISO27001er Familie oder IT Grundschutz.
Am Ende heißt das, wir müssen sowohl am technisch machbaren arbeiten als auch den Faktor Mensch und dessen Umgang mit Daten im Auge behalten.

Dabei sind Netzwerke heute:

  • über Jahre (-zehnte) heterogen gewachsen.
  • durch die wenigen vorhandenen Administratoren manuell nicht mehr wartbar.
  • nicht umfänglich erfasst und dokumentiert.
  • in keinem Configurationmanagement-Zyklus.
  • nicht auf Firmware-/Patches-Basis gepflegt.
  • an vielen Stellen angreifbar!

Für Unternehmen kann eine Lücke in Ihrer IT-Infrastruktur das geschäftliche Ende bedeuten.

Die Digitalisierung benötigt eine ausgereifte und sichere Infrastruktur. Dabei ist diese durch immer neu aufkommende Schwachstellen und Bedrohungen zahlreichen Gefahren ausgesetzt. Leider ist das Wissen um die Gefahren, die im eigenen Netzwerk lauern, bei Weitem nicht so bekannt, wie das Wissen um die Gefahren aus dem Internet. Viele mittelständische Unternehmen mit Ihren selbst betriebenen, meist weltweit verfügbarer Netzwerken, schenken der Sicherheit der Infrastruktur meist zu wenig Beachtung – warum auch – es läuft doch.

Techniken wie Sniffing oder Man-in-the-Middle-Angriffe sind bei potenziellen Angreifern kein Fremdwort. Dabei geht es in vielen Fällen noch viel einfacher – wie schnell sind heute unternehmenskritische Daten auf einen USB-Stick oder auf einen eigenen Laptop kopiert.

Bei Netzwerkkomponenten ist es wie bei allen Investitionen. Kauft man zu billig, kauft man unter Umständen zweimal. Kauft man zu teuer, rechnet sich die Investition nicht. Das richtige Verhältnis zu Qualität und Anforderung ist entscheidend.

Basis Ihrer Netzwerkinfrastruktur - Ihre verwendeten Komponenten

In unserer heutigen Zeit besteht die typische IT-Infrastruktur eines Unternehmens nicht nur aus ein paar untereinander verbundenen Arbeitsstationen. Für die tägliche Arbeit sind in vielen Unternehmen komplexe Netzwerkstrukturen gewachsen, die aus verschiedenen aktiven und passiven Komponenten bestehen.

Insbesondere aktive Netzwerkkomponenten (Switches, Firewalls, etc.) sind in der Regel komplexe Hardwaresysteme und bedürfen der regelmäßigen Kontrolle und Aktualisierung. Um diese Komponenten aber auch warten zu können, muss man diese erst einmal alle kennen.
Hand auf Ihr Herz – wer in Eurem Haus weiß, welche Switches im Haus 2 im 2.Obergeschoß 2016 aufgebaut wurden? Wurde da eigentlich regelmäßig die Configuration an die aktuellen Gegebenheiten angepasst, die vom Hersteller vorgeschlagenen Firmware-Updates eingespielt?

Um Netzwerksicherheit herzustellen, müssen zunächst alle Sicherheitslücken und Angriffspunkte identifiziert werden. Am übersichtlichsten gelingt dies anhand eines Netzwerkmodells, das die gesamte Netzwerkumgebung, alle Assets, Sicherheitsvorkehrungen und Schwachstellen sichtbar macht.

Wichtig ist es, die verwendeten aktiven Komponeten zu kennen.

In der heutigen Zeit besteht die typische IT-Infrastruktur eines Unternehmens nicht nur aus ein paar untereinander verbundenen Arbeitsstationen. Für die tägliche Arbeit sind in vielen Unternehmen komplexe Netzwerkstrukturen gewachsen, die aus verschiedenen aktiven und passiven Komponenten bestehen.

Insbesondere aktive Netzwerkkomponenten (Switches, Firewalls, etc.) sind in der Regel komplexe Hardwaresysteme und bedürfen der regelmäßigen Kontrolle und Aktualisierung. Um diese Komponenten aber auch warten zu können, muss man diese erst einmal alle kennen.
Hand auf Ihr Herz – wer in Eurem Haus weiß, welche Switches im Haus 2 im 2.Obergeschoß 2016 aufgebaut wurden? Wurde da eigentlich regelmäßig die Configuration an die aktuellen Gegebenheiten angepasst, die vom Hersteller vorgeschlagenen Firmware-Updates eingespielt?

Um Netzwerksicherheit herzustellen, müssen zunächst alle Sicherheitslücken und Angriffspunkte identifiziert werden. Am übersichtlichsten gelingt dies anhand eines Netzwerkmodells, das die gesamte Netzwerkumgebung, alle Assets, Sicherheitsvorkehrungen und Schwachstellen sichtbar macht.

Auf diesem dokumentierten Kenntnistand ist Ihr Sicherheitsexperte und Ihr Administrator ja erst in der Lage entsprechende notwendige Maßnahmen durchzuführen.

Die durch eine automatisierte Dokumentation erhobenen Informationen Ihres Netzwerkes sollten dann dazu genutzt werden, um ein Configuration Management System (CMS) aufzubauen. Dabei kann ein CMS ein oder mehrere physikalische Configuration Management Databases (CMDB) verwalten.

Angriffe auf industrielle Systeme - die Gefahr von morgen!

Im Rahmen von Industrie 4.0 und IIoT geht der Bedarf aber noch weiter. Industrial Control Security Systeme zur Fertigungs- und Prozessautomatisierung – zusammengefasst unter dem Begriff Industrial Control Systems – werden in nahezu allen Infrastrukturen eingesetzt. Solche Industrial Control Systems sind zunehmend denselben Angriffen ausgesetzt, wie dies auch in der konventionellen IT der Fall ist.

Die TOP 10 Bedrohungen von ICS sind lt. BSI nachfolgende Gefährdungspotenziale

  1. Infektion mit Schadsoftware über Internet und Intranet
  2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
  3. Social Engineering
  4. Menschliches Fehlverhalten und Sabotage
  5. Einbruch über Fernwartungszugänge
  6. Internet-verbundene Steuerungskomponenten
  7. Technisches Fehlverhalten und höhere Gewalt
  8. Kompromittierung von Smartphones im Produktionsumfeld
  9. Kompromittierung von Extranet und Cloud-Komponenten
  10. (D)DoS Angriffe
Auf der technischen Seite gibt es eine Vielzahl ausgereifter Werkzeuge, die sich wiederholende automatische Schwachstellen-Analysen Ihres Netzwerkes nach dem Common Vulnerabilities and Exposures (CVE) – Standard, durchführen.
Aber es muss auch ein System geben, dass aufgrund von definierten Regeln mit erkannten Risiken automatisiert umgeht. Was hilft es Ihnen, eine Schwachstelle erkannt zu haben, aber darauf nicht sofort, und jetzt meine ich in Sekunden, zu reagieren?
Was passiert in Ihrem Haus, wenn sich ein fremdes, nicht registriertes Device, in Ihr Netzwerk einklinkt? Hier sollte es zu einer sofortigen automatischen Maßnahme, wie zum Beispiel dieses Device erst einmal in Quarantäne zu stellen, kommen. Damit wird sichergestellt, dass kein Zugriff auf im Netzwerk befindliche Systeme möglich ist.

Die Sicherheit Ihrer IT und Daten lässt sich nicht allein über technische Maßnahmen gewährleisten!

Vielmehr ist es ein Zusammenspiel aus Mensch und Technik

Aber wir dürfen den Faktor Mensch in unseren Unternehmen nicht vergessen. Der eingangsdargestellte Fall wäre wahrscheinlich auch mit den besten technischen Sicherheitsmaßnahmen nicht unbedingt aufgefallen. Sie hätten es vielleicht erkennen können und den Schaden eindämmen können, aber der Saboteur hat mit seiner kriminellen Energie auf Basis von Frustration über den Arbeitsverlust gehandelt.

Deshalb ist es sehr sinnvoll im Rahmen der Prävention eine Bedrohungsanalyse durchführen zu lassen.

Es gibt verschiedene Gründe, warum aus loyalen Mitarbeitern aktive Täter werden.
Laut Bundesverfassungsschutz und einschlägiger Studien zum Thema sind folgende Beweggründe und Indikatoren hervorzuheben:

  • Unzufriedenheit am Arbeitsplatz,
  • Fehlende Identifikation mit dem Unternehmen,
  • Diskrepanzen im beruflichen Werdegang,
  • Fehlende Schulung am Produkt,
  • Unkenntnis über Arbeitsprozesse,
  • Auffällige Neugier,
  • Whistleblowing,
  • Nutzung von mobilen Datenträgern,
  • Überschreitung der Zugriffsberechtigung.

Nicht alles kann man als Unternehmen durch eigene Maßnahmen auffangen, aber doch einige Punkte.

Fazit

Das heißt zusammengefasst:

  • Dokumentiere Dein Netzwerk – regelmäßig.
  • Analysiere Dein Netzwerk auf Basis von bestehenden Katalogen (CVE) nach Schwachstellen.
  • Schwachstellen Scans machen nur dann Sinn, wenn sie regelmäßig automatisch durchgeführt werden – Dein Netzwerk/Beteiligte ändert sich ständig.
  • Definiere automatische Maßnahmen, um möglichst sofort zu reagieren, wenn „Anomalien“ festgestellt werden.
  • Schaue auf Deine Mitarbeiter/Kollegen – schule Deine Mitarbeiter regelmäßig in Ihren Anwendungen.
  • Sensibilisiere Deine Mitarbeiter/Kollegen im Umgang mit Daten.
  • Bedenke immer das Bedrohungspotential und investiere Deine Zeit in entsprechendes Risikomanagement.
Thomas R. Vogel

Thomas R. Vogel

Berater, Projektmanager und Coach. Unternehmer und Neugieriger!

Ich freue mich auf Eure Rückmeldung – Kommentare/Ergänzungen. Was sind Eure Erfahrungen, wie löst Ihr die geschilderten Herausforderungen?