Im Bereich der IT Security ist nur eines ganz sicher: Angreifer*innen mit kreativer krimineller Energie können potenziell in alle Systeme eindringen und sie für ihre Zwecke manipulieren oder an sensible Daten gelangen. Cybercrime verursacht mittlerweile ganz enorme Schäden ganz enorme Schäden und gilt als globales Top-Risiko 2024. Betroffen sind mittlerweile Unternehmen jeder Größenordnung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermittelte eine Verlagerung der Attacken: Neben staatlichen Institutionen und Kommunen werden auch immer mehr kleine und mittlere Unternehmen zum Ziel. Bereits 2023 verlor die deutsche Wirtschaft durch Ausfälle kompletter IT-Systeme und massive Störungen der Geschäftsprozesse 205,9 Milliarden Euro. 16,1 Milliarden davon entfielen auf die Folgekosten von Attacken mit Ransomeware – in erster Linie für Verluste an gestohlenen Daten und den neuen Aufbau der Systeme.
Immense Schäden und Bußgelder
Mit Cyberangriffen gehen außerdem nicht selten Verstöße gegen den Datenschutz einher, die gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) Bußgelder nach sich ziehen. So musste die Open University of Cyprus 2023 nach einem Hacker*innen-Zugriff auf personenbezogene Daten und deren Veröffentlichung im Dark-Web ein Bußgeld von 45.000 Euro zahlen, weil die Hochschule Maßnahmen zum Datenschutz versäumt hatte.
Der irischen Centric Health Ltd. wurde nach einem Ransomware-Angriff ein Bußgeld von 460.000 Euro auferlegt, weil Sicherheitsmaßnahmen fehlten und der Zugriff auf Datensätze von rund 70.000 Patient*innen möglich wurde. Eine weitere Folge solcher Ereignisse sind Einbußen der Reputation – das Vertrauen von Stakeholder*innen und Geschäftspartner*innen schwindet, was sehr schnell zu weiteren Verlusten führt.
Cybercrime as a business
Mittlerweile gibt es einen schwarzen Markt für das Geschäft mit Ransomware. Im Dark Web kann jede*r mit etwas krimineller Energie umfangreiche Abonnements auf präparierte, voll automatisierte Software inklusive regelmäßiger Updates erwerben, um auch ohne eigene Hacking-Begabung regelmäßige Angriffe auf IT-Systeme vorzunehmen.
Außerdem sind ganze Attacken als Dienstleistung zu buchen: Cybercrime as a Service. Hacker*innen-Kollektive haben sich arbeitsteilig spezialisiert auf individuelle Leistungen wie DDoS-Attacken, Spam-Mail-Kampagnen oder das Implementieren von Ransomware. Die Kund*innen stellen ihren Menü zusammen und die Dienstleister*innen übernehmen alles – bis hin etwa zum Zahlungsverkehr für Lösegelder. Das äußerst profitable unternehmerische Vorgehen der Anbieter*innen von Ransomware as a Service (RaaS) ist durch die Conti Leaks bekannt geworden. Die mafiöse Größenordnung der Gruppe und ihre sehr wahrscheinlich bestehenden Verbindungen zu Regierungskreisen sollte sehr zu denken geben – hatte sie doch auch einen Fokus auf die Fertigungsindustrien in Deutschland, Großbritannien, Italien und Frankreich gelegt.
2023 wurden in Deutschland durchschnittlich rund 250.000 neue Varianten an Schadprogrammen registriert – und zwar pro Tag! Ransomware gilt dabei als die größte Gefahr. Für das Big Game Hunting und Social Engineering kommen mittlerweile KI und Machine Learning (ML) zum Einsatz – eine ausgesprochen ernste Bedrohung für die Sicherheit der IT. Die Angreifer*innen nutzen die Technologien zum Beispiel für das Schreiben von Programmen, Viren-Codes oder Phishing-E-Mails. Durch ML werden Traffic-Muster, Maßnahmen zur Verteidigung und potenzielle Schwachstellen in Systemen ausgelotet. Generative KI ist in der Lage, auf Basis der Parameter von Spamfiltern Texte in wenigen Minuten so zu gestalten, dass eine Mail nicht mehr als schädlich erkannt wird.
NIS2: Haftung des Managements
Die Aussichten für Unternehmen und Institutionen werden noch prekärer. Die von der EU 2016 eingeführte Richtlinie für Netzwerk- und Informationssicherheit (NIS) wurde 2023 mit NIS2 aktualisiert und stark verschärft. Es wird unterschieden zwischen „wesentlichen“ und „wichtigen“ Einrichtungen, während die KRITIS-Sektoren erweitert werden, damit künftig sehr viel mehr systemrelevante digitale Dienste und Infrastrukturen geschützt sind. „Wesentlich“ sind Organisationen mit mehr als 250 Beschäftigten und mindestens 50 Millionen Euro Jahresumsatz, „wichtig“ solche mit mindestens 50 Beschäftigten und mehr als 10 Millionen Euro Jahresumsatz. Das deutsche Gesetz zur Umsetzung von NIS2 wird voraussichtlich ab Oktober 2024 in Kraft treten. Es schreibt für die IT-Sicherheit Regelungen in der Governance vor.
Danach können Geschäftsführer und Vorstände persönlich haften, wenn für das Risiko-Management erforderliche Maßnahmen nicht eingehalten werden. So haben sie nicht mehr nur die formale Verantwortung für Überwachungs- und Frühwarnsysteme, sondern müssen operativ für möglichst sichere Systeme und einen umfassenden Datenschutz sorgen. Andernfalls kann es die Verantwortlichen mehr als nur viel Geld kosten. Damit kommt auf das Management ein außerordentlich großer Aufwand für die IT-Sicherheit zu: Allein das Einführen interner Richtlinien und das Entwickeln von Konzepten zur Risikoanalyse sowie zur sicheren Bewältigung von Angriffen und Gewährleistung des Betriebs sind äußerst umfangreiche Projekte. Hinzu kommen für zahlreiche Unternehmen notwendige Maßnahmen zur Sicherung von Lieferketten, das Einführen eines Managements von Schwachstellen, organisatorischer Compliance-Strukturen, von Verschlüsselungskonzepten, Zugriffskontrollen oder „Zero-Trust“-Lösungen mit Multi-Faktor-Authentifizierungen für hybrides Arbeiten – um nur eine Reihe von Maßnahmen zu nennen, die mit NIS2 gesetzlich relevant werden.
Die IT-Sicherheit und das Risiko-Management erfordern mindestens eine Management Attention für tiefgreifende technische Anpassungen und Veränderungen in den organisatorischen Abläufen von Unternehmen und Institutionen.
Status der IT-Sicherheit bedenklich
Die Verantwortlichen können sich aber nicht mehr auf einmal eingerichteten Lösungen und Vorschriften ausruhen. Cyber-Kriminalität wurde ein technisch komplexes und – was noch schwerer wiegt – ein dynamisches Problem. Die Rasanz des technologischen Fortschritts, das wachsende Know-how der Angreifer*innen und die ungeheure Menge an Attacken erfordern eine agile und technologisch äußerst versierte Herangehensweise. Doch bisher ist in vielen Unternehmen der statische, reaktive Umgang mit Cyber-Bedrohungen die Regel. Geschützt werden Netzwerke in der Regel durch Lösungen zur Prävention und zum nachträglichen Aufspüren von Malware. Dabei sind viele Security-Teams heillos überfordert: Noch 2022 gab es laut einer Umfrage „zu viele Tools, zu kleine Teams, zu viele Fehlermeldungen“, von denen die allermeisten falsch waren, was auch heute noch immer häufiger zu einer „Alert Fatigue“ führt. Außerdem ist in jedem dritten Unternehmen der Sicherheitsstatus völlig intransparent, weil er nicht angemessen überprüft wird – ein regelmäßiges Pentesting zum Beispiel wurde 2022 von nur 54 % der Unternehmen vorgenommen.
Immerhin legen die Unternehmen mittlerweile einen großen Wert auf maximale Transparenz sämtlicher Aktivitäten in ihren Netzwerken. 82 % wollen das Security Incident & Event Management (SIEM) und über 90 % das Security Monitoring priorisieren. Auch die Awareness, eine Kultur der Cybersecurity, wird stark gefördert. Mitarbeiter*innen wird als kritischer und zugleich relevanter Faktor eine große Bedeutung für die Sicherheit beigemessen. Aber es fehlt eine state of the art Cyber-Resilienz. Kriminelle werden anhand von KI unablässig neue gefährliche Algorithmen entwickeln, Risikoprofile sowie geschäftskritische Prozesse von Unternehmen ausloten und gezielt in die IT-Infrastrukturen eindringen. Deshalb müssen gegen die Bedrohungen unbedingt auch KI und ML aufgeboten werden. Leider gibt es lediglich einen Trend dahin.
Einsatz von KI ohne Alternative
Laut Bitkom Research beschäftigt sich bisher nur eine Minderheit von 14 % der Unternehmen mit dem Einsatz von KI für die IT-Sicherheit, 59 % gaben noch 2023 tatsächlich an, er komme für sie nicht in Frage. Immerhin meinen 35 % der Befragten, dass generative KI für eine Verbesserung der Sicherheit eingesetzt werden könnte. Diese Zahlen lassen Rückschlüsse auf das Bewusstsein und den Status quo hinsichtlich der Cyber-Sicherheit in deutschen Unternehmen zu – die Tilgung allein der technischen Schulden ist kaum von heute auf morgen erledigt. Doch der Einsatz von KI für die IT-Security ist ohne Alternative, wollen wir uns den Angreifer*innen nicht ausliefern, sondern dem Rüstungswettlauf stellen.
Die mittlerweile riesigen Datenmengen in Unternehmen sind nur durch Big-Data-Analytik in Echtzeit anhand von ML-Algorithmen zu bewältigen, um fremde Muster beim Einloggen oder andere bedrohliche Anomalien in den Netzen und auf Endgeräten präzise zu identifizieren. Durch automatisierte Risikoanalysen, Zusammenfassungen von Vorfällen und Warnmeldungen wird im Vergleich zu herkömmlichen Methoden durchschnittlich über die Hälfte der Zeit eingespart. Zahlreiche Reaktionsprozesse für Incident Responses können ebenfalls von KI erledigt werden. Threat Intelligence Tools passen sich neuen Bedrohungen automatisch an, indem sie kontinuierlich Daten auswerten, kritische Ereignisse sammeln und Muster von Angriffen speichern, um diese künftig zu erkennen. Parallel werden auf derselben Basis große Mengen an Fehlalarmen präzise ausgeschlossen. Die Tools übernehmen zuverlässig Analysen verdächtiger E-Mails – Phishing-Angriffe oder Ransomware erreichen ihre Adressat*innen erst gar nicht. Mit KI und ML lässt sich das Risiko der Cyber-Kriminalität deutlich minimieren. Die Technologien ermöglichen ein umfassendes Security Monitoring in Real-Time mit einem weitgehend automatisierten Detection- und Response-Management – für das Aufrechterhalten geschäftlich relevanter Prozesse.
KI-driven XDR
Eine bereits ausgereifte Lösung dafür ist XDR – Extened Detection & Response. Es gewährleistet das permanente Monitoring eines Netzwerks und sämtlicher Endgeräte hinsichtlich der Entdeckung und Behandlung akuter kritischer Vorfälle. Dafür werden in einem Security Operations Center (SOC) alle in einer Infrastruktur aufkommenden Incidents und Events gesammelt. Eine verhaltensbasierte Netzwerküberwachung und eine automatisierte Forensik sorgen für die Reaktion auf sicherheitsrelevante Unregelmäßigkeiten, sobald sie innerhalb eines Perimeters vorkommen. Jeder Vorfall wird genau bewertet und entsprechend der vorgefundenen Risiken erfolgt ein passender Incident Response zu seiner akuten Bekämpfung (Network Detection & Response; NDR). Diese Echtzeitüberwachung wird parallel auf sämtliche angebundenen Endgeräte erweitert (Endpoint Detection & Response; EDR). Auf externen PCs in Homeoffices, auf Laptops, Tablets oder Smartphones sorgt ebenfalls ein verhaltensbasiertes Incident- und Event-Monitoring für Transparenz und Sicherheit. XDR umfasst damit die Überwachung sämtlicher IT-Komponenten vom Endpunkt über Netzwerk-Sensoren bis hin zu Cloud-Instanzen und Microservices. Um die Sicherheit permanent zu gewährleisten, werden unter anderem regelmäßige Simulationen vorgenommen und potenzielle Schwachstellen ausgeschlossen. Durch den Einsatz integrierter KI- und ML-Lösungen können sich die Mitarbeiter*innen im SOC auf andere Aufgaben wie zum Beispiel noch unklare Ereignisse im System konzentrieren. So werden Ausfälle von Anwendungen deutlich reduziert und Unterbrechungen des Betriebs nahezu ganz vermieden. Sämtliche Aspekte der Sicherheit sollten aber unbedingt bereits bei der Entwicklung und Einführung neuer Geschäftsprozesse umfassend berücksichtigt werden.
DevSecOps ist gefragt
Für das Einrichten von Sicherheitslösungen, die den heutigen massiven Bedrohungen angemessen sind, müssen Unternehmen die Lücken zwischen Entwicklungs-, Betriebs- und Security-Teams schließen. Für ein angemessenes Application Performance Management und umfassendes Monitoring ist mindestens die Konvergenz der Bereiche Security und Operations erforderlich. Laut einer Umfrage von Cato Networks betrachten das 76 Prozent der befragten Unternehmen mittlerweile auch als unerlässlich. Durch eine einheitliche Plattform für beide Teams wird die gesamte Organisation resilienter und schlagkräftiger. Carlsberg A/S hat laut Tal Arad, CISO des dänischen Unternehmens, diese Konsolidierung zu SecOps vorgenommen und nutzt die Vorteile: „Durch die Zusammenführung von Netzwerk- und Sicherheitsteams konnten wir die „Revierkämpfe“ beilegen, die die IT-Abteilung so lange beeinträchtigt hatten. Wir sind in der Lage, potenzielle Hintertüren, die durch Änderungen am Netzwerk entstehen, zu identifizieren und darauf zu reagieren und umgekehrt betriebliche Probleme aufgrund von Änderungen im Bereich Sicherheit viel schneller zu erkennen – weil unser Sicherheits- und Netzwerkpersonal als ein einziges Team zusammenarbeitet.“ SecOps erhöht die Agilität und Effizienz bei der Reaktion auf Bedrohungen sehr deutlich.
Inzwischen hat auch der kulturelle Wandel zu DevSecOps begonnen und sollte noch forciert werden. Denn er ist darauf ausgerichtet, BizOps-Prozesse mit Sicherheitslösungen schon während der Entwicklung von IT-Lösungen zu verknüpfen. Allerdings fand Security by Design noch 2022 bei nur bei 43% der deutschen Unternehmen eine angemessene Berücksichtigung. Und laut einer globalen Studie von Dynatrace sind lediglich 50 Prozent der befragten CISOs sicher, ob die von ihren Entwicklungsteams gelieferte Software vollständig auf Schwachstellen hin untersucht wurde, bevor sie in Produktionsumgebungen eingesetzt wird. Es sollte die Verantwortlich*innen aber bewusst sein, dass im Business jeder Klick zählt, jede einzelne Transaktion potentiell ein Risikofaktor ist und jede Anomalie in Echtzeit ohne nennenswerte Verzögerungen eliminiert werden muss.
Mit diesem „Bewusstsein der Transaktion“ – als Kernelement der Business-Prozesse – müssen agile Teams neue geschäftskritische Anwendungen auch hinsichtlich aller Aspekte der Security entwickeln, um zuverlässig sichere Lösungen in bereits gut geschützte Umgebungen zu integrieren. Umgebungen, in denen sämtliche Anomalien entdeckt und erfolgreich behandelt werden – durch ein KI-gestütztes Echtzeit-Monitoring und Intelligent Incident Response.
Quellenverzeichnis
Hochgerechnete Gesamtschadenssumme nach Selbsteinschätzung befragter Unternehmen; https://de.statista.com/statistik/daten/studie/444719/umfrage/schaeden-durch-computerkriminalitaet-in-deutschen-unternehmen/.
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html.
General Data Protection Regulation (GDPR); EU-weit vereinheitlichte Regeln für die private und öffentliche Verarbeitung personenbezogener Daten.
Siehe Artikel 20, Governance: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555#d1e3318-80-1.
https://www.bitkom.org/sites/main/files/2023-10/231030-PI-KI-gegen-Cyberattacken-Print.JPG.
The State of Global Security Operations, Whitepaper, Arctic Wolf Networks Germany GmbH 2022; https://whitepapers.theregister.com/paper/view/15118/the-state-of-global-security-operations.
Morning Consult, Global Security Operations Center Study Results, 2022; https://www.ibm.com/downloads/cas/5AEDAOJN.
Studie der Lünendonk & Hossenfelder GmbH mit KPMG, Von Cyber Security zur Cyber Resilience – mehr Digitalisierung, mehr Cyber-Bedrohung? 2022; https://www.luenendonk.de/produkte/studien-publikationen/luenendonk-studie-2022-von-cyber-security-zur-cyber-resilience-wie-finanzdienstleister-auf-die-neue-bedrohungslage-reagieren-it/.
Cato Networks SASE Adoption Survey 2023; https://go.catonetworks.com/sase-adoption-survey-2023-findings-ebook.html.