Cyber Security Trends 2016
Mehr Angriffe, neue Ziele: Industrial Control System (ICS) Security wichtiger denn je

Olaf Siemens, TÜV Rheinland

Wie werden neue Technologien und die sich verschärfende Cyber-Bedrohung Wirtschaft und Industrie 2016 beeinflussen? Welche Konsequenzen resultieren daraus für IT-Security-Entscheider, insbesondere mit Blick auf Industrie 4.0 und das Internet der Dinge? Wie müssen sich vor diesem Hintergrund Cyber Security und Risikomanagement wandeln? Damit haben sich führende Security Analysten und Consultants von TÜV Rheinland in Deutschland sowie in Großbritannien und den USA befasst.

2016 wird es mehr Angriffe und neue Ziele geben. Die Qualität durch komplexe Attacken seitens bestens ausgerüsteter, top-qualifizierter Angreifer wird weiter steigen. Unabhängig von ihrer Größe gibt es für keine Organisation 100-prozentige Sicherheit. Um den Betrieb trotz eines Angriffs aufrechtzuerhalten oder nach einer Attacke so schnell wie möglich wiederaufzunehmen, wird es neben allen relevanten Schutzmaßnahmen umso wichtiger, dass man mit solchen Angriffen rechnet und solide Prozesse etabliert hat, um Sicherheitsvorfälle schnell und effizient zu erkennen, zu qualifizieren und abzuwehren (Security-Incident-Response).

Die gute Nachricht: Nach einem Schwerpunkt auf Compliance in den vergangenen Jahren stehen für Organisationen zunehmend Informationssicherheit und Risikomanagement im Fokus, insbesondere auf der Ebene des Top-Managements. Im kommenden Jahr ist es für IT-Security-Entscheider wichtig, folgende Trends in Betracht zu ziehen:

  • Cyber-Kriminalität wird einfacher und lukrativer. 
  • Industrial Control System (ICS) Security wird wichtiger denn je. 
  • Incident Response wird zum Daily Business. 
  • Das Internet der Dinge (Internet of Things = IoT) bringt weitere Angriffswege hervor.
  • Die Cloud sorgt für neue Betriebsmodelle. 
  • Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch. 
  • Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt. 
  • Informationssicherheit geht weit über klassische Compliance hinaus.
  • Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion. 

Cyber-Kriminalität wird einfacher und lukrativer. Die Industrialisierung und Professionalisierung im Dark Web schreitet voran. Leicht zu beschaffende Cyber Crime Toolkits werden mehr und mehr zu einem „Produkt“ mit After Sales Support, während Fähigkeiten wie die Durchführung von ‘Distributed Denial of Service’ (DDoS) als günstige Cloud Services zu haben sind. Die zunehmende Digitalisierung der Wirtschaft macht Cyber Crime immer lukrativer und den Einsatz der neuesten APT-Methoden (Advanced Persistent Threats = gezielte komplexe Attacken) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Hidden Champions im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziel von Cyber-Angriffen zu werden. Das ist ein bedauerlicher Trend, dem man nur begegnen kann, indem man ihn erkennt und sich aktiv davor schützt.

Industrial Control System (ICS) Security wird wichtiger denn je. Im Zusammenhang mit der intelligenten Fabrik (Industrie 4.0/Vierte industrielle Revolution), der zunehmenden Digitalisierung von Fertigungstechnik und Logistik sowie dem Einsatz cyber-physikalischer Systeme in der Produktion gewinnt Industrial Control System (ICS) Security eine neue Relevanz. Unter ICS ist ein Verbund von Automatisierungs-, Prozesssteuerungs- und Prozessleitsystemen zu verstehen, die elektronisch miteinander kommunizieren. Zu finden sind ICS in nahezu allen automatisierten Produktionsanlagen: von der Stromerzeugung über die Wasserversorgung bis zur klassischen industriellen Serienfertigung. ICS Security hat die Absicherung dieser Systeme im Fokus. Denn bisher sind in Industrienetzwerken vielfach zu wenige Sicherheitsmechanismen implementiert, was ein vergleichsweise einfaches Eindringen der Angreifer ermöglicht. Die verwendeten Protokolle in Industrienetzwerken sind zwar robust, aber in vielen Fällen nicht sicher. Zusätzlich verschwinden immer mehr nicht routingfähige Protokolle vom Markt und werden durch routingfähige ersetzt, was den Angreifern ein ungehindertes Fortbewegen im Netzwerk ermöglicht. Dies wird noch dadurch erleichtert, dass es kaum Grenzen zwischen den Zonen gibt und Kontrollmechanismen im Perimeter vielfach nicht vorhanden sind. Im Rahmen der Machine-to-Machine-Kommunikation (M2M), bei der Endgeräte wie Maschinen, Automaten oder Fahrzeuge einen automatisierten Informationsaustausch ausführen, der wachsenden Vernetzung und einer zunehmenden Aufweichung der Perimeter-Sicherheit von Organisationen wird es immer wichtiger, dass Unternehmen verstehen lernen, wie Office-IT und Produktions-IT sowie die IT im Kontext von Industrie 4.0 und die konventionelle Produktion bei der Abwehr von Angriffen zusammenarbeiten sollten. Es geht um ein tieferes Verständnis erforderlicher Prozesse und Technologien zu Prävention, Detektion und Abwehr von Angriffen und wie die systematische Behandlung von Sicherheitsvorfällen auch und gerade im Bereich der Produktions-IT funktionieren sollte. 

Incident Response wird zum Daily Business. Signaturbasierte Antivirus-Lösungen haben nach wie vor ihre Berechtigung, zählen aber inzwischen lediglich zu grundlegenden Faktoren der IT-Security-Hygiene. In Zukunft wird es wichtiger sein, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen, was bedeutet: Unternehmen benötigen mehr denn je leistungsfähige Incident-Response-Strukturen. 

Zur Begriffsklärung: Mit Incident Response (systematische Behandlung von Sicherheitsvorfällen) ist die strukturierte Reaktion auf einen Sicherheitsvorfall gemeint. Ziel ist es, die Folgen eines Cyber-Angriffs fokussiert und aktiv zu managen: also mögliche Schäden zu begrenzen, die Wiederherstellungszeit für Daten, Prozesse und Systeme so weit wie möglich zu verkürzen und die Kosten für den gesamten Ablauf so niedrig wie möglich zu halten. Eine Incident-Response-Planung beinhaltet eine Strategie, die im Vorfeld genau definiert, was die Organisation unter einem Sicherheitsvorfall versteht und welche Prozessschritte bei der Behandlung des Vorfalls einzuhalten sind. Das frühzeitige Aufspüren gezielter komplexer Angriffe erfordert die Analyse großer Datenmengen. Das bedarf Experten-Know-hows, professioneller neuer Tools und einer beständigen Anpassung an Technologie-Trends im Bereich Mobile, Cloud und Internet der Dinge, denn der Datenstrom wird noch exponentiell wachsen. 

Über eine Incident-Response-Strategie zu verfügen, zählt zu den reaktiven Maßnahmen der IT Security, die ebenso relevant sind wie proaktive, etwa die Implementierung eines Informationssicherheits-Managementsystems (ISMS = ein Regelwerk innerhalb eines Unternehmens zur Definition, Steuerung, Kontrolle und fortlaufenden Steigerung von Informationssicherheit im Unternehmen nach national oder international vergleichbaren Normen) oder das Unternehmens-Architekturdesign. Mit einer Incident-Response-Strategie übernimmt das Unternehmen originäre Verantwortung für seine IT-Sicherheit, denn die Organisation muss sich dafür ihre Risiken bewusst machen und setzt sich aktiv damit auseinander, was zu tun ist, wenn diese eintreten bzw. wie sie diesen begegnen kann.

Das Internet der Dinge (Internet of Things = IoT) bringt weitere Angriffswege hervor. Die Attacken der jüngsten Vergangenheit auf vernetzte Car-IT sowie vernetzte kritische Infrastrukturen und Industrieanlagen sind erst die Spitze des Eisbergs. Nicht nur bis dahin als sicher angenommene technologische Ökosysteme werden sich als verwundbar herausstellen. Die Entwicklung neuer vernetzter Produkte und das Internet der Dinge erweisen sich in Bezug auf mögliche Schwachstellen als regelrechte Fundgrube für Angreifer, insbesondere mit Blick auf nicht abgesicherte Endgeräte, die eine „Brückenfunktion“ zwischen dem Internet der Dinge und Backend-Systemen übernehmen. 

Noch legen Produkthersteller bei der Entwicklung mehr Wert auf Features statt auf Sicherheit. Auf Seiten der Anwender wachsen allerdings das Verständnis und die Sensibilität für die Bedeutung von Cyber Security. Um Innovationen nachhaltig durchzusetzen, wird Security by Design zu einem kritischen Erfolgsfaktor. 

Fraglich ist, wann Hersteller entschlossen die Initiative ergreifen, ihre zunehmend vernetzten und intelligenten Produkte und Infrastrukturen im Internet der Dinge besser gegen Cyber-Angriffe abzusichern. Neben wirtschaftlichen Verlusten und Reputationsschäden könnte es ein Motivationsfaktor sein, dass Anwender Cyber Security bei vernetzten Geräten nicht nur stärker einfordern, sondern auch bereit sind, dafür zu zahlen, sodass nicht erst eine größere Attacke den entscheidenden Impuls dazu gibt, dass die Industrie hier aktiv wird.

Die Cloud sorgt für neue Betriebsmodelle. Unternehmen setzen ihre Migration in die Cloud fort, die Managed Private Cloud ist dabei weiterhin stark auf dem Vormarsch. Dabei bleiben geschäftskritische Daten des Cloud-nutzenden Unternehmens in einer privaten Cloud-Computing-Umgebung im eigenen Rechenzentrum; Server, Speicher-Systeme und Netzwerkkomponenten werden von einem externen Service Provider remote verwaltet.

Vorteile in Bezug auf Agilität und Kosten überwiegen zunehmend die angenommenen Risiken. Der Weg in die Cloud entbindet Organisationen nicht von ihrer Verantwortung, die Geschäfts- und Kundendaten entsprechend abzusichern. Gerade, weil sich Betriebsmodelle ändern, wird es darum gehen müssen, zu definieren, welche Aufgaben und Verantwortlichkeiten die Organisation und welche der Cloud Service Provider übernimmt und wie Risiken zu managen sind. Die Betriebsverantwortung für das Sicherheitskonzept wird teilweise weiterhin beim Cloud-nutzenden Unternehmen bleiben. Dies betrifft z. B. Incident-Response-Strukturen und -Maßnahmen und macht den Schutz von Identity und Access Management (IAM = dynamische Pflege von digitalen Identitäten und automatische Provisionierung von Berechtigungen auf Basis einer Software-Anwendung) zu einem weiteren wichtigen Bereich zur Absicherung der Organisation. Es wird immer wichtiger zu verstehen, wie ein Cloud-nutzendes Unternehmen Sicherheitsereignisse erkennen und behandeln kann und wie dies auch zu einem elementaren Teil der Cloud-Strategie wird. Ein Teil der Antwort liegt in der Verschlüsselung der Daten, bevor diese in die Cloud wandern und darin, dass die verantwortliche Organisation die Hoheit über die Schlüssel behält und nicht der Cloud Provider. Darüber hinaus sind tragfähige interne IT-Regelungen (Governance) erforderlich, die sicherstellen, dass die IT die Business-Strategie und Geschäftsprozesse auch während der Übergangsphase weiterhin reibungslos unterstützt. 

Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch. Der komplexen Bedrohungslage steht die Mehrheit von IT-Security-Teams heute vielfach überfordert gegenüber. Allerdings: Es wird immer schwieriger, geeignete IT-Security-Experten zu finden. Andererseits scheuen viele Unternehmen langfristige Investitionen in kostenintensive Monitoring- und Analyse-Tools, um gezielte komplexe Angriffe abzuwehren.

Eine wirtschaftlich attraktive Alternative, um Engpässe in punkto Personal und Technologie zu umgehen, sind Managed Security Services (MSS). Sie erlauben einen bedarfsorientierten und skalierbaren Abruf von aktuellem Know-how, von Experten-Support für eine zeitnahe Problemlösung und den Einsatz innovativer Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt. 

Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt. Cyber Threat Intelligence (CTI) gewinnt als Teildisziplin proaktiver Informationssicherheit immer mehr an Relevanz. Aufkommende methodische und technologische Trends so früh wie möglich zu identifizieren und auf ihre Kritikalität zu analysieren, wird immer wichtiger für Organisationen. Wesentlich ist auch, die eigenen Abwehrfähigkeiten regelmäßig auf neue Bedrohungen zu überprüfen. Weil Unternehmen intern häufig nicht über das Know-how verfügen, wird die Nachfrage nach externen Spezialisten für Cyber Threat Intelligence (CTI) steigen. Diese Kenntnisse konzentrieren sich vor allem auf die Bereiche Cyber-Crime, Cyber-Aktivismus und Cyber-Spionage. 

Informationssicherheit geht über klassische Compliance hinaus. Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, verlassen Organisationen verstärkt ihre auf Compliance fokussierte Perspektive und nehmen einen stärker risikobasierten Standpunkt ein. Ein risikobasierter Ansatz schärft die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen. Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden. Dies gilt auch und vor allem in den Bereichen Medizin und Gesundheitsvorsorge. 

Auch die Steuerung von Daten (Data Governance), Datenschutz und Zustimmungsmodellen (consent models) wird zunehmend relevanter, um Integrität, Vertraulichkeit und Sicherheit von Daten zu gewährleisten. Die Implementierung risikobasierter Verfahren für ein besseres Verständnis von Datenfluss und -steuerung wird eine wesentliche Grundlage für Unternehmenswachstum in der digitalen Wirtschaft sein.

Das richtige Management von IT-Risiken wird für die Sicherheit der gesamten Organisation immer wichtiger. Risikomanagement, die Planung des betrieblichen Kontinuitätsmanagements (Business Continuity Management) sowie Unternehmensarchitektur werden weiter miteinander verzahnt. 

Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion. Die Anforderungen an Datenschutz und Datensicherheit werden für Betreiber kritischer Infrastrukturen weiter konkretisiert. Die konkreten Auflagen in Bezug auf Meldepflicht und den Nachweis zur Implementierung angemessener Standards der Informationssicherheit führen zu einem verstärkten Beratungsbedarf kleiner und mittelständischer Unternehmen. 

 

 

 

Schlüsselwörter:

Cyber-Attacken, Cyber-Sicherheit, Sicherheitsvorfälle, Industrielles Internet, Internet der Dinge, IT-Sicherheit in der Produktion, APT, gezielte komplexe Angriffe, CTI, Datenschutz, Datensicherheit, ICS-Sicherheit