Home > Interview > Tim Philipp Schäfers: „IT-Sicherheit ist ein kontinuierlicher gemeinsamer Verbesserungsprozess“

Tim Philipp Schäfers: „IT-Sicherheit ist ein kontinuierlicher gemeinsamer Verbesserungsprozess“

IT-Sicherheit
Tim Philipp Schäfers: „Mein Appell an Stadtwerke und Energieversorger: Vernetzen Sie sich mit anderen Unternehmen! Teilen Sie partnerschaftlich Wissen und Know-how, bringen Sie sich in Verbänden und Arbeitsgruppen ein und seien Sie offen für Kollaborationen und neue Technologien!" (Bild: OEDIV)

Whitehat-Hacker und Cybersecurity-Experte Tim Philipp Schäfers über auch bei EVU noch immer weit verbreitete Versäumnisse – und wirksame Maßnahmen für mehr IT-Sicherheit

Es ist schon erstaunlich: Obwohl drei Viertel aller kürzlich im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) befragten Entscheider*innen und IT-Verantwortlichen kleiner und mittelgroßer Unternehmen das Risiko erfolgreicher Cyberattacken abstrakt als hoch erachten, sehen immer noch zwei Drittel der Führungskräfte keinen akuten Handlungsbedarf, wenn es um das Schließen eigener Sicherheitslücken geht. Eine nicht selten existenzbedrohende Fehleinschätzung, wenn man sich allein die enormen Kosten und die reale Gefahr eines dauerhaften Verlustes geschäftskritischer Daten durch mittlerweile hochprofessionelle und weltweit konzertierte Ransomware-Angriffe vor Augen führt.

Angesichts ihrer Systemrelevanz geraten zunehmend auch Unternehmen der kritischen Infrastruktur ins Fadenkreuz privater oder staatlich gesteuerter Tätergruppen. Beispielhaft dafür stehen die jüngsten Angriffe auf die Mainzer Stadtwerke, das Darmstädter Versorgungsunternehmen Entega AG, die Frankfurter Entsorgungs- und Service-GmbH oder die Reitzner AG, einen IT-Dienstleister der Donau-Stadtwerke Dillingen-Lauingen. Nach Aussage der Generalstaatsanwaltschaft Bamberg ermittle die Zentralstelle Cybercrime Bayern in Dillingen gegen russischsprachige Hacker. Kein Einzelfall, wie der Vizepräsident des Bundesnachrichtendienstes (BND) Wolfgang Wien auf einer Konferenz Ende Juni betonte: „Uns muss bewusst sein: Russland ist in unseren Netzen.“ Die Zugänge dafür seien frühzeitig – häufig schon vor einigen Jahren – beschafft worden (> Mehr dazu hier). Eine gefährliche Tendenz, wie auch Tim Philipp Schäfers, Teamleiter im Bereich Security und Cyber Security Consulting der OEDIV Oetker Daten- und Informationsverarbeitung KG, bestätigen kann.

Dr. Anke Schäfer sprach mit Schäfers für energie.blog über die aktuelle Gefährdungslage und warum es so wichtig ist, eine ganzheitliche Cybersecurity-Strategie zu entwickeln und IT-Sicherheit als einen kontinuierlichen internen Verbesserungsprozess zu verstehen.

?: Gefahr erkannt – Gefahr verdrängt. So ließe sich die Einstellung mancher Entscheider*innen beim Thema Cybersicherheit umschreiben. Angesichts der Tatsache, dass deutsche Sicherheitsbehörden seit Ausbruch des russischen Krieges gegen die Ukraine immer wieder vor verstärkten Cyberattacken auf das deutsche Energie- und Kommunikationsnetz warnen, erscheint es schon verwunderlich, welch hohes Maß an Leichtsinn und Sorglosigkeit leider immer noch besteht. Allein die russischen Hackerangriffe auf den Deutschen Bundestag seit 2015 und die NetCom BW GmbH im Sommer 2017 haben doch gezeigt, wie verletzlich unsere kritischen Infrastrukturen sind und wie leicht weiterreichende Manipulationen und Verluste sicherheitsrelevanter, sensibler Daten schon damals möglich gewesen wären. Wie real ist das Bedrohungsrisiko aus Ihrer Sicht?

!: Schon heute entsteht der deutschen Wirtschaft nach Angaben des Bitkom e.V. durch Diebstahl, Spionage und Sabotage ein jährlicher Gesamtschaden von 223 Mrd. Euro – Tendenz steigend. Der gerade erschienene > Watch Guard Internet Security Report belegt dies eindrücklich: Allein im ersten Quartal 2022 wurden doppelt so viele Ransomware-Angriffe registriert wie im gesamten Jahr zuvor. Gut die Hälfte der Cyberkriminellen nutzt dabei eine Kombination aus Datenverschlüsselung und Datendiebstahl, um ihre Opfer zur Zahlung von Lösegeldforderungen, englisch ransom, zu zwingen, wobei die daraus resultierenden Kosten für Ausfallzeiten und Wiederherstellung noch einmal 10- bis 15-mal höher sein können als das eigentliche Lösegeld. Dennoch ist es grundsätzlich nicht ratsam, Lösegeldzahlungen nachzukommen, da sie noch lange keinen verbindlichen Anspruch auf eine Freigabe der Daten begründen.

Sorge: Cyberkriminelle könnten sich dauerhaft in gehackten Netzwerken verstecken

In diesem Zusammenhang geht es schon lange nicht mehr allein um ein äußerst lukratives Geschäftsmodell für hochprofessionell organisierte und weltweit agierende kriminelle Netzwerke. Auch zwischen- und innerstaatliche Konflikte werden zunehmend auf den Schlachtfeldern des Cyberspace ausgetragen, wie wir in der Ukraine und seit 2016 immer häufiger in unseren westlichen Demokratien sehen. Das Spektrum hybrider Kriegsführung und staatlich gesteuerter Cyberangriffe reicht von klassischer Spionage hin zu Sabotage und gezielter Aushöhlung demokratischer Strukturen durch Lieferengpässe, Desinformation, Aufstachelung und Verunsicherung einzelner Bevölkerungsgruppen. Dabei verschwimmen die Grenzen zwischen privaten und staatlichen Hackergruppen immer weiter.

Eine unserer größten Sorgen ist es, dass sich Cyberkriminelle dauerhaft in kompromittierten Netzwerken der kritischen Infrastruktur festsetzen und dort unentdeckt einige Monate, manchmal sogar Jahre abwarten, um in einem besonders vulnerablen Moment den größtmöglichen Schaden für Unternehmen, deren Kund*innen und das Gemeinwohl herbeizuführen.

?: Machen wir es diesen Tätergruppen zu einfach?

!: Definitiv. Auch ich bin erstaunt, wie leicht oft ein unbeschränkter Zugang möglich ist. Das geht bereits los bei der häufig unterlassenen Separierung der Office-Netzwerke vom eigentlichen Kernbetrieb der kritischen Infrastrukturen. Sie ist ein Gebot der Stunde, um Angreifer fernzuhalten. Nicht selten fehlt es aber auch an einem professionellen Release-, Patch- und Berechtigungsmanagement oder – ganz banal – an sicheren Passwörtern und einer konsequenten Trennung privater und beruflicher Mailaccounts.

Multifaktor-Authentifizierung – ein ebenso einfacher wie wirksamer Schutz

Eine weitere, ebenso einfache Sicherheitsmaßnahme ist die Multifaktor-Authentifizierung. Sie kombiniert wie beim Online-Banking zwei oder mehrere voneinander unabhängige Berechtigungsnachweise, um die Rechtmäßigkeit der Transaktion zu verifizieren. Wir können uns diese mehrschichtigen Sicherheitsmechanismen wie die Verteidigungswälle einer mittelalterlichen Burg vorstellen. Erst wenn die Angreifer mehrere dieser eigenständigen Schutzniveaus überwinden können, ist der tipping point erreicht, an dem ein noch beherrschbarer Einzelangriff zu einer großflächigen strukturellen Sicherheitslücke und damit zu einer ernst zu nehmenden Bedrohung wird. Über die wachsende Professionalisierung privater und staatlicher Tätergruppen sprachen wir ja bereits. Gerade die Multifaktor-Authentifizierung ist ein ebenso einfacher wie wirksamer Schutz, um kriminellen Access-as-a-Service-Modellen die Geschäftsgrundlage zu entziehen.

?: Während viele Unternehmen bei der Prävention und Detektion, z. B. über Firewalls und Antivirusprogramme, durchaus vorbildlich sind, trifft ein realer Cyberangriff so manchen völlig unvorbereitet. Wie können Unternehmen hier professionell reagieren und ihre Souveränität bewahren?

!: Mit einem krisensicheren Business Continuity Management kann der reguläre Betrieb nach einer störungsbedingten Unterbrechung schnellstmöglich wiederaufgenommen werden. So werden Schäden reduziert und existentielle Bedrohungen vermieden, z. B. durch unterbrochene Lieferketten. Ein effektives IT Asset Management und eine Bewertung der jeweiligen Assets im Vorfeld sorgen hierbei für mehr Sicherheit, Transparenz und Produktivität.

?: Heute geht es nicht mehr darum, ob ein Cyberangriff auf die eigene IT-Infrastruktur stattfinden wird, sondern wann dies passiert und wie schnell dieser erkannt und erfolgreich abgewehrt werden kann. Auch angesichts der von Ihnen  beschriebenen Sorglosigkeit: Was können Unternehmen tun, um sich erfolgreich gegen Cyberkriminalität aufzustellen?

Die Langsamsten werden zuerst gefressen

!: Um das eigene IT-Sicherheitsmanagement kontinuierlich zu verbessern, bedarf es einer ehrlichen Bestandsaufnahme: Wo stehen wir, auch im Vergleich zum Wettbewerb, zu anderen Stadtwerken und Energieversorgern? Keinesfalls sollte man hier der Letzte sein. Darwins Regel vom survival of the fittest gilt gerade auch vor dem Hintergrund eines exponentiell ansteigenden Bedrohungsrisikos aus dem Cyberspace: Die Langsamsten werden zuerst gefressen.

Hier ist oft noch ein Umdenken erforderlich: Zu viele Entscheider*innen sehen die Entwicklung einer nachhaltigen Cybersecurity-Strategie leider immer noch als Kostenfaktor ohne einen direkten, wertschöpfenden Benefit für das Kerngeschäft. Zudem lässt ein angespanntes Tagesgeschäft nur wenig Freiraum für strategisch-konzeptionelle Überlegungen. Dabei verhindert ein stetig weiterentwickeltes IT-Sicherheits- und Krisenmanagement gefährliche Schwelbrände, die die kritischen Infrastrukturen in ihrem Mark treffen und katastrophale Kaskadeneffekte für die gesamte Gesellschaft haben.

Indem im Kontext Cybersecurity beispielsweise ein bereichsübergreifendes und transparentes Kennzahlensystem aufgesetzt wird, können sich die verantwortlichen Fach- und Führungskräfte einen schnellen Überblick über das aktuelle Bedrohungsrisiko verschaffen. Schon ein einfaches Ampelsystem verhindert so einen gefährlichen und letztlich kostspieligen Blindflug.

IT-Sicherheit sollte ganzheitlich betrachtet werden und Chefsache sein

?: Ihr konkreter Rat an das Management?

!: IT-Sicherheit sollte ganzheitlich betrachtet werden und grundsätzlich Chefsache sein. Hier hat es sich bewährt, analog zum Datenschutz und unter klarer Definition der Verantwortlichkeiten einen externen Informationssicherheitsbeauftragten, kurz ISB, hinzuzuziehen – nicht nur im Rahmen einer geplanten Zertifizierung gemäß ISO 27001 und IT-Grundschutz. Durch den Aufbau gemeinsamer IT-Sicherheitsstrukturen mit anderen Unternehmen entstehen wertvolle Synergien, die die eigenen Personal-, Anschaffungs- und Administrationskosten erheblich senken.

?: Im Zusammenhang mit der Pandemie signalisieren viele kommunale Unternehmen, Wasser- und Energieversorger, dass entsprechende Notfall- und Katastrophenpläne schon lange vorliegen…

!: Eine zum Teil trügerische Sicherheit. Das IT-Krisenmanagement sollte kontinuierlich bereichsübergreifend in der Praxis optimiert werden, damit mögliche Schwachstellen systematisch ausgebessert werden können. Das reicht vom schrittweisen Hochfahren der IT-Systeme bis hin zur juristischen Absicherung und zu einer ehrlichen, authentischen Kommunikation mit Mitarbeiter*innen, Kund*innen und weiteren Stakeholdern. Gezielte Awareness-Trainings machen hier den Unterschied.

Doch nicht jede Bedrohung geht von externen Angreifern aus. Eine offene, wertschätzende Unternehmenskultur und die gezielte Nutzung effektiver Security-Information- und Event-Management-Systeme, kurz SIEM, kann dem maliziösen Verhalten Einzelner vorbeugen.

Kompetente Partner auf Augenhöhe an Bord holen

?: Kleine und mitttelgroße Unternehmen der kritischen Infrastruktur haben oft nicht die personellen oder finanziellen Ressourcen, um ein so komplexes Thema wie die Umsetzung einer ganzheitlichen Cybersecurity-Strategie systematisch anzugehen. Welche Möglichkeiten zur Entlastung gibt es hier?

!: Aus unserer langjährigen Erfahrung bei der Entwicklung und Umsetzung ganzheitlicher IT- und IT-Sicherheitsstrategien weiß ich: Unternehmen der kritischen Infrastruktur sind gut beraten, wenn sie auf kompetente, verlässliche Partner auf Augenhöhe setzen. Das zahlt sich beispielsweise bei der Nutzung eines Security Operations Centers, kurz SOC, aus, wie wir es anbieten. 24 Stunden am Tag und 365 Tage im Jahr stellt hier hochqualifiziertes Personal den reibungslosen Betrieb der IT-Infrastruktur sicher und garantiert ein frühzeitiges und professionelles Incident Response Management – selbstverständlich mit den jeweiligen flankierenden Konfigurations-, Monitoring-, Analyse- und Reporting-Dienstleistungen. Kleine und mittlere Unternehmen fehlen dazu vor allem an Wochenenden und in den Abendstunden die personellen Ressourcen – eine Sicherheitslücke, die Angreifer nur zu gern ausnutzen.

IT-Sicherheit

Die Komponenten eines ganzheitlichen IT-Sicherheitsmanagements. (Quelle: OEDIV)

Zugleich stellen die Pandemie und unsere neue hybride Arbeitswelt neue Anforderungen an eine bereichsübergreifende 360-Grad-Sicherheitsstrategie. Hier gibt es – wie etwa von OEDIV KG und OEDIV SecuSys – eine Vielzahl an passgenauen, branchenunabhängigen IT-Lösungen – mit virtuellen Apps und Desktops, einem effektiven Mobile Device Management zum Schutz vor Cyberangriffen, einem rollenbasierten Zugriffs- und Bearbeitungsmanagement und weiteren maßgeschneiderten Cloud Security Services. IT Security Assessments bieten hier eine erste Orientierung.

Professionelles Identity & Access Management erhöht das Schutzlevel

Unternehmen der kritischen Infrastrukturen unterliegen durch das IT-Sicherheitsgesetz 2.0 speziellen Auflagen, durch die eine frühzeitige Risikoerkennung erzielt und mittels technologischer Maßnahmen Betriebsausfälle vermieden werden sollen. Eine wesentliche Rolle spielt dabei die Sicherstellung authentifizierter Zugriffsrechte, um sensible Daten zu schützen. Ein leistungsstarkes, automatisiertes Identity & Access Management, wie es die OEDIV SecuSys GmbH z. B. kürzlich > bei den Stadtwerken Velbert eingeführt hat, versetzt Unternehmen in die Lage, die Zugriffsberechtigungen und -voraussetzungen ihrer Mitarbeitenden effektiv zu managen und das Schutzlevel der komplexen T-Systeme zu erhöhen.

Dabei muss im Kontext Datenschutz und IT-Sicherheit eine Datenauslagerung in die Cloud nicht unbedingt nachteilig sein – im Gegenteil. Die Zusammenarbeit mit Hyperscalern  – z. B. Microsoft Azure – bietet mit einem hohen Maß an Standardisierung und hochspezialisiertem, langjährig geschultem Personal viele Vorteile gegenüber der klassischen On-premise-Lösung.

Es gibt eine große Bandbreite an maßgeschneiderten Dienstleistungen und Softwarelösungen. Mein Appell daher an alle Stadtwerke und Energieversorger: Vernetzen Sie sich mit anderen Unternehmen und verstehen Sie IT-Sicherheit als einen kontinuierlichen gemeinsamen Verbesserungsprozess! Teilen Sie partnerschaftlich Ihr Wissen und Know-how, bringen Sie sich aktiv in Verbänden und Arbeitsgruppen ein und seien Sie offen für Kollaborationen und neue Technologien! So weiten Sie Ihren Blick und profitieren gerade auch im Bereich der Cybersecurity von einer höheren Wertschöpfung.

?: Herr Schäfers, vielen Dank für das Gespräch!

Über Tim Philipp Schäfers
Als gefragter IT-Sicherheitsexperte und Whitehat-Hacker berät Tim Philipp Schäfers Organisationen in den Bereichen IT- und Informationssicherheit. Bundesweit bekannt wurde er, als er 2016 mit seinem Studienfreund Sebastian Neef nachwies, wie einfach es in der Praxis war, die digitalen Steuerungssysteme mehrerer deutscher Wasserwerke, Blockheizkraftwerke und Biogasanlagen nicht nur auszuspähen, sondern auch gezielt zu manipulieren. In der Folgezeit konnte Schäfers gravierende Sicherheitslücken bei Unternehmen wie PayPal, Facebook, Google oder der Deutschen Telekom verantwortlich aufdecken. Schäfers hält regelmäßig Vorträge zu den Themen IT-Security und Risikomanagement, ist Mitgründer und Mitbetreiber des Webprojektes „Internetwache.org“ und Dozent für IT-Security & Risikomanagement und Technical Security an der FHDW in Paderborn und Bielefeld.

Pressekontakt
Dr. Schäfer PR- und Strategieberatung
Dr. Anke Schäfer
Arno-Esch-Str. 1
18055 Rostock
Telefon: +49 381 666 58 58
E-Mail: info@dr-schaefer-pr.de

Das könnte Sie auch interessieren
NIS2-Richtlinie
Der Countdown für die NIS2-Richtline läuft
Machine Identity Management
Warum Machine Identity Management eine immer größere Rolle bei der Sicherung vernetzter Systeme einnimmt
Digitalisierung in der Niederspannung
Webinar-Reihe: Digitalisierung in der Niederspannung / §14a EnWG
Ransomware-Angriff
Wie es sich anfühlt, einem Ransomware-Angriff zum Opfer gefallen zu sein – Betroffenes Unternehmen berichtet auf IT-Security-Tagung