Cyber-Resilienz 2024
Cyber-Resilienz 2024
Wie sich Unternehmen gegen wachsende Bedrohungen aus dem Netz wappnen können.
Ransomware, Phishing, KI-Bedrohungen: Die Cyber-Gefahrenlandschaft ist im Wandel. Franziska Hain, Geschäftsführerin der BDO Cyber Security GmbH, erklärt im Interview, wie Unternehmen mit neuer Regulatorik umgehen und sich mit robusten Cyber-Resilienz-Plänen wappnen können.Frau Hain, die Cyber-Angriffe auf Unternehmen häufen sich. Welche Bedrohungen sollten Unternehmen 2024 ins Visier nehmen?
Cyber-Bedrohungen sind in einer ständigen Evolution – das zeigen auch die Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Europäischen Agentur für Netz- und Informationssicherheit (ENISA). Wir sehen eine Zunahme an raffinierten Angriffen, wie beispielsweise die persistenten Bedrohungen durch staatlich unterstützte Hackerinnen und Hacker, gezielte Ransomware-Attacken gegen lebenswichtige Infrastrukturen oder KI-gestützte Phishing-Operationen mit verblüffend authentischer Identitätstäuschung. Aktuell halte ich es für besonders wichtig, in die Sicherheit von Systemen künstlicher Intelligenz zu investieren, um die eigene digitale Souveränität zu stärken und neuen Bedrohungen wirksam entgegenzutreten.
Künstliche Intelligenz ist ein wichtiges Stichwort. Wie können Unternehmen denn die Sicherheit ihrer KI-Systeme garantieren und die Echtheit der generierten Daten verifizieren?
KI-Systeme basieren zwar auf komplexen Algorithmen, sind letztendlich jedoch nur Programmcode. Dieser muss wie jede kritische Software abgesichert werden. Darüber hinaus liegt die Herausforderung darin, die Integrität der Erzeugnisse der KI zu gewährleisten. Qualitätssicherung ohne Vergleichsmaßstab erfordert innovative Methoden, wie fortgeschrittene Anomalie-Erkennung, um Abweichungen schnell zu erkennen. Zudem ist es entscheidend, den Daten-Input vor ungewollten Veränderungen zu schützen, um die Verlässlichkeit der KI-Outputs zu gewährleisten. Die Sichtbarmachung von Verunreinigungen oder Manipulationen im Output erfordert Transparenz in den Verarbeitungsprozessen und fortgeschrittene Techniken zur Überprüfung.
Könnten Sie ein Beispiel geben, wie ein Angreifer oder eine Angreiferin die Funktion einer KI beeinträchtigen könnte und welche Schutzmaßnahmen dagegen ergriffen werden sollten?
Nehmen wir an, ein Angreifer oder eine Angreiferin infiltriert unerkannt ein KI-System mit manipulierten Daten und verfälscht damit die empirische Datengrundlage. Auf dieser fehlerhaften Grundlage generiert das KI-System dann Erkenntnisse – auf deren Basis kritische Entscheidungen getroffen werden könnten. Um das zu verhindern, müssen Unternehmen ihre Daten-Inputs absichern, zum Beispiel durch die Einführung von Kontrollmechanismen, die die Authentizität und die Qualität der Daten überprüfen. Weiterhin sollten sie ihre KI-Modelle regelmäßig rekalibrieren und auf Unregelmäßigkeiten in den Ergebnissen prüfen, um derartige Risiken zu minimieren.
Was würden Sie Unternehmen sonst noch raten, um sich vor Cyber-Angriffen zu schützen?
Unternehmen müssen erkennen, dass der klassische Ansatz der Risikoanalyse und -behandlung sowie die Implementierung eines Informationssicherheitsmanagementsystems nicht mehr ausreichen. Vielmehr ist heute gleichermaßen entscheidend, eine Widerstandsfähigkeit für den Ernstfall aufzubauen, sodass man schnell und effektiv auf Vorfälle reagieren kann – es gilt eine sogenannte Cyber-Resilienz herzustellen.
Wie baut man eine solche Cyber-Resilienz auf?
Zunächst einmal sehen wir, dass die Angst vor dem Cyber-Vorfall und seinen immer wieder verheerenden Auswirkungen groß ist. Gleichzeitig packen Unternehmen das Thema ungern und unzureichend an. Hier ist der erste Schritt zu tun. Entscheidungsträgerinnen und Entscheidungsträger müssen sich befähigen, das Cyber-Risiko als Business-Risiko wahrzunehmen, zu beurteilen und zu behandeln. Die Zielsetzung, auf die Wirksamkeit seiner Cyber-Resilienz vertrauen zu können, korreliert mit der Bereitschaft, Investitionen zu tätigen.
Wie kann man sich dann einer Umsetzung schnell und unkompliziert nähern?
Wir raten unseren Kundinnen und Kunden immer dazu, den Ernstfall realistisch zu trainieren. Krisensimulationen sind nicht nur Übungen, sie stellen sich oft als Rehearsals für die Realität im Unternehmen heraus. Sie bereiten die Teams darauf vor, das Unvorhersehbare zu erkennen und zu managen. In unseren Simulationen stellen wir gemeinsam mit den CEOs zum Auftakt gern eine Schlüsselfrage: „Was tun, wenn morgen früh ein Cyber-Angriff meine IT lahmlegt und Daten kompromittiert werden?“ Die Beantwortung dieser Frage muss im Rahmen der Informationssicherheitsstrategie Vorrang haben und ist für den Ernstfall im Vergleich zum besten Richtlinien-Dokument wichtiger.
Apropos Richtlinien: Auf welche neuen Regularien und Gesetze müssen Unternehmen achten?
Unternehmen müssen sich jetzt vor allem mit den regulatorischen Vorgaben der Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS) und aus dem Digital Operational Resilience Act (DORA) auseinandersetzen. Auch der EU Data Act wird eine zentrale Rolle spielen. Das Gesetz wird künftig den fairen Zugang und die Nutzung von Daten regeln und die Datensouveränität stärken, was für Unternehmen bedeutet, dass sie nicht nur ihre Systeme schützen, sondern auch die Art und Weise, wie sie Daten verwalten und teilen, sorgfältig überdenken müssen.
Inwiefern wird DORA die Informationssicherheit in den Unternehmen beeinflussen?
Wenn es einer Hackerin oder einem Hacker, einer kriminellen Vereinigung oder einer staatlich organisierten Gruppe gelingt, einen Cyber-Angriff derart umzusetzen, dass eine kritische Menge von zunehmend digitalisierten Abläufen in den Finanzunternehmen beeinträchtigt ist und es aufgrund der Abhängigkeiten untereinander zur Instabilität der Finanzmärkte z.B. durch Liquiditätsengpässe oder zum Vertrauensverlust in die Finanzmärkte kommt, dann ist das Cyber-Risiko als Systemrisiko zu verstehen. Der Digital Operational Resilience Act ist eine Antwort auf die Frage, wie es ein Cyber-Systemrisiko zu vermeiden gilt. Vor diesem Hintergrund ist es konsequent, dass DORA auch Anforderungen an die Informationssicherheit von kritischen IKT-Dienstleistern stellt, die durch die Finanzunternehmen beauftragt sind. Da nun erstmals kritische IKT-Dienstleister unter der Überwachung der EU-Aufsichtsbehörden (European Supervisory Authorities – ESAs) stehen, ist davon auszugehen, dass man dort noch konsequenter in die Herstellung und Aufrechterhaltung von Informationssicherheit investiert. Davon profitiert nicht nur der Finanzsektor, sondern alle Unternehmen, die sich auf die gleichen IKT-Dienstleister stützen. Ins- gesamt ist eine relevant höhere Cyber-Resilienz durch DORA zu erwarten.
Die neuen Richtlinien mögen eine Hilfestellung für Unternehmen sein, sie bringen aber auch zusätzliche Hürden mit sich. Wird noch mehr Regulatorik nicht zum Problem für kleine und mittelständische Unternehmen?
Ich bin überzeugt, dass sich diese Investitionen lohnen. Davon profitieren nicht nur die Finanzunternehmen selbst, sondern auch mittelständische Unternehmen, die dieselben IKT-Dienstleister nutzen. Das könnte auch zu einer verbesserten Versicherbarkeit im Bereich der Cyber-Versicherungen führen. Gleichzeitig wird die Qualität der Umsetzung von den Prüfkapazitäten der Aufsichtsbehörden abhängen. Folglich wird sich die Herstellung von Konformität zu DORA über einen längeren Zeitraum, weit über Januar 2025 hinaus, erstrecken.
Gibt es für Unternehmen ein Hintertürchen, den Regularien zu entgehen – zum Beispiel durch ein Spiel auf Zeit?
Nein, bei der Regulatorik gibt es keinen Spielraum – sie muss budgetiert, umgesetzt und die Konformität muss sichergestellt werden. Es ist ratsam, den Mehrwert für das eigene Unternehmen herauszuarbeiten und sich die Regulatorik zunutze zu machen. Durch eine intelligente Nutzung regulatorischer Anforderungen können Unternehmen ihre Sicherheitsstandards verbessern und gleichzeitig Wettbewerbsvorteile erzielen. Hier geht es nicht nur um das Umsetzen von Richtlinien, sondern um eine nachhaltige Integration von Resilienz in die Unternehmenskultur.
Gehen wir davon aus, ich habe eine gute Cyber-Resilienz in meinem Unternehmen aufgebaut. Bin ich nun komplett sicher?
Leider ist es längst unmöglich geworden, Cyber-Angriffe gänzlich zu verhindern. Ich erinnere nochmals: Cyber-Resilienz bedeutet nicht nur Prävention, sondern gleichermaßen auch die Herstellung von Response-Fähigkeiten. Unternehmen müssen starke Detektions- und Reaktionsfähigkeiten entwickeln, um Cyber-Angriffe frühzeitig zu erkennen und abzuwehren, bevor es zu einem intolerablen Schadensereignis kommt. Zusätzlich braucht es aber oft auch Cyber-Spezialistinnen und -Spezialisten, die unterstützen können. Die dafür notwendigen Fähigkeiten und Kenntnisse sind umfangreich und hoch spezialisiert. Oft ist es nicht wirtschaftlich und praktikabel, diese im Unternehmen bereitzuhalten und in der sich ständig verändernden Angriffswelt auf dem aktuellen Stand zu halten. Umso sinnvoller ist es, sich dieses Spezialistenwissen von außen zu holen – etwa mit einem Angebot wie unseren Cyber Incident Response und Forensic Leistungen.
Was genau beinhaltet solch ein Spezialisten-Service?
Ich kann an dieser Stelle nur für BDO sprechen: Als Kundin oder Kunde unseres BDO Cyber Incident Response & Crisis Centers haben Unternehmen bei uns 24/7 Zugriff auf ein Cyber-Experten-Team mit technischem Spezialwissen und Krisenmanagement-Fähigkeiten sowie notwendige Rechtsberatung in Bezug auf datenschutz- und haftungsrechtliche Fragestellungen. Und unsere Spezialistinnen und Spezialisten sind erprobt. Sie sind oft vertraut mit den verwendeten Schadcodes, können Abläufe der Krisensituation vorhersehen und kennen Verhandlungsstrategien, um z. B. im Ransomware-Fall den Erpresserinnen oder Erpressern auf Augenhöhe zu begegnen.
Zusammengefasst, welche Schritte sind Ihrer Meinung nach für Unternehmen unerlässlich, um in der digitalen Welt souverän und autonom zu agieren?
Die zunehmende Digitalisierung und das Voranschreiten von Technologien wie KI prägen aktuell massiv gesellschaftliche Entwicklungen und sind ein wesentlicher Treiber von Innovationen. Unternehmen stehen damit aber auch vor der komplexen Herausforderung, sich in einer vernetzten und durch und durch technologisierten Welt zu behaupten. Es ist für sie essenziell, Daten und Know-how zu schützen und digitale Infrastrukturen sicher zu gestalten.
Ein wichtiges Schlüsselelement ist dabei die Transparenz von Softwarelieferketten, da sogenannte Supply- Chain-Attacken nach Ransomware-Angriffen die häufigste Art von Cyber-Angriffen darstellen. Die Technische Richtlinie (TR-03183) des BSI zur Cyber-Resilienz unterstützt dabei mit einem Konzept für eine „Software Bill of Materials“ (SBOM) zur Dokumentation, welche kommerziellen und freien Softwarelösungen in Softwareprodukten eingesetzt werden und welche Abhängigkeiten zu Komponenten Dritter bestehen.
Neben der sicheren Gestaltung von Lieferketten trägt auch der Einsatz von Produkten mit dem Gütesiegel des Bundesverbands IT-Sicherheit e. V. (TeleTrusT–Vertrauenszeichen „IT Security made in Germany“) zur sicheren Gestaltung von IT-Infrastrukturen bei. Produkte mit dieser Kennzeichnung wurden umfassend geprüft und als vertrauenswürdige IT-Sicherheitslösungen ohne verdeckte Backdoor eingestuft. Darüber hinaus sollten Unternehmen bei der Gestaltung ihrer Prozesse und Infrastrukturen auch immer die Zero-Trust- Philosophie berücksichtigen. Anders als bei traditionellen Sicherheitsansätzen geht dieser Ansatz davon aus, dass prinzipiell keine Benutzerin, kein Benutzer, Gerät oder Netzwerk vertrauenswürdig ist und alle potenziell Sicherheitsrisiken darstellen. Daraus abgeleitet setzt dieses Konzept auf eine Minimierung von Berechtigungen, eine kontinuierliche Überprüfung von Identität und Status von Benutzerinnen und Benutzern sowie Geräten, eine strenge Authentifizierung und Autorisierung sowie auf eine konsequente Netzsegmentierung.