_{Dr. Haya Shulmann vom Fraunhofer SIT, Nationales Forschungszentrum für angewandte Cybersicherheit ATHENE und Goethe-Universität Frankfurt}

Der Branchenverband Bitkom schätzt den Gesamtschaden durch Cyberangriffe in der deutschen Wirtschaft auf jährlich ca. 223 Milliarden Euro. Das ist mehr als doppelt so viel wie noch vor ein paar Jahren. Unterschätzt die deutsche Wirtschaft das Thema Cybersicherheit und fehlt es am Bewusstsein für die Gefahr?

Das Bewusstsein für die Verwundbarkeit durch Cyberangriffe ist in deutschen Unternehmen tatsächlich sehr hoch. So zeigt etwa das Risiko-Barometer der Allianz, dass die Cybergefahren zu den größten Sorgen der Unternehmen gehören. Die große Mehrheit, laut Bitkom-Umfragen 88 %, wurde bereits angegriffen oder haben unmittelbare Erfahrungen mit Cybercrime, Wirtschaftsspionage oder IT-bedingten Ausfällen. In Deutschland finden Angriffe und Datenschutzvorfälle auch regelmäßig große öffentliche Beachtung. Allein die Ransomware-Vorfälle der vergangenen Monate und die neuen Herausforderungen durch das Homeoffice haben das Thema an allen Seiten präsent gemacht.

Trotzdem scheint sich die Cybersicherheitslage deutlich zu verschlechtern. Woran liegt das und welche Rolle spielt das Darknet dabei?

Dafür gibt es eine ganze Reihe von Gründen. Nahezu alle Lebensbereiche werden digitalisiert und damit wird auch alles angreifbar. Die Pandemie hat diese Tendenz nochmal verstärkt. Existierende Schutzmöglichkeiten werden oft nicht ausreichend genutzt. Im Nationalen Forschungszentrum für angewandte Cybersicherheit ATHENE beobachten wir das Darknet hinsichtlich geleakter Passwörter und Anzeichen für erfolgreiche Einbrüche und untersuchen regelmäßig die IT-Systeme und Netze von Organisationen. Wir betrachten dabei nicht nur Unternehmen, sondern auch Behörden und Bildungseinrichtungen oder jüngst die im Bundestag vertretenen Parteien. Das Resultat unserer Analysen ist meist ernüchternd, denn viele Probleme, die wir finden, sind wohlbekannt. Da gibt es angreifbare Fehlkonfigurationen oder alte Softwareversionen mit eigentlich längst geschlossenen Schwachstellen. Etablierte Schutzmechanismen wie Mail-Überprüfung gegen Phishing, 2-Faktor-Authentifikation, Netzsegmentierung oder Verschlüsselung werden viel zu selten angewandt.

Generell stellen wir fest, dass die Angreifenden immer besser werden. Das gilt insbesondere für die staatlich finanzierten Gruppen, die mit manchmal sehr viel Aufwand einzelne Organisationen oder Personen angreifen. Das gilt aber auch für Kriminelle, die ihre Opfer mit Ransomware erpressen, also die Daten ihrer Opfer verschlüsseln oder damit drohen, erbeutete Daten zu veröffentlichen. In diesem Bereich hat sich eine arbeitsteilige Industrie mit hochspezialisierten Dienstleistern entwickelt, die Malware-Toolkits anbieten, Botnetze vermieten oder im Auftrag den kompletten Angriff durchführen. Ganz einfache Angriffe wie Mail-Bomben findet man im Darknet schon für zehn Euro. Infostealer zur Erbeutung von Passwörtern kann man schon für 150 Euro als Malware-as-a-Service mieten. Nach oben gibt es aber natürlich keine Grenzen.

Wie können sich Unternehmen und Behörden überhaupt noch schützen angesichts eines solch gut organisierten und fähigen Cybercrime-Ökosystems?

Bereits mit Standardansätzen wie dem BSI Grundschutz lassen sich viele Angriffe verhindern. Das fängt mit Organisationsfragen und IT-Management-Prozessen an: wer ist verantwortlich, wie werden Sicherheitsvorfälle gemeldet, welche Daten sind wie zu schützen. Wichtig ist auch, dass man alle Mitarbeitenden schult und den Ernstfall eines Cyberangriffs regelmäßig probt. Dafür gibt es eigene Übungsumgebungen, beispielsweise die Cyberrange, die wir zu Forschungs- und Weiterbildungszwecken aufgebaut haben. Man muss auch nicht alles selbst machen. Für kleinere Unternehmen wird es oft einfacher und sicherer sein, statt einer eigenen IT einen Cloud-Dienstleister zu verwenden.

Ist es absehbar, wie sich Cybersicherheit weiterentwickelt und worauf sollten Unternehmen bei der Implementierung von IT-Sicherheitsarchitekturen in Zukunft setzen?

Wir sehen gerade einen grundlegenden Wandel, wie Cybersicherheit in Unternehmen und Verwaltungen technisch aufgebaut wird. Die Entwicklung läuft unter dem Schlagwort „Zero-Trust-Architekturen“. Der Ansatz wurde schon vor fast 20 Jahren vorgeschlagen, kommt jetzt aber erst wirklich in der Praxis an. Statt wie früher darauf zu vertrauen, dass Angriffe durch Firewalls und Virtual Private Networks an der Außengrenze abgewehrt werden, geht man bei Zero Trust davon aus, dass Cyberkriminelle es auf jeden Fall in das Unternehmensnetz schaffen. Das entspricht auch der täglichen Erfahrung. Folglich muss jedes interne System einzeln geschützt werden. Die einzelnen Systeme sollen für ihren eigenen Schutz nur so wenig wie möglich auf andere Systeme vertrauen müssen.

Technisch stecken dahinter Dinge wie sichere Identitäten für Geräte, Anwendungen und Menschen, Mehrfaktor-Authentifikation statt Passwörter, sehr restriktive Sicherheit-Policies, kurzlebige Credentials, die Verschlüsselung aller Daten und Kommunikation, und so weiter. All diese Maßnahmen machen es Cyberkriminellen schwerer, in IT-Systeme einzudringen, und vor allem sehr viel schwerer, sich von einem kompromittierten System auf andere auszubreiten. Außerhalb Deutschlands wird dieser Ansatz nicht nur heftig diskutiert, sondern tatsächlich umgesetzt. Die US-amerikanische Regierung hat gerade im Januar 2022 ein Memorandum veröffentlicht, das alle Bundesbehörden zur Einführung einer Zero-Trust-Architektur bis Ende 2024 verpflichtet. Mein Eindruck ist, dass Deutschland da noch etwas hinterherhinkt und viele das Konzept noch als akademisch abtun. Ich hoffe sehr, dass sich das jetzt ändert.